Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Best practice operative per CMMC Level 3
I pacchetti di conformità forniscono un framework di conformità generico progettato per consentire di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando gestiti o personalizzatiAWS Configregole eAWS Configazioni di bonifica. I Conformance Pack, come modelli di esempio, non sono progettati per garantire la piena conformità con uno standard di governance o uno standard di conformità. L'utente è responsabile di valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.
Quanto segue fornisce un esempio di mappatura tra la Cybersecurity Maturity Model Certification (CMMC) Level 3 e le regole gestite da AWS Config. Ciascuna regola di Config si applica a uno specificoAWSrisorsa e si riferisce a uno o più controlli CMMC Level 3. Un controllo CMMC di livello 3 può essere correlato a più regole di Config. Fare riferimento alla tabella sottostante per ulteriori dettagli e indicazioni relative a queste mappature.
Regione AWS:A causa delle indicazioni provvisorie fornite dal DoD e dall'organismo di accreditamento CMMC in relazione alla reciprocità FedRAMP per CMMC Level 3 - 5, si consiglia ai clienti di utilizzare AWSGovCloudRegioni (USA) al momento per tutti i carichi di lavoro che richiedono la conformità con CMMC Livello 3 - 5. Pertanto, i modelli di conformance pack per CMMC Level 3 - 5 non sono disponibili all'interno della console del conformance pack per evitare confusione. I clienti possono installare in modo indipendente le regole di Config che mappano le indicazioni provvisorie per CMMC Level 3-5 (senza un modello di pacchetto di conformità) tramiteCloudFormationutilizzando il file YAML di esempio collegato all'interno di questo documento.
ID controllo | Descrizione del controllo | Regola AWS Config | Linee guida di |
---|---|---|---|
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Le credenziali vengono controllate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo i criteri organizzativi. La modifica delle chiavi di accesso con un programma regolare è una procedura consigliata per la sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Assicurati che il metodo IMDSv2 (Instance Metadata Service) sia abilitato per proteggere l'accesso e il controllo dei metadati dell'istanza Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati su sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può aiutare con la gestione dei privilegi e delle autorizzazioni minimi. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (Servizio)OpenSearchI domini Service) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizi e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. L'autenticazione KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e separazione dei doveri. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia di utilizzare le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dal Benchmark AWS Foundations Centers for Internet Security (CIS) per la conformità della password. Questa regola permette la configurazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Azione»: «*» su «Risorsa» :"Risorsa» «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce l'abilitazione a più fattori (MFA) per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede l'impostazione di un valore permaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. La mancata entrata (o remota) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Distribuisci le istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud autorizzato (Amazon VPC). I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Utilizza le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non hai bisogno di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso al cloud AWS abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 è limitato da qualsiasi principale di AWS, dagli utenti federati, dai principali dei servizi, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti dall'utente. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Questa regola assicura che i segreti di AWS Secrets Manager abbiano abilitato la rotazione. La rotazione dei segreti in base a un programma regolare può ridurre il periodo di attività di un segreto e potenzialmente ridurre l'impatto aziendale se il segreto viene compromesso. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Questa regola garantisce che i segreti di AWS Secrets Manager siano stati ruotati correttamente in base al programma di rotazione. La rotazione dei segreti in base a un programma regolare può ridurre il periodo in cui un segreto è attivo e potenzialmente ridurre l'impatto aziendale in caso di compromissione. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS. | |
AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei Gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0), l'accesso remoto può essere controllato a sistemi interni. | |
AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi. | |
AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Assicurati che il metodo IMDSv2 (Instance Metadata Service) sia abilitato per proteggere l'accesso e il controllo dei metadati dell'istanza Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati su sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze. | |
AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi. | |
AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (Servizio)OpenSearchI domini Service) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. L'autenticazione KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi. | |
AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega. | |
AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dal Benchmark AWS Foundations Centers for Internet Security (CIS) per la conformità della password. Questa regola permette la configurazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Azione»: «*» su «Risorsa» :"Risorsa» «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti. | |
AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità. | |
AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti. | |
AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce l'abilitazione a più fattori (MFA) per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM. | |
AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi. | |
AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. La mancata entrata (o remota) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto. | |
AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Distribuisci le istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud autorizzato (Amazon VPC). I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC. | |
AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse. | |
AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Utilizza le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non hai bisogno di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account. | |
AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account. | |
AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account. | |
AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi. | |
AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi. | |
AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso al cloud AWS abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 è limitato da qualsiasi principale di AWS, dagli utenti federati, dai principali dei servizi, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti dall'utente. | |
AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS. | |
AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei Gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato ai sistemi interni. | |
AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. | |
AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server. | |
AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi. | |
AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi. | |
AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. La mancata entrata (o remota) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto. | |
AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud autorizzato (Amazon VPC). I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC. | |
AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse. | |
AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente. | |
AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account. | |
AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account. | |
AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette la configurazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni. | |
AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS. | |
AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei Gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato ai sistemi interni. | |
AC.2.007 | È possibile utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privilegiati. | Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi. | |
AC.2.007 | È possibile utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privilegiati. | Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
AC.2.007 | È possibile utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privilegiati. | Assicurati che il metodo IMDSv2 (Instance Metadata Service) sia abilitato per proteggere l'accesso e il controllo dei metadati dell'istanza Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati su sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze. | |
AC.2.007 | È possibile utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privilegiati. | Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi. | |
AC.2.007 | È possibile utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privilegiati. | Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (Servizio)OpenSearchI domini Service) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizi e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
AC.2.007 | È possibile utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privilegiati. | Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. L'autenticazione KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
AC.2.007 | È possibile utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privilegiati. | Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi. | |
AC.2.007 | È possibile utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privilegiati. | AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e separazione dei doveri. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione | |
AC.2.007 | È possibile utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privilegiati. | AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo. | |
AC.2.007 | È possibile utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privilegiati. | Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia di utilizzare le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
AC.2.007 | È possibile utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privilegiati. | Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega. | |
AC.2.007 | È possibile utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privilegiati. | AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Azione»: «*» su «Risorsa» :"Risorsa» «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti. | |
AC.2.007 | È possibile utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privilegiati. | Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti. | |
AC.2.007 | È possibile utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privilegiati. | L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità. | |
AC.2.007 | È possibile utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privilegiati. | AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti. | |
AC.2.007 | È possibile utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privilegiati. | Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi. | |
AC.2.007 | È possibile utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privilegiati. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud autorizzato (Amazon VPC). I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC. | |
AC.2.007 | È possibile utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privilegiati. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse. | |
AC.2.007 | È possibile utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privilegiati. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account. | |
AC.2.007 | È possibile utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privilegiati. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account. | |
AC.2.007 | È possibile utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privilegiati. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account. | |
AC.2.007 | È possibile utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privilegiati. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette la configurazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
AC.2.007 | È possibile utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privilegiati. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
AC.2.007 | È possibile utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privilegiati. | Gestisci l'accesso al cloud AWS abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 è limitato da qualsiasi principale di AWS, dagli utenti federati, dai principali dei servizi, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti dall'utente. | |
AC.2.007 | È possibile utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privilegiati. | Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
AC.2.007 | È possibile utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privilegiati. | Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
AC.2.007 | È possibile utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privilegiati. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
AC.2.007 | È possibile utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privilegiati. | Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni. | |
AC.2.008 | Utilizzare account o ruoli non privilegiati quando si accede a funzioni non di sicurezza. | Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. L'autenticazione KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
AC.2.008 | Utilizzare account o ruoli non privilegiati quando si accede a funzioni non di sicurezza. | AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e separazione dei doveri. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione | |
AC.2.008 | Utilizzare account o ruoli non privilegiati quando si accede a funzioni non di sicurezza. | AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo. | |
AC.2.008 | Utilizzare account o ruoli non privilegiati quando si accede a funzioni non di sicurezza. | Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia di utilizzare le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
AC.2.008 | Utilizzare account o ruoli non privilegiati quando si accede a funzioni non di sicurezza. | Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega. | |
AC.2.008 | Utilizzare account o ruoli non privilegiati quando si accede a funzioni non di sicurezza. | AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Azione»: «*» su «Risorsa» :"Risorsa» «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti. | |
AC.2.008 | Utilizzare account o ruoli non privilegiati quando si accede a funzioni non di sicurezza. | Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti. | |
AC.2.008 | Utilizzare account o ruoli non privilegiati quando si accede a funzioni non di sicurezza. | L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità. | |
AC.2.008 | Utilizzare account o ruoli non privilegiati quando si accede a funzioni non di sicurezza. | AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti. | |
AC.2.008 | Utilizzare account o ruoli non privilegiati quando si accede a funzioni non di sicurezza. | Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi. | |
AC.2.013 | Monitora e controlla le sessioni di accesso remoto. | AmazonCloudWatchavvisa gli allarmi quando una metrica supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionObbligatorio Config impostazione predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente. | |
AC.2.013 | Monitora e controlla le sessioni di accesso remoto. | Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono i dettagli sull'attività delle chiamate API all'interno dell'account AWS. | |
AC.2.013 | Monitora e controlla le sessioni di accesso remoto. | AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud. | |
AC.2.013 | Monitora e controlla le sessioni di accesso remoto. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner. | |
AC.2.016 | Controllare il flusso di CUI in conformità con le autorizzazioni approvate. | Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. | |
AC.2.016 | Controllare il flusso di CUI in conformità con le autorizzazioni approvate. | AWS WAF consente all'utente di configurare un set di regole (denominato lista di controllo accessi Web (web ACL)) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi | |
AC.2.016 | Controllare il flusso di CUI in conformità con le autorizzazioni approvate. | Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server. | |
AC.2.016 | Controllare il flusso di CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi. | |
AC.2.016 | Controllare il flusso di CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
AC.2.016 | Controllare il flusso di CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi. | |
AC.2.016 | Controllare il flusso di CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (Servizio)OpenSearchI domini Service) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizi e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
AC.2.016 | Controllare il flusso di CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi. | |
AC.2.016 | Controllare il flusso di CUI in conformità con le autorizzazioni approvate. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. La mancata entrata (o remota) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto. | |
AC.2.016 | Controllare il flusso di CUI in conformità con le autorizzazioni approvate. | Distribuisci le istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
AC.2.016 | Controllare il flusso di CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud autorizzato (Amazon VPC). I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC. | |
AC.2.016 | Controllare il flusso di CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse. | |
AC.2.016 | Controllare il flusso di CUI in conformità con le autorizzazioni approvate. | Utilizza le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non hai bisogno di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
AC.2.016 | Controllare il flusso di CUI in conformità con le autorizzazioni approvate. | Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente. | |
AC.2.016 | Controllare il flusso di CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account. | |
AC.2.016 | Controllare il flusso di CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account. | |
AC.2.016 | Controllare il flusso di CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account. | |
AC.2.016 | Controllare il flusso di CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
AC.2.016 | Controllare il flusso di CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette la configurazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
AC.2.016 | Controllare il flusso di CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
AC.2.016 | Controllare il flusso di CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
AC.2.016 | Controllare il flusso di CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
AC.2.016 | Controllare il flusso di CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
AC.2.016 | Controllare il flusso di CUI in conformità con le autorizzazioni approvate. | Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni. | |
AC.2.016 | Controllare il flusso di CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
AC.2.016 | Controllare il flusso di CUI in conformità con le autorizzazioni approvate. | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS. | |
AC.2.016 | Controllare il flusso di CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei Gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato ai sistemi interni. | |
AC.3.014 | Utilizzare meccanismi crittografici per proteggere la riservatezza delle sessioni di accesso remoto. | Assicurati che l'integrità della rete sia protetta assicurando che i certificati X509 vengano emessi da AWS ACM. Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore perdaysToExpiration(Valore AWS Foundational Security Best Practices: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione. | |
AC.3.014 | Utilizzare meccanismi crittografici per proteggere la riservatezza delle sessioni di accesso remoto. | Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
AC.3.014 | Utilizzare meccanismi crittografici per proteggere la riservatezza delle sessioni di accesso remoto. | Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway. | |
AC.3.014 | Utilizzare meccanismi crittografici per proteggere la riservatezza delle sessioni di accesso remoto. | Garantirenode-to-nodeCrittografia per AmazonOpenSearchIl servizio è abilitato. Node-to-nodeLa crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
AC.3.014 | Utilizzare meccanismi crittografici per proteggere la riservatezza delle sessioni di accesso remoto. | Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne. | |
AC.3.014 | Utilizzare meccanismi crittografici per proteggere la riservatezza delle sessioni di accesso remoto. | Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne. | |
AC.3.014 | Utilizzare meccanismi crittografici per proteggere la riservatezza delle sessioni di accesso remoto. | Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
AC.3.014 | Utilizzare meccanismi crittografici per proteggere la riservatezza delle sessioni di accesso remoto. | Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
AC.3.014 | Utilizzare meccanismi crittografici per proteggere la riservatezza delle sessioni di accesso remoto. | Per proteggere i dati durante il trasporto, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
AC.3.017 | Separare i doveri degli individui per ridurre il rischio di attività malevola senza collusione. | Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. L'autenticazione KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
AC.3.017 | Separare i doveri degli individui per ridurre il rischio di attività malevola senza collusione. | AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e separazione dei doveri. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione | |
AC.3.017 | Separare i doveri degli individui per ridurre il rischio di attività malevola senza collusione. | AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo. | |
AC.3.017 | Separare i doveri degli individui per ridurre il rischio di attività malevola senza collusione. | Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega. | |
AC.3.017 | Separare i doveri degli individui per ridurre il rischio di attività malevola senza collusione. | AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Azione»: «*» su «Risorsa» :"Risorsa» «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti. | |
AC.3.017 | Separare i doveri degli individui per ridurre il rischio di attività malevola senza collusione. | Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti. | |
AC.3.017 | Separare i doveri degli individui per ridurre il rischio di attività malevola senza collusione. | L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità. | |
AC.3.017 | Separare i doveri degli individui per ridurre il rischio di attività malevola senza collusione. | AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti. | |
AC.3.017 | Separare i doveri degli individui per ridurre il rischio di attività malevola senza collusione. | Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi. | |
AC.3.017 | Separare i doveri degli individui per ridurre il rischio di attività malevola senza collusione. | Gestisci l'accesso al cloud AWS abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 è limitato da qualsiasi principale di AWS, dagli utenti federati, dai principali dei servizi, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti dall'utente. | |
AC.3.018 | Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo. | La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti. | |
AC.3.018 | Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo. | La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento. | |
AC.3.018 | Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo. | Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono i dettagli sull'attività delle chiamate API all'interno dell'account AWS. | |
AC.3.018 | Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo. | AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record. | |
AC.3.018 | Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo. | L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
AC.3.018 | Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo. | Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. L'autenticazione KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
AC.3.018 | Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo. | AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e separazione dei doveri. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione | |
AC.3.018 | Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo. | AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo. | |
AC.3.018 | Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo. | Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia di utilizzare le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
AC.3.018 | Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo. | Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega. | |
AC.3.018 | Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo. | AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Azione»: «*» su «Risorsa» :"Risorsa» «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti. | |
AC.3.018 | Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo. | Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti. | |
AC.3.018 | Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo. | L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità. | |
AC.3.018 | Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo. | AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti. | |
AC.3.018 | Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo. | Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi. | |
AC.3.018 | Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo. | AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione. | |
AC.3.018 | Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo. | Per agevolare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
AC.3.018 | Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo. | La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente. | |
AC.3.018 | Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo. | Gestisci l'accesso al cloud AWS abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 è limitato da qualsiasi principale di AWS, dagli utenti federati, dai principali dei servizi, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti dall'utente. | |
AC.3.018 | Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo. | Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I registri registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta. | |
AU.2.041 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco a tali utenti in modo che possano essere ritenuti responsabili delle loro azioni. | La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti. | |
AU.2.041 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco a tali utenti in modo che possano essere ritenuti responsabili delle loro azioni. | La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento. | |
AU.2.041 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco a tali utenti in modo che possano essere ritenuti responsabili delle loro azioni. | Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono i dettagli sull'attività delle chiamate API all'interno dell'account AWS. | |
AU.2.041 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco a tali utenti in modo che possano essere ritenuti responsabili delle loro azioni. | AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record. | |
AU.2.041 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco a tali utenti in modo che possano essere ritenuti responsabili delle loro azioni. | L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
AU.2.041 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco a tali utenti in modo che possano essere ritenuti responsabili delle loro azioni. | AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione. | |
AU.2.041 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco a tali utenti in modo che possano essere ritenuti responsabili delle loro azioni. | Per agevolare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
AU.2.041 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco a tali utenti in modo che possano essere ritenuti responsabili delle loro azioni. | La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente. | |
AU.2.041 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco a tali utenti in modo che possano essere ritenuti responsabili delle loro azioni. | Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I registri registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta. | |
AU.2.042 | Creare e conservare registri e registri di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività illegali o non autorizzate del sistema. | La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti. | |
AU.2.042 | Creare e conservare registri e registri di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività illegali o non autorizzate del sistema. | La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento. | |
AU.2.042 | Creare e conservare registri e registri di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività illegali o non autorizzate del sistema. | Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono i dettagli sull'attività delle chiamate API all'interno dell'account AWS. | |
AU.2.042 | Creare e conservare registri e registri di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività illegali o non autorizzate del sistema. | AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record. | |
AU.2.042 | Creare e conservare registri e registri di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività illegali o non autorizzate del sistema. | Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. | |
AU.2.042 | Creare e conservare registri e registri di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività illegali o non autorizzate del sistema. | L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
AU.2.042 | Creare e conservare registri e registri di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività illegali o non autorizzate del sistema. | AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione. | |
AU.2.042 | Creare e conservare registri e registri di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività illegali o non autorizzate del sistema. | Per agevolare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
AU.2.042 | Creare e conservare registri e registri di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività illegali o non autorizzate del sistema. | La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente. | |
AU.2.042 | Creare e conservare registri e registri di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività illegali o non autorizzate del sistema. | Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I registri registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta. | |
AU.3.046 | Avviso in caso di errore del processo di registrazione di controllo. | AmazonCloudWatchGli allarmi avvisi quando un parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionObbligatorio Config impostazione predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente. | |
AU.3.046 | Avviso in caso di errore del processo di registrazione di controllo. | Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono i dettagli sull'attività delle chiamate API all'interno dell'account AWS. | |
AU.3.046 | Avviso in caso di errore del processo di registrazione di controllo. | AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud. | |
AU.3.046 | Avviso in caso di errore del processo di registrazione di controllo. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner. | |
AU.3.049 | Proteggi le informazioni di audit e gli strumenti di registrazione di audit da accessi, modifiche ed eliminazioni non autorizzati. | Per proteggere i dati sensibili a riposo, assicurati che la crittografia sia abilitata per il tuo AmazonCloudWatchGruppi di log. | |
AU.3.049 | Proteggi le informazioni di audit e gli strumenti di registrazione di audit da accessi, modifiche ed eliminazioni non autorizzati. | Poiché potrebbero esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo AWSCloudTrailsentieri. | |
AU.3.049 | Proteggi le informazioni di audit e gli strumenti di registrazione di audit da accessi, modifiche ed eliminazioni non autorizzati. | Utilizzo di AWSCloudTrailconvalida del file di log per verificare l'integrità diCloudTrailregistri. La convalida del file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o invariato dopoCloudTrailconsegnato. Questa funzione è costruita utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende impossibile, a livello di programmazione, qualsiasi operazione di modifica, eliminazione o contraffazione dei file di log di CloudTrail senza che tale operazione venga rilevata. | |
AU.3.049 | Proteggi le informazioni di audit e gli strumenti di registrazione di audit da accessi, modifiche ed eliminazioni non autorizzati. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette la configurazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
AU.3.049 | Proteggi le informazioni di audit e gli strumenti di registrazione di audit da accessi, modifiche ed eliminazioni non autorizzati. | Verifica che il bucket Simple Storage Service (Amazon S3) abbia il blocco abilitato, per impostazione predefinita. Poiché i dati sensibili possono esistere a riposo nei bucket S3, applica i blocchi degli oggetti a riposo per proteggere tali dati. | |
AU.3.049 | Proteggi le informazioni di audit e gli strumenti di registrazione di audit da accessi, modifiche ed eliminazioni non autorizzati. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
AU.3.049 | Proteggi le informazioni di audit e gli strumenti di registrazione di audit da accessi, modifiche ed eliminazioni non autorizzati. | Gestisci l'accesso al cloud AWS abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 è limitato da qualsiasi principale di AWS, dagli utenti federati, dai principali dei servizi, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti dall'utente. | |
AU.3.049 | Proteggi le informazioni di audit e gli strumenti di registrazione di audit da accessi, modifiche ed eliminazioni non autorizzati. | Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
AU.3.049 | Proteggi le informazioni di audit e gli strumenti di registrazione di audit da accessi, modifiche ed eliminazioni non autorizzati. | Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
AU.3.049 | Proteggi le informazioni di audit e gli strumenti di registrazione di audit da accessi, modifiche ed eliminazioni non autorizzati. | Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati. | |
AU.3.049 | Proteggi le informazioni di audit e gli strumenti di registrazione di audit da accessi, modifiche ed eliminazioni non autorizzati. | Per proteggere i dati durante il trasporto, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
AU.3.049 | Proteggi le informazioni di audit e gli strumenti di registrazione di audit da accessi, modifiche ed eliminazioni non autorizzati. | Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa la funzione versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni consente il semplice recupero dopo errori dell'applicazione e operazioni non intenzionali dell'utente. | |
AU.3.049 | Proteggi le informazioni di audit e gli strumenti di registrazione di audit da accessi, modifiche ed eliminazioni non autorizzati. | Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo in un bucket Amazon S3, abilitare la crittografia a riposo per proteggere tali dati. | |
AU.3.051 | Correlare i processi di revisione, analisi e reporting dei record di audit per indagini e risposte a indicazioni di attività illecite, non autorizzate, sospette o insolite. | AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud. | |
AU.3.051 | Correlare i processi di revisione, analisi e reporting dei record di audit per indagini e risposte a indicazioni di attività illecite, non autorizzate, sospette o insolite. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner. | |
CA.2.159 | Sviluppare e implementare piani d'azione progettati per correggere le carenze e ridurre o eliminare le vulnerabilità nei sistemi organizzativi. | vuln-management-plan-exists (verifica del processo) | Assicurati che un piano di gestione delle vulnerabilità sia sviluppato e implementato al fine di disporre di processi formalmente definiti per affrontare le vulnerabilità nel tuo ambiente. Ciò può includere strumenti di gestione delle vulnerabilità, cadenza di scansione ambientale, ruoli e responsabilità. |
CA.3.161 | Monitorare continuamente i controlli di sicurezza per garantire la continuità dell'efficacia dei controlli. | AmazonCloudWatchGli allarmi avvisi quando un parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionObbligatorio Config impostazione predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente. | |
CA.3.161 | Monitorare continuamente i controlli di sicurezza per garantire la continuità dell'efficacia dei controlli. | AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud. | |
CA.3.161 | Monitorare continuamente i controlli di sicurezza per garantire la continuità dell'efficacia dei controlli. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner. | |
CM.2.061 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) durante i rispettivi cicli di vita di sviluppo del sistema. | Un inventario delle piattaforme software e applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
CM.2.061 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) durante i rispettivi cicli di vita di sviluppo del sistema. | Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
CM.2.061 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) durante i rispettivi cicli di vita di sviluppo del sistema. | Abilita questa regola per aiutare con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
CM.2.061 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) durante i rispettivi cicli di vita di sviluppo del sistema. | Attiva questa regola per aiutare con la configurazione di base delle istanze Amazon Elastic Compute Cloud (Amazon EC2) verificando se le istanze Amazon EC2 sono state arrestate per più del numero consentito di giorni, in base agli standard dell'organizzazione. | |
CM.2.061 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) durante i rispettivi cicli di vita di sviluppo del sistema. | Questa regola garantisce che i volumi Amazon Elastic Block Store collegati a istanze Amazon Elastic Compute Cloud (Amazon EC2) siano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegata è terminata, potrebbe violare il concetto di funzionalità minima. | |
CM.2.061 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) durante i rispettivi cicli di vita di sviluppo del sistema. | Questa regola garantisce che gli IP elastici allocati a un Amazon Virtual Private Cloud (Amazon VPC) siano collegati alle istanze Amazon Elastic Compute Cloud (Amazon EC2) o alle interfacce Elastic Network in uso. Questa regola aiuta a monitorare gli EIP inutilizzati nel tuo ambiente. | |
CM.2.062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali. | Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server. | |
CM.2.062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali. | Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi. | |
CM.2.062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali. | Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
CM.2.062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali. | Un inventario delle piattaforme software e applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
CM.2.062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali. | Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi. | |
CM.2.062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali. | Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
CM.2.062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali. | Questa regola garantisce che i volumi Amazon Elastic Block Store collegati a istanze Amazon Elastic Compute Cloud (Amazon EC2) siano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegata è terminata, potrebbe violare il concetto di funzionalità minima. | |
CM.2.062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali. | Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (Servizio)OpenSearchI domini Service) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizi e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
CM.2.062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali. | Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi. | |
CM.2.062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. La mancata entrata (o remota) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto. | |
CM.2.062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud autorizzato (Amazon VPC). I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC. | |
CM.2.062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse. | |
CM.2.062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali. | Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente. | |
CM.2.062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account. | |
CM.2.062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account. | |
CM.2.062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account. | |
CM.2.062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
CM.2.062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette la configurazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
CM.2.062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
CM.2.062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali. | Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
CM.2.062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali. | Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
CM.2.062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
CM.2.062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali. | Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni. | |
CM.2.062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali. | Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
CM.2.062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali. | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS. | |
CM.2.062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei Gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato ai sistemi interni. | |
CM.2.063 | Controlla e monitora il software installato dall'utente. | Un inventario delle piattaforme software e applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
CM.2.063 | Controlla e monitora il software installato dall'utente. | Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
CM.2.063 | Controlla e monitora il software installato dall'utente. | Abilita questa regola per aiutare con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
CM.2.064 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici utilizzati nei sistemi organizzativi. | La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata dell'account può portare a configurazioni di account incoerenti, che possono esporre risorse e dati sensibili. | |
CM.2.064 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici utilizzati nei sistemi organizzativi. | Questa regola aiuta a garantire l'utilizzo delle best practice di sicurezza consigliate da AWS per AWSCloudTrail, verificando l'attivazione di più impostazioni. Questi includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione di AWSCloudTrailin più regioni. | |
CM.2.064 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici utilizzati nei sistemi organizzativi. | Utilizzo di AWSCloudTrailconvalida del file di log per verificare l'integrità diCloudTrailregistri. La convalida del file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o invariato dopoCloudTrailconsegnato. Questa funzione è costruita utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende impossibile, a livello di programmazione, qualsiasi operazione di modifica, eliminazione o contraffazione dei file di log di CloudTrail senza che tale operazione venga rilevata. | |
CM.2.064 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici utilizzati nei sistemi organizzativi. | Un inventario delle piattaforme software e applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
CM.2.064 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici utilizzati nei sistemi organizzativi. | Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
CM.2.064 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici utilizzati nei sistemi organizzativi. | Abilita questa regola per aiutare con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
CM.2.064 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici utilizzati nei sistemi organizzativi. | L'abilitazione degli aggiornamenti della piattaforma gestita per un ambiente Amazon Elastic Beanstalk garantisce l'installazione delle più recenti correzioni, aggiornamenti e funzionalità della piattaforma disponibili per l'ambiente. Mantenersi aggiornati con l'installazione delle patch è una buona pratica nella protezione dei sistemi. | |
CM.2.064 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici utilizzati nei sistemi organizzativi. | AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud. | |
CM.2.064 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici utilizzati nei sistemi organizzativi. | Abilita gli aggiornamenti automatici delle versioni secondarie sulle istanze di Amazon Relational Database Service (RDS) per garantire che siano installati gli ultimi aggiornamenti della versione secondaria del Relational Database Management System (RDBMS), che possono includere patch di sicurezza e correzioni di bug. | |
CM.2.064 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici utilizzati nei sistemi organizzativi. | Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. Nello specifico, hanno finestre di manutenzione preferite e periodi di conservazione automatica delle istantanee per il database. Questa regola richiede di impostare ilallowVersionUpgrade. Il valore predefinito è true. Consente inoltre di impostare facoltativamentepreferredMaintenanceWindow(il valore predefinito è sat: 16:00 -sab: 16:30) e ilautomatedSnapshotRetentionPeriodo (il valore predefinito è 1). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
CM.2.064 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici utilizzati nei sistemi organizzativi. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner. | |
CM.2.065 | Tieni traccia, esamina, approva o disapprova e registra le modifiche ai sistemi organizzativi. | La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti. | |
CM.2.065 | Tieni traccia, esamina, approva o disapprova e registra le modifiche ai sistemi organizzativi. | La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento. | |
CM.2.065 | Tieni traccia, esamina, approva o disapprova e registra le modifiche ai sistemi organizzativi. | Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono i dettagli sull'attività delle chiamate API all'interno dell'account AWS. | |
CM.2.065 | Tieni traccia, esamina, approva o disapprova e registra le modifiche ai sistemi organizzativi. | AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record. | |
CM.2.065 | Tieni traccia, esamina, approva o disapprova e registra le modifiche ai sistemi organizzativi. | Un inventario delle piattaforme software e applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
CM.2.065 | Tieni traccia, esamina, approva o disapprova e registra le modifiche ai sistemi organizzativi. | Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
CM.2.065 | Tieni traccia, esamina, approva o disapprova e registra le modifiche ai sistemi organizzativi. | Abilita questa regola per aiutare con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
CM.2.065 | Tieni traccia, esamina, approva o disapprova e registra le modifiche ai sistemi organizzativi. | L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
CM.2.065 | Tieni traccia, esamina, approva o disapprova e registra le modifiche ai sistemi organizzativi. | AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione. | |
CM.2.065 | Tieni traccia, esamina, approva o disapprova e registra le modifiche ai sistemi organizzativi. | Per agevolare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
CM.2.065 | Tieni traccia, esamina, approva o disapprova e registra le modifiche ai sistemi organizzativi. | La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente. | |
CM.2.065 | Tieni traccia, esamina, approva o disapprova e registra le modifiche ai sistemi organizzativi. | Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I registri registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta. | |
CM.3.068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server. | |
CM.3.068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi. | |
CM.3.068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi. | |
CM.3.068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. La mancata entrata (o remota) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto. | |
CM.3.068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud autorizzato (Amazon VPC). I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC. | |
CM.3.068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse. | |
CM.3.068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente. | |
CM.3.068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account. | |
CM.3.068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account. | |
CM.3.068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
CM.3.068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette la configurazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
CM.3.068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
CM.3.068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
CM.3.068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
CM.3.068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
CM.3.068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni. | |
CM.3.068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
CM.3.068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS. | |
CM.3.068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei Gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato ai sistemi interni. | |
IA.1.076 | Identificare gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o dei dispositivi. | La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti. | |
IA.1.076 | Identificare gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o dei dispositivi. | La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento. | |
IA.1.076 | Identificare gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o dei dispositivi. | Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono i dettagli sull'attività delle chiamate API all'interno dell'account AWS. | |
IA.1.076 | Identificare gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o dei dispositivi. | AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record. | |
IA.1.076 | Identificare gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o dei dispositivi. | L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
IA.1.076 | Identificare gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o dei dispositivi. | Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. L'autenticazione KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
IA.1.076 | Identificare gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o dei dispositivi. | AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione. | |
IA.1.076 | Identificare gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o dei dispositivi. | Per agevolare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
IA.1.076 | Identificare gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o dei dispositivi. | La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente. | |
IA.1.076 | Identificare gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o dei dispositivi. | Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I registri registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta. | |
IA.1.077 | Autenticare (o verificare) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi organizzativi. | Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. L'autenticazione KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
IA.1.077 | Autenticare (o verificare) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi organizzativi. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dal Benchmark AWS Foundations Centers for Internet Security (CIS) per la conformità della password. Questa regola permette la configurazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
IA.1.077 | Autenticare (o verificare) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi organizzativi. | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce l'abilitazione a più fattori (MFA) per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM. | |
IA.1.077 | Autenticare (o verificare) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi organizzativi. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
IA.1.077 | Autenticare (o verificare) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi organizzativi. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi. | |
IA.1.077 | Autenticare (o verificare) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi organizzativi. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi. | |
IA.2.078 | Applica una complessità minima della password e modifica dei caratteri quando vengono create nuove password. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette la configurazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
IA.2.079 | Proibire il riutilizzo della password per un determinato numero di generazioni. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette la configurazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati per eliminare le intestazioni http. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per la cache della fase API Gateway. Poiché i dati sensibili possono essere acquisiti per il metodo API, abilitare la crittografia a riposo per proteggere tali dati. | |
IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway. | |
IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati. | |
IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo Amazon Elastic File System (EFS). | |
IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per AmazonOpenSearchService (Servizio)OpenSearchDomini Service). | |
IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Garantirenode-to-nodeCrittografia per AmazonOpenSearchIl servizio è abilitato. Node-to-nodeLa crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne. | |
IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne. | |
IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Poiché possono esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). | |
IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Verifica che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati. | |
IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati. | |
IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il cluster Amazon Redshift. Poiché i dati sensibili possono esistere a riposo nei cluster Redshift, abilitare la crittografia a riposo per proteggere tali dati. | |
IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati. | |
IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Per proteggere i dati durante il trasporto, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo in un bucket Amazon S3, abilitare la crittografia a riposo per proteggere tali dati. | |
IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per ilSageMakerEndpoint. Perché i dati sensibili possono esistere a riposoSageMakerendpoint, abilita la crittografia a riposo per proteggere tali dati. | |
IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per ilSageMakernotebook. Perché i dati sensibili possono esistere a riposoSageMakernotebook, abilita la crittografia a riposo per proteggere tali dati. | |
IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Per proteggere i dati a riposo, assicurati che gli argomenti Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Poiché i dati sensibili possono esistere a riposo nei messaggi pubblicati, abilitare la crittografia a riposo per proteggere tali dati. | |
IA.3.083 | Utilizzare l'autenticazione a più fattori per l'accesso locale e di rete agli account privilegiati e per l'accesso di rete agli account non privilegiati. | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce l'abilitazione a più fattori (MFA) per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM. | |
IA.3.083 | Utilizzare l'autenticazione a più fattori per l'accesso locale e di rete agli account privilegiati e per l'accesso di rete agli account non privilegiati. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
IA.3.083 | Utilizzare l'autenticazione a più fattori per l'accesso locale e di rete agli account privilegiati e per l'accesso di rete agli account non privilegiati. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi. | |
IA.3.083 | Utilizzare l'autenticazione a più fattori per l'accesso locale e di rete agli account privilegiati e per l'accesso di rete agli account non privilegiati. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi. | |
IA.3.086 | Disabilita gli identificatori dopo un periodo di inattività definito. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette la configurazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle Best Practices di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
IA.3.086 | Disabilita gli identificatori dopo un periodo di inattività definito. | AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede l'impostazione di un valore permaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione. | |
IR.2.092 | Stabilire una capacità operativa di gestione degli incidenti per i sistemi organizzativi che includono attività di preparazione, rilevamento, analisi, contenimento, ripristino e risposta degli utenti. | response-plan-exists-mantenuto (controllo del processo) | Assicurarsi che i piani di risposta agli incidenti siano stabiliti, mantenuti e distribuiti al personale responsabile. Avere piani di risposta aggiornati e documentati formalmente può aiutare a garantire che il personale di risposta comprenda ruoli, responsabilità e processi da seguire durante un incidente. |
IR.2.092 | Stabilire una capacità operativa di gestione degli incidenti per i sistemi organizzativi che includono attività di preparazione, rilevamento, analisi, contenimento, ripristino e risposta degli utenti. | AmazonCloudWatchGli allarmi avvisi quando un parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionObbligatorio Config impostazione predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente. | |
IR.2.092 | Stabilire una capacità operativa di gestione degli incidenti per i sistemi organizzativi che includono attività di preparazione, rilevamento, analisi, contenimento, ripristino e risposta degli utenti. | AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud. | |
IR.2.092 | Stabilire una capacità operativa di gestione degli incidenti per i sistemi organizzativi che includono attività di preparazione, rilevamento, analisi, contenimento, ripristino e risposta degli utenti. | AmazonGuardDutyaiuta a comprendere l'impatto di un incidente classificando i risultati per gravità: bassa, media e alta. È possibile utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola permette la configurazione facoltativadaysLowSev(Impostazione predefinita: 30),daysMediumSev(Config Default: 7) edaysHighSev(Config Predefinito: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione. | |
IR.2.092 | Stabilire una capacità operativa di gestione degli incidenti per i sistemi organizzativi che includono attività di preparazione, rilevamento, analisi, contenimento, ripristino e risposta degli utenti. | Se una funzione ha fallito, abilita questa regola per informare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS). | |
IR.2.092 | Stabilire una capacità operativa di gestione degli incidenti per i sistemi organizzativi che includono attività di preparazione, rilevamento, analisi, contenimento, ripristino e risposta degli utenti. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner. | |
IR.2.093 | Rileva e segnala eventi. | I controlli di integrità Elastic Load Balancer (ELB) per i gruppi Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) supportano il mantenimento di capacità e disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ping, effettua tentativi di connessione o invia richieste per testare l'integrità delle istanze Amazon EC2 in un gruppo di auto-scaling. Se un'istanza non viene segnalata, il traffico viene inviato a una nuova istanza Amazon EC2. | |
IR.2.093 | Rileva e segnala eventi. | AmazonCloudWatchGli allarmi avvisi quando un parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionObbligatorio Config impostazione predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente. | |
IR.2.093 | Rileva e segnala eventi. | AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud. | |
IR.2.093 | Rileva e segnala eventi. | Se una funzione ha fallito, abilita questa regola per informare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS). | |
IR.2.093 | Rileva e segnala eventi. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner. | |
IR.3.099 | Verifica la capacità di risposta agli incidenti organizzativi. | response-plan-tested(verifica del processo) | Assicurati che i piani di risposta agli incidenti e ripristino siano testati. Ciò può aiutare a capire se il piano sarà efficace durante un incidente e se è necessario risolvere eventuali lacune o aggiornamenti. |
MA.2.113 | Richiedere l'autenticazione a più fattori per stabilire sessioni di manutenzione non locali tramite connessioni di rete esterne e terminare tali connessioni quando la manutenzione non locale è completa. | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce l'abilitazione a più fattori (MFA) per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM. | |
MA.2.113 | Richiedere l'autenticazione a più fattori per stabilire sessioni di manutenzione non locali tramite connessioni di rete esterne e terminare tali connessioni quando la manutenzione non locale è completa. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
RE.2.137 | Eseguire e testare regolarmente i backup dei dati. | Per aiutare con i processi di backup dei dati, assicurati che il piano AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup. Questa regola permette la configurazionerequiredFrequencyValue(impostazione predefinita di Config: 1),requiredRetentionDays(impostazione predefinita di Config: 35) erequiredFrequencyUnit(Config default: giorni) parametri. Il valore effettivo dovrebbe riflettere i requisiti della tua organizzazione. | |
RE.2.137 | Eseguire e testare regolarmente i backup dei dati. | La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea automaticamente una snapshot dei volumi di storage dell'istanza database, eseguendo il backup dell'intera istanza database. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
RE.2.137 | Eseguire e testare regolarmente i backup dei dati. | Per aiutare con i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup. | |
RE.2.137 | Eseguire e testare regolarmente i backup dei dati. | Abilitare questa regola per verificare che le informazioni siano state sottoposti a backup. Inoltre, mantiene i backup garantendo chepoint-in-timeIl ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni. | |
RE.2.137 | Eseguire e testare regolarmente i backup dei dati. | Per aiutare con i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup. | |
RE.2.137 | Eseguire e testare regolarmente i backup dei dati. | Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup. | |
RE.2.137 | Eseguire e testare regolarmente i backup dei dati. | Quando i backup automatici sono abilitati, AmazonElastiCachecrea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. In caso di esito negativo, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
RE.2.137 | Eseguire e testare regolarmente i backup dei dati. | Per aiutare con i processi di backup dei dati, assicurati che le istanze Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup. | |
RE.2.137 | Eseguire e testare regolarmente i backup dei dati. | Per aiutarti con i processi di backup dei dati, assicurati che i tuoi cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB di modifiche dei dati per nodo, a seconda di quale evento si verifica prima. | |
RE.2.137 | Eseguire e testare regolarmente i backup dei dati. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire la disponibilità dei dati. | |
RE.2.137 | Eseguire e testare regolarmente i backup dei dati. | Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa la funzione versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni consente il semplice recupero dopo errori dell'applicazione e operazioni non intenzionali dell'utente. | |
RE.2.139 | Esegui regolarmente backup dei dati completi, completi e resilienti come definiti organizzativamente. | Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa la funzione versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni consente il semplice recupero dopo errori dell'applicazione e operazioni non intenzionali dell'utente. | |
RE.3.139 | Esegui regolarmente backup dei dati completi, completi e resilienti come definiti organizzativamente. | Per aiutare con i processi di backup dei dati, assicurati che il piano AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup. Questa regola permette la configurazionerequiredFrequencyValue(impostazione predefinita di Config: 1),requiredRetentionDays(impostazione predefinita di Config: 35) erequiredFrequencyUnit(Config default: giorni) parametri. Il valore effettivo dovrebbe riflettere i requisiti della tua organizzazione. | |
RE.3.139 | Esegui regolarmente backup dei dati completi, completi e resilienti come definiti organizzativamente. | La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea automaticamente una snapshot dei volumi di storage dell'istanza database, eseguendo il backup dell'intera istanza database. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
RE.3.139 | Esegui regolarmente backup dei dati completi, completi e resilienti come definiti organizzativamente. | Per aiutare con i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup. | |
RE.3.139 | Esegui regolarmente backup dei dati completi, completi e resilienti come definiti organizzativamente. | Abilitare questa regola per verificare che le informazioni siano state sottoposti a backup. Inoltre, mantiene i backup garantendo chepoint-in-timeIl ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni. | |
RE.3.139 | Esegui regolarmente backup dei dati completi, completi e resilienti come definiti organizzativamente. | Per aiutare con i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup. | |
RE.3.139 | Esegui regolarmente backup dei dati completi, completi e resilienti come definiti organizzativamente. | Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup. | |
RE.3.139 | Esegui regolarmente backup dei dati completi, completi e resilienti come definiti organizzativamente. | Quando i backup automatici sono abilitati, AmazonElastiCachecrea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. In caso di esito negativo, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
RE.3.139 | Esegui regolarmente backup dei dati completi, completi e resilienti come definiti organizzativamente. | Per aiutare con i processi di backup dei dati, assicurati che le istanze Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup. | |
RE.3.139 | Esegui regolarmente backup dei dati completi, completi e resilienti come definiti organizzativamente. | Per aiutarti con i processi di backup dei dati, assicurati che i tuoi cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB di modifiche dei dati per nodo, a seconda di quale evento si verifica prima. | |
RE.3.139 | Esegui regolarmente backup dei dati completi, completi e resilienti come definiti organizzativamente. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire la disponibilità dei dati. | |
RM.2.142 | Scansiona periodicamente le vulnerabilità nei sistemi e nelle applicazioni organizzative e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. | vuln-scans-performed(verifica del processo) | Assicurati che le scansioni delle vulnerabilità vengano eseguite in base ai requisiti di conformità. La cadenza di scansione, gli strumenti utilizzati e l'uso dei risultati devono essere definiti dall'organizzazione. |
RM.2.142 | Scansiona periodicamente le vulnerabilità nei sistemi e nelle applicazioni organizzative e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. | Abilita questa regola per aiutare con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
RM.2.142 | Scansiona periodicamente le vulnerabilità nei sistemi e nelle applicazioni organizzative e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. | AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud. | |
RM.2.142 | Scansiona periodicamente le vulnerabilità nei sistemi e nelle applicazioni organizzative e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. | AmazonGuardDutyaiuta a comprendere l'impatto di un incidente classificando i risultati per gravità: bassa, media e alta. È possibile utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola permette la configurazione facoltativadaysLowSev(Impostazione predefinita: 30),daysMediumSev(Config Default: 7) edaysHighSev(Config Predefinito: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione. | |
RM.2.142 | Scansiona periodicamente le vulnerabilità nei sistemi e nelle applicazioni organizzative e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner. | |
SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati per eliminare le intestazioni http. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. | |
SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | AWS WAF consente all'utente di configurare un set di regole (denominato lista di controllo accessi Web (web ACL)) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi | |
SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | AmazonCloudWatchGli allarmi avvisi quando un parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionObbligatorio Config impostazione predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente. | |
SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi. | |
SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (Servizio)OpenSearchI domini Service) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizi e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Garantirenode-to-nodeCrittografia per AmazonOpenSearchIl servizio è abilitato. Node-to-nodeLa crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne. | |
SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud. | |
SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. La mancata entrata (o remota) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto. | |
SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Distribuisci le istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud autorizzato (Amazon VPC). I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC. | |
SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse. | |
SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Utilizza le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non hai bisogno di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente. | |
SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account. | |
SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account. | |
SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account. | |
SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette la configurazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Per proteggere i dati durante il trasporto, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner. | |
SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni. | |
SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS. | |
SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei Gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato ai sistemi interni. | |
SC.2.179 | Utilizzare sessioni crittografate per la gestione dei dispositivi di rete. | Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
SC.2.179 | Utilizzare sessioni crittografate per la gestione dei dispositivi di rete. | Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway. | |
SC.2.179 | Utilizzare sessioni crittografate per la gestione dei dispositivi di rete. | Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne. | |
SC.2.179 | Utilizzare sessioni crittografate per la gestione dei dispositivi di rete. | Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne. | |
SC.2.179 | Utilizzare sessioni crittografate per la gestione dei dispositivi di rete. | Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata dell'account può portare a configurazioni di account incoerenti, che possono esporre risorse e dati sensibili. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | AWS WAF consente all'utente di configurare un set di regole (denominato lista di controllo accessi Web (web ACL)) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Per aiutare con i processi di backup dei dati, assicurati che il piano AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup. Questa regola permette la configurazionerequiredFrequencyValue(impostazione predefinita di Config: 1),requiredRetentionDays(impostazione predefinita di Config: 35) erequiredFrequencyUnit(Config default: giorni) parametri. Il valore effettivo dovrebbe riflettere i requisiti della tua organizzazione. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Questa regola aiuta a garantire l'utilizzo delle best practice di sicurezza consigliate da AWS per AWSCloudTrail, verificando l'attivazione di più impostazioni. Questi includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione di AWSCloudTrailin più regioni. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Assicurati che le credenziali di autenticazione AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY non esistano negli ambienti di progetto AWS Codebuild. Non memorizzare queste variabili in testo chiaro. L'archiviazione di queste variabili in testo non crittografato comporta l'esposizione non intenzionale dei dati e l'accesso non autorizzato. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Garantire laGitHubo l'URL del repository di origine Bitbucket non contiene token di accesso personali, nome utente e password nell'ambiente di progetto AWS Codebuild. Utilizzare OAuth anziché token di accesso personali o un nome utente e una password per concedere l'autorizzazione per l'accessoGitHubo repository Bitbucket. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea automaticamente una snapshot dei volumi di storage dell'istanza database, eseguendo il backup dell'intera istanza database. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Amazon DynamoDB Auto Scaling utilizza il servizio AWS Application Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura/scrittura assegnata per gestire improvvisi aumenti di traffico senza throttling. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Per aiutare con i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Abilitare questa regola per verificare che le informazioni siano state sottoposti a backup. Inoltre, mantiene i backup garantendo chepoint-in-timeIl ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Per aiutare con i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) fornisce capacità aggiuntiva dedicata per le operazioni di I/O di Amazon EBS. Questa ottimizzazione fornisce le prestazioni più efficienti per i volumi EBS, riducendo al minimo i conflitti tra le operazioni di I/O Amazon EBS e l'altro traffico proveniente dall'istanza. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Quando i backup automatici sono abilitati, AmazonElastiCachecrea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. In caso di esito negativo, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (Servizio)OpenSearchI domini Service) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizi e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Abilita il bilanciamento del carico tra zone per i tuoi Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere un numero equivalente di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Questa regola garantisce che il sistema di Elastic Load Balancing del carico sia abilitata. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. La mancata entrata (o remota) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Distribuisci le istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud autorizzato (Amazon VPC). I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Utilizza le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non hai bisogno di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) abbiano la protezione per l'eliminazione abilitata. Utilizza la protezione dall'eliminazione per evitare che le tue istanze Amazon RDS vengano cancellate accidentalmente o dannosamente, il che può comportare una perdita di disponibilità per le tue applicazioni. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Per aiutare con i processi di backup dei dati, assicurati che le istanze Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Il supporto Multi-AZ in Amazon Relational Database Service (Amazon RDS) fornisce una maggiore disponibilità e durata per le istanze di database. Quando esegui il provisioning di un'istanza di database Multi-AZ, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati in un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura fisicamente distinta e indipendente ed è progettata per essere altamente affidabile. In caso di guasto all'infrastruttura, Amazon RDS esegue un failover automatico sullo standby in modo da poter riprendere le operazioni del database non appena il failover è stato completato. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Per aiutarti con i processi di backup dei dati, assicurati che i tuoi cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB di modifiche dei dati per nodo, a seconda di quale evento si verifica prima. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette la configurazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Verifica che il bucket Simple Storage Service (Amazon S3) abbia il blocco abilitato, per impostazione predefinita. Poiché i dati sensibili possono esistere a riposo nei bucket S3, applica i blocchi degli oggetti a riposo per proteggere tali dati. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire la disponibilità dei dati. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa la funzione versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni consente il semplice recupero dopo errori dell'applicazione e operazioni non intenzionali dell'utente. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei Gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0), l'accesso remoto può essere controllato a sistemi interni. | |
SC.3.180 | Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | I tunnel Site-to-Site VPN ridondanti possono essere implementati per ottenere requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso una delle connessioni Site-to-Site VPN non sia disponibile. Per evitare la perdita di connettività, nel caso in cui il gateway del cliente non sia disponibile, puoi configurare una seconda connessione Site-to-Site VPN al Amazon Virtual Private Cloud (Amazon VPC) e al gateway virtuale privato utilizzando un secondo gateway del cliente. | |
SC.3.182 | Impedisci il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise. | Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi. | |
SC.3.182 | Impedisci il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise. | Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
SC.3.182 | Impedisci il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. La mancata entrata (o remota) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto. | |
SC.3.182 | Impedisci il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud autorizzato (Amazon VPC). I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC. | |
SC.3.182 | Impedisci il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse. | |
SC.3.182 | Impedisci il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise. | Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente. | |
SC.3.182 | Impedisci il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account. | |
SC.3.182 | Impedisci il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account. | |
SC.3.182 | Impedisci il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account. | |
SC.3.182 | Impedisci il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
SC.3.182 | Impedisci il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette la configurazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
SC.3.182 | Impedisci il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
SC.3.182 | Impedisci il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise. | Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
SC.3.182 | Impedisci il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise. | Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
SC.3.182 | Impedisci il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
SC.3.182 | Impedisci il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise. | Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni. | |
SC.3.182 | Impedisci il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise. | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS. | |
SC.3.182 | Impedisci il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei Gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0), l'accesso remoto può essere controllato a sistemi interni. | |
SC.3.185 | Implementare meccanismi crittografici per impedire la divulgazione non autorizzata di CUI durante la trasmissione, salvo diversa protezione da tutele fisiche alternative. | Assicurati che l'integrità della rete sia protetta assicurando che i certificati X509 vengano emessi da AWS ACM. Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore perdaysToExpiration(Valore AWS Foundational Security Best Practices: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione. | |
SC.3.185 | Implementare meccanismi crittografici per impedire la divulgazione non autorizzata di CUI durante la trasmissione, salvo diversa protezione da tutele fisiche alternative. | Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati per eliminare le intestazioni http. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
SC.3.185 | Implementare meccanismi crittografici per impedire la divulgazione non autorizzata di CUI durante la trasmissione, salvo diversa protezione da tutele fisiche alternative. | Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
SC.3.185 | Implementare meccanismi crittografici per impedire la divulgazione non autorizzata di CUI durante la trasmissione, salvo diversa protezione da tutele fisiche alternative. | Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway. | |
SC.3.185 | Implementare meccanismi crittografici per impedire la divulgazione non autorizzata di CUI durante la trasmissione, salvo diversa protezione da tutele fisiche alternative. | Garantirenode-to-nodeCrittografia per AmazonOpenSearchIl servizio è abilitato. Node-to-nodeLa crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
SC.3.185 | Implementare meccanismi crittografici per impedire la divulgazione non autorizzata di CUI durante la trasmissione, salvo diversa protezione da tutele fisiche alternative. | Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne. | |
SC.3.185 | Implementare meccanismi crittografici per impedire la divulgazione non autorizzata di CUI durante la trasmissione, salvo diversa protezione da tutele fisiche alternative. | Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne. | |
SC.3.185 | Implementare meccanismi crittografici per impedire la divulgazione non autorizzata di CUI durante la trasmissione, salvo diversa protezione da tutele fisiche alternative. | Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
SC.3.185 | Implementare meccanismi crittografici per impedire la divulgazione non autorizzata di CUI durante la trasmissione, salvo diversa protezione da tutele fisiche alternative. | Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
SC.3.185 | Implementare meccanismi crittografici per impedire la divulgazione non autorizzata di CUI durante la trasmissione, salvo diversa protezione da tutele fisiche alternative. | Per proteggere i dati durante il trasporto, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
SC.3.187 | Stabilire e gestire chiavi crittografiche per la crittografia impiegata nei sistemi organizzativi. | È possibile attivare la rotazione delle chiavi per garantire che le chiavi vengano ruotate una volta che hanno raggiunto la fine del periodo crittografato. | |
SC.3.187 | Stabilire e gestire chiavi crittografiche per la crittografia impiegata nei sistemi organizzativi. | In modo da proteggere i dati inattivi, assicurati che le chiavi master cliente (CMK) necessarie non siano pianificate per l'eliminazione in AWS Key Management Service (AWS KMS). Poiché a volte è necessaria l'eliminazione della chiave, questa regola può aiutare a controllare tutte le chiavi pianificate per l'eliminazione, nel caso in cui una chiave sia stata pianificata involontariamente. | |
SC.3.190 | Proteggi l'autenticità delle sessioni di comunicazione. | Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
SC.3.190 | Proteggi l'autenticità delle sessioni di comunicazione. | Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway. | |
SC.3.190 | Proteggi l'autenticità delle sessioni di comunicazione. | Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne. | |
SC.3.190 | Proteggi l'autenticità delle sessioni di comunicazione. | Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne. | |
SC.3.190 | Proteggi l'autenticità delle sessioni di comunicazione. | Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
SC.3.190 | Proteggi l'autenticità delle sessioni di comunicazione. | Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il cluster Amazon Redshift. Poiché i dati sensibili possono esistere a riposo nei cluster Redshift, abilitare la crittografia a riposo per proteggere tali dati. | |
SC.3.190 | Proteggi l'autenticità delle sessioni di comunicazione. | Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
SC.3.191 | Proteggi la riservatezza di CUI a riposo. | Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per la cache della fase API Gateway. Poiché i dati sensibili possono essere acquisiti per il metodo API, abilitare la crittografia a riposo per proteggere tali dati. | |
SC.3.191 | Proteggi la riservatezza di CUI a riposo. | Per proteggere i dati sensibili a riposo, assicurati che la crittografia sia abilitata per il tuo AmazonCloudWatchGruppi di log. | |
SC.3.191 | Proteggi la riservatezza di CUI a riposo. | Poiché potrebbero esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo AWSCloudTrailsentieri. | |
SC.3.191 | Proteggi la riservatezza di CUI a riposo. | Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati. | |
SC.3.191 | Proteggi la riservatezza di CUI a riposo. | Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo Amazon Elastic File System (EFS). | |
SC.3.191 | Proteggi la riservatezza di CUI a riposo. | Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per AmazonOpenSearchService (Servizio)OpenSearchDomini Service). | |
SC.3.191 | Proteggi la riservatezza di CUI a riposo. | Poiché possono esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). | |
SC.3.191 | Proteggi la riservatezza di CUI a riposo. | Verifica che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati. | |
SC.3.191 | Proteggi la riservatezza di CUI a riposo. | Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati. | |
SC.3.191 | Proteggi la riservatezza di CUI a riposo. | Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il cluster Amazon Redshift. Poiché i dati sensibili possono esistere a riposo nei cluster Redshift, abilitare la crittografia a riposo per proteggere tali dati. | |
SC.3.191 | Proteggi la riservatezza di CUI a riposo. | Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati. | |
SC.3.191 | Proteggi la riservatezza di CUI a riposo. | Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo in un bucket Amazon S3, abilitare la crittografia a riposo per proteggere tali dati. | |
SC.3.191 | Proteggi la riservatezza di CUI a riposo. | Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per ilSageMakerEndpoint. Perché i dati sensibili possono esistere a riposoSageMakerendpoint, abilita la crittografia a riposo per proteggere tali dati. | |
SC.3.191 | Proteggi la riservatezza di CUI a riposo. | Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per ilSageMakernotebook. Perché i dati sensibili possono esistere a riposoSageMakernotebook, abilita la crittografia a riposo per proteggere tali dati. | |
SC.3.191 | Proteggi la riservatezza di CUI a riposo. | Per proteggere i dati a riposo, assicurati che gli argomenti Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Poiché i dati sensibili possono esistere a riposo nei messaggi pubblicati, abilitare la crittografia a riposo per proteggere tali dati. | |
SI.1.210 | Identificare, segnalare e correggere tempestivamente i difetti delle informazioni e del sistema informativo. | AmazonCloudWatchavvisa gli allarmi quando una metrica supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionObbligatorio Config impostazione predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente. | |
SI.1.210 | Identificare, segnalare e correggere tempestivamente i difetti delle informazioni e del sistema informativo. | AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud. | |
SI.1.210 | Identificare, segnalare e correggere tempestivamente i difetti delle informazioni e del sistema informativo. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner. | |
SI.1.211 | Fornire protezione dal codice dannoso in luoghi appropriati all'interno dei sistemi informativi organizzativi. | AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud. | |
SI.2.214 | Monitora gli avvisi e gli avvisi di sicurezza del sistema e agisci in risposta. | Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. | |
SI.2.214 | Monitora gli avvisi e gli avvisi di sicurezza del sistema e agisci in risposta. | AWS WAF consente all'utente di configurare un set di regole (denominato lista di controllo accessi Web (web ACL)) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi | |
SI.2.214 | Monitora gli avvisi e gli avvisi di sicurezza del sistema e agisci in risposta. | AmazonCloudWatchavvisa gli allarmi quando una metrica supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionObbligatorio Config impostazione predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente. | |
SI.2.214 | Monitora gli avvisi e gli avvisi di sicurezza del sistema e agisci in risposta. | Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono i dettagli sull'attività delle chiamate API all'interno dell'account AWS. | |
SI.2.214 | Monitora gli avvisi e gli avvisi di sicurezza del sistema e agisci in risposta. | AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record. | |
SI.2.214 | Monitora gli avvisi e gli avvisi di sicurezza del sistema e agisci in risposta. | Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
SI.2.214 | Monitora gli avvisi e gli avvisi di sicurezza del sistema e agisci in risposta. | AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud. | |
SI.2.214 | Monitora gli avvisi e gli avvisi di sicurezza del sistema e agisci in risposta. | AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione. | |
SI.2.214 | Monitora gli avvisi e gli avvisi di sicurezza del sistema e agisci in risposta. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner. | |
SI.2.216 | Monitora i sistemi organizzativi, incluso il traffico di comunicazioni in entrata e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. | Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. | |
SI.2.216 | Monitora i sistemi organizzativi, incluso il traffico di comunicazioni in entrata e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. | AWS WAF consente all'utente di configurare un set di regole (denominato lista di controllo accessi Web (web ACL)) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi | |
SI.2.216 | Monitora i sistemi organizzativi, incluso il traffico di comunicazioni in entrata e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. | Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono i dettagli sull'attività delle chiamate API all'interno dell'account AWS. | |
SI.2.216 | Monitora i sistemi organizzativi, incluso il traffico di comunicazioni in entrata e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. | AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record. | |
SI.2.216 | Monitora i sistemi organizzativi, incluso il traffico di comunicazioni in entrata e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. | AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud. | |
SI.2.216 | Monitora i sistemi organizzativi, incluso il traffico di comunicazioni in entrata e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. | AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione. | |
SI.2.216 | Monitora i sistemi organizzativi, incluso il traffico di comunicazioni in entrata e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner. | |
SI.2.216 | Monitora i sistemi organizzativi, incluso il traffico di comunicazioni in entrata e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. | Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I registri registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta. | |
SI.2.217 | Identificare l'uso non autorizzato dei sistemi organizzativi. | La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti. | |
SI.2.217 | Identificare l'uso non autorizzato dei sistemi organizzativi. | La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento. | |
SI.2.217 | Identificare l'uso non autorizzato dei sistemi organizzativi. | Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono i dettagli sull'attività delle chiamate API all'interno dell'account AWS. | |
SI.2.217 | Identificare l'uso non autorizzato dei sistemi organizzativi. | AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record. | |
SI.2.217 | Identificare l'uso non autorizzato dei sistemi organizzativi. | Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
SI.2.217 | Identificare l'uso non autorizzato dei sistemi organizzativi. | L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
SI.2.217 | Identificare l'uso non autorizzato dei sistemi organizzativi. | AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud. | |
SI.2.217 | Identificare l'uso non autorizzato dei sistemi organizzativi. | AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione. | |
SI.2.217 | Identificare l'uso non autorizzato dei sistemi organizzativi. | Per agevolare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
SI.2.217 | Identificare l'uso non autorizzato dei sistemi organizzativi. | La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente. | |
SI.2.217 | Identificare l'uso non autorizzato dei sistemi organizzativi. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner. | |
SI.2.217 | Identificare l'uso non autorizzato dei sistemi organizzativi. | Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I registri registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta. |
Modello
Il modello è disponibile suGitHub: Best practice operative per CMMC Level 3