Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Best practice operative per CMMC Level 4
I Conformance Pack forniscono un framework di conformità generico progettato per consentire di creare controlli di governance relativi alla sicurezza, all'operatività o all'ottimizzazione dei costi utilizzando regole gestite o personalizzate e azioni correttive. AWS Config AWS Config I Conformance Pack, in quanto modelli di esempio, non sono progettati per garantire la piena conformità a uno specifico standard di governance o conformità. È responsabilità dell'utente valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.
Di seguito viene fornito un esempio di mappatura tra la Cybersecurity Maturity Model Certification (CMMC) Level 4 e le regole Config gestiteAWS. Ogni regola Config si applica a una AWS risorsa specifica e si riferisce a uno o più controlli CMMC di livello 4. Un controllo CMMC di livello 4 può essere correlato a più regole di Config. Fai riferimento alla tabella seguente per maggiori dettagli e indicazioni relative a queste mappature.
Nota
A causa delle linee guida provvisorie fornite dal DoD e dall'Organismo di accreditamento CMMC in merito alla reciprocità del FedRAMP per i livelli CMMC 3 - 5, si raccomanda ai clienti di AWS GovCloud utilizzare le regioni (USA) in questo momento per tutti i carichi di lavoro che richiedono la conformità ai livelli CMMC 3 - 5. Pertanto, i modelli dei pacchetti di conformità per i livelli da 3 a 5 di CMMC non sono disponibili all'interno della console del pacchetto di conformità per evitare confusione. I clienti possono installare in modo indipendente le regole di Config che mappano le linee guida provvisorie per CMMC Level 3-5 (senza un modello di pacchetto di conformità) CloudFormation utilizzando il file YAML di esempio collegato a questo documento.
| ID controllo | Descrizione del controllo | AWSRegola di Config | Guida |
|---|---|---|---|
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | Le credenziali vengono verificate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo le politiche organizzative. La modifica periodica delle chiavi di accesso è una best practice di sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche dell'organizzazione. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Le istantanee dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | Assicurati che il metodo Instance Metadata Service Version 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | I profili di istanza EC2 passano un ruolo IAM a un'istanza EC2. Associare un profilo di istanza alle istanze può contribuire alla gestione dei privilegi e delle autorizzazioni minimi. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati secondo i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono autenticarsi sono noti come principali. I principali esistono all'interno di un regno Kerberos. All'interno del regno, un server Kerberos è noto come Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC si autentica emettendo ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi master del cluster Amazon EMR possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms:). ReEncryptFrom I valori effettivi devono riflettere le politiche dell'organizzazione | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base alle autorizzazioni associate o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | Assicurati che un utente, un ruolo IAM o un gruppo IAM (AWSIdentity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWSconsiglia di utilizzare politiche gestite anziché politiche in linea. Le politiche gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms:). ReEncryptFrom I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | Assicurati che un utente, un ruolo IAM o un gruppo IAM (AWSIdentity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWSconsiglia di utilizzare politiche gestite anziché politiche in linea. Le politiche gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | Le identità e le credenziali vengono emesse, gestite e verificate in base a una politica di password IAM organizzativa. Soddisfano o superano i requisiti dichiarati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWSFoundational Security Best Practices value: true), RequireLowercaseCharacters (AWSFoundational Security Best Practices value: true), RequireSymbols (AWSFoundational Security Best Practices value: true), RequireNumbers (AWSFoundational Security Best Practices value: true), MinimumPasswordLength (AWSFoundational Security Best Practices value: 14), PasswordReusePrevention (AWSFoundational Security Best Practices value: 24) e MaxPasswordAge (AWSFoundational Security Best Practices value: 90) per Politica sulle password di IAM. I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece AWS account basati sui ruoli per contribuire a incorporare il principio della minima funzionalità. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | AWSIdentity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | Abilita questa regola per limitare l'accesso alle risorse nel AWS cloud. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. L'MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Riduci gli incidenti di account compromessi richiedendo l'autenticazione a più fattori per gli utenti. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o conservare privilegi eccessivi. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | AWSIdentity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se vengono identificate queste credenziali non utilizzate, è necessario disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche dell'organizzazione. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in ingresso (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per consentire comunicazioni sicure tra un'istanza e altri servizi all'interno di Amazon VPC, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno di AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un deterioramento della disponibilità delle risorse. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non è necessario un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. L'MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo l'autenticazione a più fattori per gli utenti, è possibile ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Impostazioni predefinite Config: 20,21,3389,3306,4333). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che la MFA hardware sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un AWS account. L'MFA aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre gli incidenti dovuti alla compromissione degli account. AWS | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un AWS account. L'MFA aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre gli incidenti dovuti alla compromissione degli account. AWS | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | Gestisci l'accesso al AWS cloud abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 sia limitato dai AWS principali, dagli utenti federati, dai responsabili del servizio, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i SageMaker notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | Questa regola garantisce che AWS i segreti di Secrets Manager abbiano la rotazione abilitata. La rotazione periodica dei segreti può abbreviare il periodo di validità di un segreto e potenzialmente ridurre l'impatto aziendale in caso di compromissione del segreto. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | Questa regola garantisce che AWS i segreti di Secrets Manager siano ruotati correttamente in base alla pianificazione di rotazione. La rotazione dei segreti secondo una pianificazione regolare può abbreviare il periodo di attività di un segreto e potenzialmente ridurre l'impatto aziendale in caso di compromissione. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sull'account, sulle risorse e sui processi interni. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio basato sullo stato del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto ai sistemi interni. | |
| AC.1.001 | Limita l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (inclusi altri sistemi di informazione). | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Le istantanee dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. | Assicurati che il metodo Instance Metadata Service Version 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati secondo i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono autenticarsi sono noti come principali. I principali esistono all'interno di un regno Kerberos. All'interno del regno, un server Kerberos è noto come Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC si autentica emettendo ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi master del cluster Amazon EMR possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. | Assicurati che un utente, un ruolo IAM o un gruppo IAM (AWSIdentity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWSconsiglia di utilizzare politiche gestite anziché politiche in linea. Le politiche gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una politica di password IAM organizzativa. Soddisfano o superano i requisiti dichiarati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWSFoundational Security Best Practices value: true), RequireLowercaseCharacters (AWSFoundational Security Best Practices value: true), RequireSymbols (AWSFoundational Security Best Practices value: true), RequireNumbers (AWSFoundational Security Best Practices value: true), MinimumPasswordLength (AWSFoundational Security Best Practices value: 14), PasswordReusePrevention (AWSFoundational Security Best Practices value: 24) e MaxPasswordAge (AWSFoundational Security Best Practices value: 90) per Politica sulle password di IAM. I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece AWS account basati sui ruoli per contribuire a incorporare il principio della minima funzionalità. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. | AWSIdentity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. | Abilita questa regola per limitare l'accesso alle risorse nel AWS Cloud. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. L'MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Riduci gli incidenti di account compromessi richiedendo l'autenticazione a più fattori per gli utenti. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o conservare privilegi eccessivi. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in ingresso (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per consentire comunicazioni sicure tra un'istanza e altri servizi all'interno di Amazon VPC, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno di AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un deterioramento della disponibilità delle risorse. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non è necessario un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. L'MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo l'autenticazione a più fattori per gli utenti, è possibile ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Impostazioni predefinite Config: 20,21,3389,3306,4333). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che la MFA hardware sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un AWS account. L'MFA aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre gli incidenti dovuti alla compromissione degli account. AWS | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un AWS account. L'MFA aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre gli incidenti dovuti alla compromissione degli account. AWS | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. | Gestisci l'accesso al AWS cloud abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 sia limitato dai AWS principali, dagli utenti federati, dai responsabili del servizio, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i SageMaker notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio basato sullo stato del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto ai sistemi interni. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni web. Un WAF aiuta a proteggere le tue applicazioni web o le tue API dagli exploit web più comuni. Questi exploit web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non dovrebbero essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi master del cluster Amazon EMR possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in ingresso (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un deterioramento della disponibilità delle risorse. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Assicurati che le tabelle di routing di Amazon EC2 non abbiano percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre gli accessi involontari all'interno del tuo ambiente. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Impostazioni predefinite Config: 20,21,3389,3306,4333). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i SageMaker notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sull'account, sulle risorse e sui processi interni. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio basato sullo stato del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto ai sistemi interni. | |
| AC.2.007 | Utilizza il principio del privilegio minimo, anche per funzioni di sicurezza specifiche e account privilegiati. | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.2.007 | Utilizza il principio del privilegio minimo, anche per funzioni di sicurezza specifiche e account privilegiati. | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Le istantanee dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.2.007 | Utilizza il principio del privilegio minimo, anche per funzioni di sicurezza specifiche e account privilegiati. | Assicurati che il metodo Instance Metadata Service Version 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| AC.2.007 | Utilizza il principio del privilegio minimo, anche per funzioni di sicurezza specifiche e account privilegiati. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.2.007 | Utilizza il principio del privilegio minimo, anche per funzioni di sicurezza specifiche e account privilegiati. | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| AC.2.007 | Utilizza il principio del privilegio minimo, anche per funzioni di sicurezza specifiche e account privilegiati. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati secondo i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono autenticarsi sono noti come principali. I principali esistono all'interno di un regno Kerberos. All'interno del regno, un server Kerberos è noto come Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC si autentica emettendo ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| AC.2.007 | Utilizza il principio del privilegio minimo, anche per funzioni di sicurezza specifiche e account privilegiati. | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi master del cluster Amazon EMR possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account. | |
| AC.2.007 | Utilizza il principio del privilegio minimo, anche per funzioni di sicurezza specifiche e account privilegiati. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms:). ReEncryptFrom I valori effettivi devono riflettere le politiche dell'organizzazione | |
| AC.2.007 | Utilizza il principio del privilegio minimo, anche per funzioni di sicurezza specifiche e account privilegiati. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base alle autorizzazioni associate o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| AC.2.007 | Utilizza il principio del privilegio minimo, anche per funzioni di sicurezza specifiche e account privilegiati. | Assicurati che un utente, un ruolo IAM o un gruppo IAM (AWSIdentity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWSconsiglia di utilizzare politiche gestite anziché politiche in linea. Le politiche gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms:). ReEncryptFrom I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| AC.2.007 | Utilizza il principio del privilegio minimo, anche per funzioni di sicurezza specifiche e account privilegiati. | Assicurati che un utente, un ruolo IAM o un gruppo IAM (AWSIdentity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWSconsiglia di utilizzare politiche gestite anziché politiche in linea. Le politiche gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. | |
| AC.2.007 | Utilizza il principio del privilegio minimo, anche per funzioni di sicurezza specifiche e account privilegiati. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| AC.2.007 | Utilizza il principio del privilegio minimo, anche per funzioni di sicurezza specifiche e account privilegiati. | Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| AC.2.007 | Utilizza il principio del privilegio minimo, anche per funzioni di sicurezza specifiche e account privilegiati. | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece AWS account basati sui ruoli per contribuire a incorporare il principio della minima funzionalità. | |
| AC.2.007 | Utilizza il principio del privilegio minimo, anche per funzioni di sicurezza specifiche e account privilegiati. | AWSIdentity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| AC.2.007 | Utilizza il principio del privilegio minimo, anche per funzioni di sicurezza specifiche e account privilegiati. | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o conservare privilegi eccessivi. | |
| AC.2.007 | Utilizza il principio del privilegio minimo, anche per funzioni di sicurezza specifiche e account privilegiati. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| AC.2.007 | Utilizza il principio del privilegio minimo, anche per funzioni di sicurezza specifiche e account privilegiati. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un deterioramento della disponibilità delle risorse. | |
| AC.2.007 | Utilizza il principio del privilegio minimo, anche per funzioni di sicurezza specifiche e account privilegiati. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi. | |
| AC.2.007 | Utilizza il principio del privilegio minimo, anche per funzioni di sicurezza specifiche e account privilegiati. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.2.007 | Utilizza il principio del privilegio minimo, anche per funzioni di sicurezza specifiche e account privilegiati. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.2.007 | Utilizza il principio del privilegio minimo, anche per funzioni di sicurezza specifiche e account privilegiati. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| AC.2.007 | Utilizza il principio del privilegio minimo, anche per funzioni di sicurezza specifiche e account privilegiati. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| AC.2.007 | Utilizza il principio del privilegio minimo, anche per funzioni di sicurezza specifiche e account privilegiati. | Gestisci l'accesso al AWS cloud abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 sia limitato dai AWS principali, dagli utenti federati, dai responsabili del servizio, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti. | |
| AC.2.007 | Utilizza il principio del privilegio minimo, anche per funzioni di sicurezza specifiche e account privilegiati. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| AC.2.007 | Utilizza il principio del privilegio minimo, anche per funzioni di sicurezza specifiche e account privilegiati. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| AC.2.007 | Utilizza il principio del privilegio minimo, anche per funzioni di sicurezza specifiche e account privilegiati. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i SageMaker notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| AC.2.007 | Utilizza il principio del privilegio minimo, anche per funzioni di sicurezza specifiche e account privilegiati. | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sull'account, sulle risorse e sui processi interni. | |
| AC.2.007 | Utilizza il principio del privilegio minimo, anche per funzioni di sicurezza specifiche e account privilegiati. | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| AC.2.008 | Utilizza account o ruoli non privilegiati per accedere a funzioni non di sicurezza. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati secondo i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono autenticarsi sono noti come principali. I principali esistono all'interno di un regno Kerberos. All'interno del regno, un server Kerberos è noto come Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC si autentica emettendo ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| AC.2.008 | Utilizza account o ruoli non privilegiati per accedere a funzioni non di sicurezza. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms:). ReEncryptFrom I valori effettivi devono riflettere le politiche dell'organizzazione | |
| AC.2.008 | Utilizza account o ruoli non privilegiati per accedere a funzioni non di sicurezza. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base alle autorizzazioni associate o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| AC.2.008 | Utilizza account o ruoli non privilegiati per accedere a funzioni non di sicurezza. | Assicurati che un utente, un ruolo IAM o un gruppo IAM (AWSIdentity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWSconsiglia di utilizzare politiche gestite anziché politiche in linea. Le politiche gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms:). ReEncryptFrom I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| AC.2.008 | Utilizza account o ruoli non privilegiati per accedere a funzioni non di sicurezza. | Assicurati che un utente, un ruolo IAM o un gruppo IAM (AWSIdentity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWSconsiglia di utilizzare politiche gestite anziché politiche in linea. Le politiche gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. | |
| AC.2.008 | Utilizza account o ruoli non privilegiati per accedere a funzioni non di sicurezza. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| AC.2.008 | Utilizza account o ruoli non privilegiati per accedere a funzioni non di sicurezza. | Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| AC.2.008 | Utilizza account o ruoli non privilegiati per accedere a funzioni non di sicurezza. | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece AWS account basati sui ruoli per contribuire a incorporare il principio della minima funzionalità. | |
| AC.2.008 | Utilizza account o ruoli non privilegiati per accedere a funzioni non di sicurezza. | AWSIdentity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| AC.2.008 | Utilizza account o ruoli non privilegiati per accedere a funzioni non di sicurezza. | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o conservare privilegi eccessivi. | |
| AC.2.013 | Monitora e controlla le sessioni di accesso remoto. | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme dell'ambiente in uso. | |
| AC.2.013 | Monitora e controlla le sessioni di accesso remoto. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo AWS account. | |
| AC.2.013 | Monitora e controlla le sessioni di accesso remoto. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| AC.2.013 | Monitora e controlla le sessioni di accesso remoto. | AWSSecurity Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| AC.2.016 | Controlla il flusso del CUI in conformità con le autorizzazioni approvate. | Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni web. Un WAF aiuta a proteggere le tue applicazioni web o le tue API dagli exploit web più comuni. Questi exploit web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. | |
| AC.2.016 | Controlla il flusso del CUI in conformità con le autorizzazioni approvate. | AWSWAF consente di configurare un insieme di regole (chiamate elenco di controllo degli accessi Web (Web ACL)) che consentono, bloccano o contano le richieste Web in base a regole e condizioni di sicurezza Web personalizzabili definite dall'utente. Assicurati che la tua fase Amazon API Gateway sia associata a un ACL Web WAF per proteggerla da attacchi dannosi | |
| AC.2.016 | Controlla il flusso del CUI in conformità con le autorizzazioni approvate. | Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non dovrebbero essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server. | |
| AC.2.016 | Controlla il flusso del CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.2.016 | Controlla il flusso del CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Le istantanee dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.2.016 | Controlla il flusso del CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.2.016 | Controlla il flusso del CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| AC.2.016 | Controlla il flusso del CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi master del cluster Amazon EMR possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account. | |
| AC.2.016 | Controlla il flusso del CUI in conformità con le autorizzazioni approvate. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in ingresso (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto. | |
| AC.2.016 | Controlla il flusso del CUI in conformità con le autorizzazioni approvate. | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per consentire comunicazioni sicure tra un'istanza e altri servizi all'interno di Amazon VPC, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno di AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| AC.2.016 | Controlla il flusso del CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| AC.2.016 | Controlla il flusso del CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un deterioramento della disponibilità delle risorse. | |
| AC.2.016 | Controlla il flusso del CUI in conformità con le autorizzazioni approvate. | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non è necessario un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| AC.2.016 | Controlla il flusso del CUI in conformità con le autorizzazioni approvate. | Assicurati che le tabelle di routing di Amazon EC2 non abbiano percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre gli accessi involontari all'interno del tuo ambiente. | |
| AC.2.016 | Controlla il flusso del CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi. | |
| AC.2.016 | Controlla il flusso del CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.2.016 | Controlla il flusso del CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.2.016 | Controlla il flusso del CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Impostazioni predefinite Config: 20,21,3389,3306,4333). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| AC.2.016 | Controlla il flusso del CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| AC.2.016 | Controlla il flusso del CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| AC.2.016 | Controlla il flusso del CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| AC.2.016 | Controlla il flusso del CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| AC.2.016 | Controlla il flusso del CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i SageMaker notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| AC.2.016 | Controlla il flusso del CUI in conformità con le autorizzazioni approvate. | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sull'account, sulle risorse e sui processi interni. | |
| AC.2.016 | Controlla il flusso del CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| AC.2.016 | Controlla il flusso del CUI in conformità con le autorizzazioni approvate. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio basato sullo stato del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| AC.2.016 | Controlla il flusso del CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto ai sistemi interni. | |
| AC.2.016 | Controlla il flusso del CUI in conformità con le autorizzazioni approvate. | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| AC.3.014 | Utilizza meccanismi crittografici per proteggere la riservatezza delle sessioni di accesso remoto. | Garantisci che l'integrità della rete sia protetta assicurando che i certificati X509 vengano emessi da ACM. AWS Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore per daysToExpiration (valore AWS Foundational Security Best Practices: 90). Il valore effettivo deve riflettere le politiche dell'organizzazione. | |
| AC.3.014 | Utilizza meccanismi crittografici per proteggere la riservatezza delle sessioni di accesso remoto. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| AC.3.014 | Utilizza meccanismi crittografici per proteggere la riservatezza delle sessioni di accesso remoto. | Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare che le richieste provengono da API Gateway. | |
| AC.3.014 | Utilizza meccanismi crittografici per proteggere la riservatezza delle sessioni di accesso remoto. | Assicurati che la node-to-node crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| AC.3.014 | Utilizza meccanismi crittografici per proteggere la riservatezza delle sessioni di accesso remoto. | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| AC.3.014 | Utilizza meccanismi crittografici per proteggere la riservatezza delle sessioni di accesso remoto. | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| AC.3.014 | Utilizza meccanismi crittografici per proteggere la riservatezza delle sessioni di accesso remoto. | Assicurati che i tuoi Elastic Load Balancer (ELB) siano configurati con listener SSL o HTTPS. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| AC.3.014 | Utilizza meccanismi crittografici per proteggere la riservatezza delle sessioni di accesso remoto. | Assicurati che i tuoi cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| AC.3.014 | Utilizza meccanismi crittografici per proteggere la riservatezza delle sessioni di accesso remoto. | Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste di utilizzo di Secure Socket Layer (SSL). Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| AC.3.014 | Utilizza meccanismi crittografici per proteggere la riservatezza delle sessioni di accesso remoto. | Assicurati che la node-to-node crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| AC.3.017 | Separare i doveri degli individui per ridurre il rischio di attività malevole senza collusioni. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati secondo i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono autenticarsi sono noti come principali. I principali esistono all'interno di un regno Kerberos. All'interno del regno, un server Kerberos è noto come Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC si autentica emettendo ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| AC.3.017 | Separare i doveri degli individui per ridurre il rischio di attività malevole senza collusioni. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms:). ReEncryptFrom I valori effettivi devono riflettere le politiche dell'organizzazione | |
| AC.3.017 | Separare i doveri degli individui per ridurre il rischio di attività malevole senza collusioni. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base alle autorizzazioni associate o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| AC.3.017 | Separare i doveri degli individui per ridurre il rischio di attività malevole senza collusioni. | Assicurati che un utente, un ruolo IAM o un gruppo IAM (AWSIdentity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWSconsiglia di utilizzare politiche gestite anziché politiche in linea. Le politiche gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. | |
| AC.3.017 | Separare i doveri degli individui per ridurre il rischio di attività malevole senza collusioni. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| AC.3.017 | Separare i doveri degli individui per ridurre il rischio di attività malevole senza collusioni. | Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| AC.3.017 | Separare i doveri degli individui per ridurre il rischio di attività malevole senza collusioni. | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece AWS account basati sui ruoli per contribuire a incorporare il principio della minima funzionalità. | |
| AC.3.017 | Separare i doveri degli individui per ridurre il rischio di attività malevole senza collusioni. | AWSIdentity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| AC.3.017 | Separare i doveri degli individui per ridurre il rischio di attività malevole senza collusioni. | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o conservare privilegi eccessivi. | |
| AC.3.017 | Separare i doveri degli individui per ridurre il rischio di attività malevole senza collusioni. | Gestisci l'accesso al AWS cloud abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 sia limitato dai AWS principali, dagli utenti federati, dai responsabili del servizio, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti. | |
| AC.3.018 | Impedisci agli utenti non privilegiati di eseguire funzioni privilegiate e registra l'esecuzione di tali funzioni nei registri di controllo. | La registrazione di API Gateway mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso all'API. Queste informazioni consentono la visibilità delle attività degli utenti. | |
| AC.3.018 | Impedisci agli utenti non privilegiati di eseguire funzioni privilegiate e registra l'esecuzione di tali funzioni nei registri di controllo. | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni sull'AWSaccount che ha effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| AC.3.018 | Impedisci agli utenti non privilegiati di eseguire funzioni privilegiate e registra l'esecuzione di tali funzioni nei registri di controllo. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo AWS account. | |
| AC.3.018 | Impedisci agli utenti non privilegiati di eseguire funzioni privilegiate e registra l'esecuzione di tali funzioni nei registri di controllo. | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione e le chiamate API. AWS È possibile identificare gli utenti e gli AWS account che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| AC.3.018 | Impedisci agli utenti non privilegiati di eseguire funzioni privilegiate e registra l'esecuzione di tali funzioni nei registri di controllo. | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| AC.3.018 | Impedisci agli utenti non privilegiati di eseguire funzioni privilegiate e registra l'esecuzione di tali funzioni nei registri di controllo. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati secondo i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono autenticarsi sono noti come principali. I principali esistono all'interno di un regno Kerberos. All'interno del regno, un server Kerberos è noto come Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC si autentica emettendo ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| AC.3.018 | Impedisci agli utenti non privilegiati di eseguire funzioni privilegiate e registra l'esecuzione di tali funzioni nei registri di controllo. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms:). ReEncryptFrom I valori effettivi devono riflettere le politiche dell'organizzazione | |
| AC.3.018 | Impedisci agli utenti non privilegiati di eseguire funzioni privilegiate e registra l'esecuzione di tali funzioni nei registri di controllo. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base alle autorizzazioni associate o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| AC.3.018 | Impedisci agli utenti non privilegiati di eseguire funzioni privilegiate e registra l'esecuzione di tali funzioni nei registri di controllo. | Assicurati che un utente, un ruolo IAM o un gruppo IAM (AWSIdentity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWSconsiglia di utilizzare politiche gestite anziché politiche in linea. Le politiche gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms:). ReEncryptFrom I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| AC.3.018 | Impedisci agli utenti non privilegiati di eseguire funzioni privilegiate e registra l'esecuzione di tali funzioni nei registri di controllo. | Assicurati che un utente, un ruolo IAM o un gruppo IAM (AWSIdentity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWSconsiglia di utilizzare politiche gestite anziché politiche in linea. Le politiche gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. | |
| AC.3.018 | Impedisci agli utenti non privilegiati di eseguire funzioni privilegiate e registra l'esecuzione di tali funzioni nei registri di controllo. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| AC.3.018 | Impedisci agli utenti non privilegiati di eseguire funzioni privilegiate e registra l'esecuzione di tali funzioni nei registri di controllo. | Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| AC.3.018 | Impedisci agli utenti non privilegiati di eseguire funzioni privilegiate e registra l'esecuzione di tali funzioni nei registri di controllo. | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece AWS account basati sui ruoli per contribuire a incorporare il principio della minima funzionalità. | |
| AC.3.018 | Impedisci agli utenti non privilegiati di eseguire funzioni privilegiate e registra l'esecuzione di tali funzioni nei registri di controllo. | AWSIdentity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| AC.3.018 | Impedisci agli utenti non privilegiati di eseguire funzioni privilegiate e registra l'esecuzione di tali funzioni nei registri di controllo. | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o conservare privilegi eccessivi. | |
| AC.3.018 | Impedisci agli utenti non privilegiati di eseguire funzioni privilegiate e registra l'esecuzione di tali funzioni nei registri di controllo. | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamatiAWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di registro contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| AC.3.018 | Impedisci agli utenti non privilegiati di eseguire funzioni privilegiate e registra l'esecuzione di tali funzioni nei registri di controllo. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| AC.3.018 | Impedisci agli utenti non privilegiati di eseguire funzioni privilegiate e registra l'esecuzione di tali funzioni nei registri di controllo. | La registrazione degli accessi al server di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi vengono monitorati acquisendo record dettagliati per le richieste effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'azione della richiesta, lo stato della risposta e un codice di errore, se pertinente. | |
| AC.3.018 | Impedisci agli utenti non privilegiati di eseguire funzioni privilegiate e registra l'esecuzione di tali funzioni nei registri di controllo. | Gestisci l'accesso al AWS cloud abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 sia limitato dai AWS principali, dagli utenti federati, dai responsabili del servizio, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti. | |
| AC.3.018 | Impedisci agli utenti non privilegiati di eseguire funzioni privilegiate e registra l'esecuzione di tali funzioni nei registri di controllo. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sugli ACL web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dal tuo ACL web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| AC.4.023 | Controlla i flussi di informazioni tra i domini di sicurezza sui sistemi connessi. | Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni web. Un WAF aiuta a proteggere le tue applicazioni web o le tue API dagli exploit web più comuni. Questi exploit web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. | |
| AC.4.023 | Controlla i flussi di informazioni tra i domini di sicurezza sui sistemi connessi. | AWSWAF consente di configurare un insieme di regole (chiamate elenco di controllo degli accessi Web (Web ACL)) che consentono, bloccano o contano le richieste Web in base a regole e condizioni di sicurezza Web personalizzabili definite dall'utente. Assicurati che la tua fase Amazon API Gateway sia associata a un ACL Web WAF per proteggerla da attacchi dannosi | |
| AC.4.023 | Controlla i flussi di informazioni tra i domini di sicurezza sui sistemi connessi. | Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non dovrebbero essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server. | |
| AC.4.023 | Controlla i flussi di informazioni tra i domini di sicurezza sui sistemi connessi. | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.4.023 | Controlla i flussi di informazioni tra i domini di sicurezza sui sistemi connessi. | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Le istantanee dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.4.023 | Controlla i flussi di informazioni tra i domini di sicurezza sui sistemi connessi. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.4.023 | Controlla i flussi di informazioni tra i domini di sicurezza sui sistemi connessi. | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| AC.4.023 | Controlla i flussi di informazioni tra i domini di sicurezza sui sistemi connessi. | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi master del cluster Amazon EMR possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account. | |
| AC.4.023 | Controlla i flussi di informazioni tra i domini di sicurezza sui sistemi connessi. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in ingresso (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto. | |
| AC.4.023 | Controlla i flussi di informazioni tra i domini di sicurezza sui sistemi connessi. | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per consentire comunicazioni sicure tra un'istanza e altri servizi all'interno di Amazon VPC, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno di AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| AC.4.023 | Controlla i flussi di informazioni tra i domini di sicurezza sui sistemi connessi. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| AC.4.023 | Controlla i flussi di informazioni tra i domini di sicurezza sui sistemi connessi. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un deterioramento della disponibilità delle risorse. | |
| AC.4.023 | Controlla i flussi di informazioni tra i domini di sicurezza sui sistemi connessi. | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non è necessario un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| AC.4.023 | Controlla i flussi di informazioni tra i domini di sicurezza sui sistemi connessi. | Assicurati che le tabelle di routing di Amazon EC2 non abbiano percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre gli accessi involontari all'interno del tuo ambiente. | |
| AC.4.023 | Controlla i flussi di informazioni tra i domini di sicurezza sui sistemi connessi. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi. | |
| AC.4.023 | Controlla i flussi di informazioni tra i domini di sicurezza sui sistemi connessi. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.4.023 | Controlla i flussi di informazioni tra i domini di sicurezza sui sistemi connessi. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.4.023 | Controlla i flussi di informazioni tra i domini di sicurezza sui sistemi connessi. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Impostazioni predefinite Config: 20,21,3389,3306,4333). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| AC.4.023 | Controlla i flussi di informazioni tra i domini di sicurezza sui sistemi connessi. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| AC.4.023 | Controlla i flussi di informazioni tra i domini di sicurezza sui sistemi connessi. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| AC.4.023 | Controlla i flussi di informazioni tra i domini di sicurezza sui sistemi connessi. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| AC.4.023 | Controlla i flussi di informazioni tra i domini di sicurezza sui sistemi connessi. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| AC.4.023 | Controlla i flussi di informazioni tra i domini di sicurezza sui sistemi connessi. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i SageMaker notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| AC.4.023 | Controlla i flussi di informazioni tra i domini di sicurezza sui sistemi connessi. | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sull'account, sulle risorse e sui processi interni. | |
| AC.4.023 | Controlla i flussi di informazioni tra i domini di sicurezza sui sistemi connessi. | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| AC.4.023 | Controlla i flussi di informazioni tra i domini di sicurezza sui sistemi connessi. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio basato sullo stato del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| AC.4.023 | Controlla i flussi di informazioni tra i domini di sicurezza sui sistemi connessi. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto ai sistemi interni. | |
| AC.4.023 | Controlla i flussi di informazioni tra i domini di sicurezza sui sistemi connessi. | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| AM.4.226 | Utilizzate la capacità di scoprire e identificare sistemi con attributi di componenti specifici (ad esempio, livello di firmware, tipo di sistema operativo) all'interno del vostro inventario. | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| AM.4.226 | Utilizzate la capacità di scoprire e identificare sistemi con attributi di componenti specifici (ad esempio, livello di firmware, tipo di sistema operativo) all'interno del vostro inventario. | ec2- -controlla managedinstance-association-compliance-status |
Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee di base dei livelli di patch del sistema operativo, delle installazioni software, delle configurazioni delle applicazioni e altri dettagli sull'ambiente. |
| AM.4.226 | Utilizzate la capacità di scoprire e identificare sistemi con attributi di componenti specifici (ad esempio, livello di firmware, tipo di sistema operativo) all'interno del vostro inventario. | Abilita questa regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| AU.2.041 | Garantisci che le azioni dei singoli utenti del sistema possano essere ricondotte in modo univoco a tali utenti in modo che possano essere ritenuti responsabili delle loro azioni. | La registrazione di API Gateway mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso all'API. Queste informazioni consentono la visibilità delle attività degli utenti. | |
| AU.2.041 | Garantisci che le azioni dei singoli utenti del sistema possano essere ricondotte in modo univoco a tali utenti in modo che possano essere ritenuti responsabili delle loro azioni. | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni sull'AWSaccount che ha effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| AU.2.041 | Garantisci che le azioni dei singoli utenti del sistema possano essere ricondotte in modo univoco a tali utenti in modo che possano essere ritenuti responsabili delle loro azioni. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo AWS account. | |
| AU.2.041 | Garantisci che le azioni dei singoli utenti del sistema possano essere ricondotte in modo univoco a tali utenti in modo che possano essere ritenuti responsabili delle loro azioni. | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione e le chiamate API. AWS È possibile identificare gli utenti e gli AWS account che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| AU.2.041 | Garantisci che le azioni dei singoli utenti del sistema possano essere ricondotte in modo univoco a tali utenti in modo che possano essere ritenuti responsabili delle loro azioni. | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| AU.2.041 | Garantisci che le azioni dei singoli utenti del sistema possano essere ricondotte in modo univoco a tali utenti in modo che possano essere ritenuti responsabili delle loro azioni. | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamatiAWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di registro contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| AU.2.041 | Garantisci che le azioni dei singoli utenti del sistema possano essere ricondotte in modo univoco a tali utenti in modo che possano essere ritenuti responsabili delle loro azioni. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| AU.2.041 | Garantisci che le azioni dei singoli utenti del sistema possano essere ricondotte in modo univoco a tali utenti in modo che possano essere ritenuti responsabili delle loro azioni. | La registrazione degli accessi al server di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi vengono monitorati acquisendo record dettagliati per le richieste effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'azione della richiesta, lo stato della risposta e un codice di errore, se pertinente. | |
| AU.2.041 | Garantisci che le azioni dei singoli utenti del sistema possano essere ricondotte in modo univoco a tali utenti in modo che possano essere ritenuti responsabili delle loro azioni. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sugli ACL web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dal tuo ACL web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| AU.2.042 | Crea e conserva i registri e i registri di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività di sistema illegali o non autorizzate. | La registrazione di API Gateway mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso all'API. Queste informazioni consentono la visibilità delle attività degli utenti. | |
| AU.2.042 | Crea e conserva i registri e i registri di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività di sistema illegali o non autorizzate. | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni sull'AWSaccount che ha effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| AU.2.042 | Crea e conserva i registri e i registri di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività di sistema illegali o non autorizzate. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo AWS account. | |
| AU.2.042 | Crea e conserva i registri e i registri di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività di sistema illegali o non autorizzate. | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione e le chiamate API. AWS È possibile identificare gli utenti e gli AWS account che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| AU.2.042 | Crea e conserva i registri e i registri di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività di sistema illegali o non autorizzate. | Assicurati che venga conservata una durata minima dei dati del registro degli eventi per i tuoi gruppi di registro per facilitare la risoluzione dei problemi e le indagini forensi. La mancanza di dati disponibili nei registri degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. | |
| AU.2.042 | Crea e conserva i registri e i registri di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività di sistema illegali o non autorizzate. | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| AU.2.042 | Crea e conserva i registri e i registri di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività di sistema illegali o non autorizzate. | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamatiAWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di registro contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| AU.2.042 | Crea e conserva i registri e i registri di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività di sistema illegali o non autorizzate. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| AU.2.042 | Crea e conserva i registri e i registri di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività di sistema illegali o non autorizzate. | La registrazione degli accessi al server di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi vengono monitorati acquisendo record dettagliati per le richieste effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'azione della richiesta, lo stato della risposta e un codice di errore, se pertinente. | |
| AU.2.042 | Crea e conserva i registri e i registri di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività di sistema illegali o non autorizzate. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sugli ACL web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dal tuo ACL web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| AU.3.046 | Avviso in caso di errore del processo di registrazione dell'audit. | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme dell'ambiente in uso. | |
| AU.3.046 | Avviso in caso di errore del processo di registrazione dell'audit. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo AWS account. | |
| AU.3.046 | Avviso in caso di errore del processo di registrazione dell'audit. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| AU.3.046 | Avviso in caso di errore del processo di registrazione dell'audit. | AWSSecurity Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| AU.3.049 | Proteggi le informazioni di controllo e gli strumenti di registrazione degli audit da accessi, modifiche ed eliminazioni non autorizzati. | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi Amazon CloudWatch Log Groups. | |
| AU.3.049 | Proteggi le informazioni di controllo e gli strumenti di registrazione degli audit da accessi, modifiche ed eliminazioni non autorizzati. | Poiché possono esistere dati sensibili e per contribuire a proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CloudTrail percorsi. | |
| AU.3.049 | Proteggi le informazioni di controllo e gli strumenti di registrazione degli audit da accessi, modifiche ed eliminazioni non autorizzati. | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei log. CloudTrail La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| AU.3.049 | Proteggi le informazioni di controllo e gli strumenti di registrazione degli audit da accessi, modifiche ed eliminazioni non autorizzati. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| AU.3.049 | Proteggi le informazioni di controllo e gli strumenti di registrazione degli audit da accessi, modifiche ed eliminazioni non autorizzati. | Assicurati che il tuo bucket Amazon Simple Storage Service (Amazon S3) abbia il blocco abilitato, per impostazione predefinita. Poiché i dati sensibili possono esistere inattivi nei bucket S3, applica i blocchi degli oggetti quando sono inattivi per proteggere tali dati. | |
| AU.3.049 | Proteggi le informazioni di controllo e gli strumenti di registrazione degli audit da accessi, modifiche ed eliminazioni non autorizzati. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| AU.3.049 | Proteggi le informazioni di controllo e gli strumenti di registrazione degli audit da accessi, modifiche ed eliminazioni non autorizzati. | Gestisci l'accesso al AWS cloud abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 sia limitato dai AWS principali, dagli utenti federati, dai responsabili del servizio, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti. | |
| AU.3.049 | Proteggi le informazioni di controllo e gli strumenti di registrazione degli audit da accessi, modifiche ed eliminazioni non autorizzati. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| AU.3.049 | Proteggi le informazioni di controllo e gli strumenti di registrazione degli audit da accessi, modifiche ed eliminazioni non autorizzati. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| AU.3.049 | Proteggi le informazioni di controllo e gli strumenti di registrazione degli audit da accessi, modifiche ed eliminazioni non autorizzati. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere inattivi nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| AU.3.049 | Proteggi le informazioni di controllo e gli strumenti di registrazione degli audit da accessi, modifiche ed eliminazioni non autorizzati. | Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste di utilizzo di Secure Socket Layer (SSL). Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| AU.3.049 | Proteggi le informazioni di controllo e gli strumenti di registrazione degli audit da accessi, modifiche ed eliminazioni non autorizzati. | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa il controllo delle versioni per conservare, recuperare e ripristinare ogni versione di ogni oggetto archiviato nel tuo bucket Amazon S3. Il controllo delle versioni ti aiuta a ripristinare facilmente le azioni involontarie degli utenti e gli errori delle applicazioni. | |
| AU.3.049 | Proteggi le informazioni di controllo e gli strumenti di registrazione degli audit da accessi, modifiche ed eliminazioni non autorizzati. | Assicurati che la crittografia sia abilitata per i tuoi bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere inattivi in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati. | |
| AU.3.051 | Collega i processi di revisione, analisi e rendicontazione dei registri di audit per indagare e rispondere a indicazioni di attività illegali, non autorizzate, sospette o insolite. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| AU.3.051 | Collega i processi di revisione, analisi e rendicontazione dei registri di audit per indagare e rispondere a indicazioni di attività illegali, non autorizzate, sospette o insolite. | AWSSecurity Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| AU.4.053 | Automatizza l'analisi dei log di controllo per identificare e agire in base agli indicatori critici (TTP) e/o alle attività sospette definite dall'organizzazione. | Amazon CloudWatch avvisa quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme dell'ambiente in uso. | |
| AU.4.053 | Automatizza l'analisi dei log di controllo per identificare e agire in base agli indicatori critici (TTP) e/o alle attività sospette definite dall'organizzazione. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo AWS account. | |
| AU.4.053 | Automatizza l'analisi dei log di controllo per identificare e agire in base agli indicatori critici (TTP) e/o alle attività sospette definite dall'organizzazione. | Amazon GuardDuty può contribuire a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| AU.4.053 | Automatizza l'analisi dei log di controllo per identificare e agire in base agli indicatori critici (TTP) e/o alle attività sospette definite dall'organizzazione. | AWSSecurity Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| AU.4.054 | Esaminate le informazioni di audit per un'ampia gamma di attività oltre a quelle relative alle singole macchine. | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme dell'ambiente in uso. | |
| AU.4.054 | Esaminate le informazioni di audit per un'ampia gamma di attività oltre a quelle relative alle singole macchine. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| AU.4.054 | Esaminate le informazioni di audit per un'ampia gamma di attività oltre a quelle relative alle singole macchine. | AWSSecurity Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| 3.161 CIRCA | Monitora i controlli di sicurezza su base continuativa per garantire la continua efficacia dei controlli. | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme dell'ambiente in uso. | |
| CIRCA 3.161 | Monitora i controlli di sicurezza su base continuativa per garantire la continua efficacia dei controlli. | Amazon GuardDuty può contribuire a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| 3.161 CIRCA | Monitora i controlli di sicurezza su base continuativa per garantire la continua efficacia dei controlli. | AWSSecurity Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| CM.2,061 | Stabilisci e gestisci le configurazioni e gli inventari di base dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) durante i rispettivi cicli di vita di sviluppo del sistema. | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| CM.2,061 | Stabilisci e gestisci le configurazioni e gli inventari di base dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) durante i rispettivi cicli di vita di sviluppo del sistema. | ec2- -controlla managedinstance-association-compliance-status |
Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee di base dei livelli di patch del sistema operativo, delle installazioni software, delle configurazioni delle applicazioni e altri dettagli sull'ambiente. |
| CM.2,061 | Stabilisci e gestisci le configurazioni e gli inventari di base dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) durante i rispettivi cicli di vita di sviluppo del sistema. | Abilita questa regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| CM.2,061 | Stabilisci e gestisci le configurazioni e gli inventari di base dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) durante i rispettivi cicli di vita di sviluppo del sistema. | Abilita questa regola per facilitare la configurazione di base delle istanze Amazon Elastic Compute Cloud (Amazon EC2) controllando se le istanze Amazon EC2 sono state interrotte per più del numero di giorni consentito, in base agli standard della tua organizzazione. | |
| CM.2,061 | Stabilisci e gestisci le configurazioni e gli inventari di base dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) durante i rispettivi cicli di vita di sviluppo del sistema. | Questa regola garantisce che i volumi di Amazon Elastic Block Store collegati alle istanze Amazon Elastic Compute Cloud (Amazon EC2) siano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegato viene terminata, potrebbe violare il concetto di funzionalità minima. | |
| CM.2,061 | Stabilisci e gestisci le configurazioni e gli inventari di base dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) durante i rispettivi cicli di vita di sviluppo del sistema. | Questa regola garantisce che gli IP elastici allocati a un Amazon Virtual Private Cloud (Amazon VPC) siano collegati a istanze Amazon Elastic Compute Cloud (Amazon EC2) o interfacce di rete elastiche in uso. Questa regola aiuta a monitorare gli EIP non utilizzati nel tuo ambiente. | |
| CM.2,062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi in modo da fornire solo le funzionalità essenziali. | Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non dovrebbero essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server. | |
| CM.2,062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi in modo da fornire solo le funzionalità essenziali. | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CM.2,062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi in modo da fornire solo le funzionalità essenziali. | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Le istantanee dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CM.2,062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi in modo da fornire solo le funzionalità essenziali. | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| CM.2,062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi in modo da fornire solo le funzionalità essenziali. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CM.2,062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi in modo da fornire solo le funzionalità essenziali. | ec2- -controlla managedinstance-association-compliance-status |
Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee di base dei livelli di patch del sistema operativo, delle installazioni software, delle configurazioni delle applicazioni e altri dettagli sull'ambiente. |
| CM.2,062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi in modo da fornire solo le funzionalità essenziali. | Questa regola garantisce che i volumi di Amazon Elastic Block Store collegati alle istanze Amazon Elastic Compute Cloud (Amazon EC2) siano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegato viene terminata, potrebbe violare il concetto di funzionalità minima. | |
| CM.2,062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi in modo da fornire solo le funzionalità essenziali. | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| CM.2,062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi in modo da fornire solo le funzionalità essenziali. | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi master del cluster Amazon EMR possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account. | |
| CM.2,062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi in modo da fornire solo le funzionalità essenziali. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in ingresso (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto. | |
| CM.2,062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi in modo da fornire solo le funzionalità essenziali. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| CM.2,062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi in modo da fornire solo le funzionalità essenziali. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un deterioramento della disponibilità delle risorse. | |
| CM.2,062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi in modo da fornire solo le funzionalità essenziali. | Assicurati che le tabelle di routing di Amazon EC2 non abbiano percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre gli accessi involontari all'interno del tuo ambiente. | |
| CM.2,062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi in modo da fornire solo le funzionalità essenziali. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi. | |
| CM.2,062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi in modo da fornire solo le funzionalità essenziali. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CM.2,062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi in modo da fornire solo le funzionalità essenziali. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CM.2,062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi in modo da fornire solo le funzionalità essenziali. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Impostazioni predefinite Config: 20,21,3389,3306,4333). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| CM.2,062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi in modo da fornire solo le funzionalità essenziali. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| CM.2,062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi in modo da fornire solo le funzionalità essenziali. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| CM.2,062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi in modo da fornire solo le funzionalità essenziali. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CM.2,062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi in modo da fornire solo le funzionalità essenziali. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CM.2,062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi in modo da fornire solo le funzionalità essenziali. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i SageMaker notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| CM.2,062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi in modo da fornire solo le funzionalità essenziali. | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sull'account, sulle risorse e sui processi interni. | |
| CM.2,062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi in modo da fornire solo le funzionalità essenziali. | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| CM.2,062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi in modo da fornire solo le funzionalità essenziali. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio basato sullo stato del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| CM.2,062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi in modo da fornire solo le funzionalità essenziali. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto ai sistemi interni. | |
| CM.2,062 | Utilizza il principio della minima funzionalità configurando i sistemi organizzativi in modo da fornire solo le funzionalità essenziali. | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| CM.2,063 | Controlla e monitora il software installato dall'utente. | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| CM.2,063 | Controlla e monitora il software installato dall'utente. | ec2- -controlla managedinstance-association-compliance-status |
Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee di base dei livelli di patch del sistema operativo, delle installazioni software, delle configurazioni delle applicazioni e altri dettagli sull'ambiente. |
| CM.2,063 | Controlla e monitora il software installato dall'utente. | Abilita questa regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| CM.2,064 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici utilizzati nei sistemi organizzativi. | La gestione centralizzata degli AWS account all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata degli account può portare a configurazioni degli account incoerenti, che possono esporre risorse e dati sensibili. | |
| CM.2,064 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici utilizzati nei sistemi organizzativi. | Questa regola aiuta a garantire l'uso delle migliori pratiche di sicurezza AWS consigliate per AWS CloudTrail, verificando l'abilitazione di più impostazioni. Queste includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione AWS CloudTrail in più aree. | |
| CM.2,064 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici utilizzati nei sistemi organizzativi. | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei log. CloudTrail La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| CM.2,064 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici utilizzati nei sistemi organizzativi. | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| CM.2,064 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici utilizzati nei sistemi organizzativi. | ec2- -controlla managedinstance-association-compliance-status |
Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee di base dei livelli di patch del sistema operativo, delle installazioni software, delle configurazioni delle applicazioni e altri dettagli sull'ambiente. |
| CM.2,064 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici utilizzati nei sistemi organizzativi. | Abilita questa regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| CM.2,064 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici utilizzati nei sistemi organizzativi. | L'abilitazione degli aggiornamenti gestiti della piattaforma per un ambiente Amazon Elastic Beanstalk garantisce l'installazione delle correzioni, degli aggiornamenti e delle funzionalità più recenti disponibili per l'ambiente. Tenersi aggiornati sull'installazione delle patch è una best practice per proteggere i sistemi. | |
| CM.2,064 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici utilizzati nei sistemi organizzativi. | Amazon GuardDuty può aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CM.2,064 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici utilizzati nei sistemi organizzativi. | Abilita gli upgrade automatici delle versioni secondarie sulle tue istanze Amazon Relational Database Service (RDS) per garantire che siano installati gli ultimi aggiornamenti delle versioni secondarie del Relational Database Management System (RDBMS), che possono includere patch di sicurezza e correzioni di bug. | |
| CM.2,064 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici utilizzati nei sistemi organizzativi. | Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno preferito finestre di manutenzione e periodi di conservazione automatizzati delle istantanee per il database. Questa regola richiede l'impostazione di. allowVersionUpgrade Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sab: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| CM.2,064 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici utilizzati nei sistemi organizzativi. | AWSSecurity Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| CM.2,065 | Tieni traccia, esamina, approva o disapprova e registra le modifiche ai sistemi organizzativi. | La registrazione di API Gateway mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso all'API. Queste informazioni consentono la visibilità delle attività degli utenti. | |
| CM.2,065 | Tieni traccia, esamina, approva o disapprova e registra le modifiche ai sistemi organizzativi. | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni sull'AWSaccount che ha effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| CM.2,065 | Tieni traccia, esamina, approva o disapprova e registra le modifiche ai sistemi organizzativi. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo AWS account. | |
| CM.2,065 | Tieni traccia, esamina, approva o disapprova e registra le modifiche ai sistemi organizzativi. | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione e le chiamate API. AWS È possibile identificare gli utenti e gli AWS account che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CM.2,065 | Tieni traccia, esamina, approva o disapprova e registra le modifiche ai sistemi organizzativi. | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| CM.2,065 | Tieni traccia, esamina, approva o disapprova e registra le modifiche ai sistemi organizzativi. | ec2- -controlla managedinstance-association-compliance-status |
Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee di base dei livelli di patch del sistema operativo, delle installazioni software, delle configurazioni delle applicazioni e altri dettagli sull'ambiente. |
| CM.2,065 | Tieni traccia, esamina, approva o disapprova e registra le modifiche ai sistemi organizzativi. | Abilita questa regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| CM.2,065 | Tieni traccia, esamina, approva o disapprova e registra le modifiche ai sistemi organizzativi. | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| CM.2,065 | Tieni traccia, esamina, approva o disapprova e registra le modifiche ai sistemi organizzativi. | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamatiAWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di registro contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CM.2,065 | Tieni traccia, esamina, approva o disapprova e registra le modifiche ai sistemi organizzativi. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| CM.2,065 | Tieni traccia, esamina, approva o disapprova e registra le modifiche ai sistemi organizzativi. | La registrazione degli accessi al server di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi vengono monitorati acquisendo record dettagliati per le richieste effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'azione della richiesta, lo stato della risposta e un codice di errore, se pertinente. | |
| CM.2,065 | Tieni traccia, esamina, approva o disapprova e registra le modifiche ai sistemi organizzativi. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sugli ACL web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dal tuo ACL web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| CM.3,068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non dovrebbero essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server. | |
| CM.3,068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CM.3,068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi master del cluster Amazon EMR possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account. | |
| CM.3,068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in ingresso (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto. | |
| CM.3,068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| CM.3,068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un deterioramento della disponibilità delle risorse. | |
| CM.3,068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Assicurati che le tabelle di routing di Amazon EC2 non abbiano percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre gli accessi involontari all'interno del tuo ambiente. | |
| CM.3,068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi. | |
| CM.3,068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CM.3,068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Impostazioni predefinite Config: 20,21,3389,3306,4333). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| CM.3,068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| CM.3,068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| CM.3,068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CM.3,068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CM.3,068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i SageMaker notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| CM.3,068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sull'account, sulle risorse e sui processi interni. | |
| CM.3,068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| CM.3,068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio basato sullo stato del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| CM.3,068 | Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto ai sistemi interni. | |
| IA.1.076 | Identifica gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o i dispositivi. | La registrazione di API Gateway mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso all'API. Queste informazioni consentono la visibilità delle attività degli utenti. | |
| IA.1.076 | Identifica gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o i dispositivi. | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni sull'AWSaccount che ha effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| IA.1.076 | Identifica gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o i dispositivi. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo AWS account. | |
| IA.1.076 | Identifica gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o i dispositivi. | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione e le chiamate API. AWS È possibile identificare gli utenti e gli AWS account che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| IA.1.076 | Identifica gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o i dispositivi. | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| IA.1.076 | Identifica gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o i dispositivi. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati secondo i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono autenticarsi sono noti come principali. I principali esistono all'interno di un regno Kerberos. All'interno del regno, un server Kerberos è noto come Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC si autentica emettendo ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| IA.1.076 | Identifica gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o i dispositivi. | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamatiAWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di registro contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| IA.1.076 | Identifica gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o i dispositivi. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| IA.1.076 | Identifica gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o i dispositivi. | La registrazione degli accessi al server di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi vengono monitorati acquisendo record dettagliati per le richieste effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'azione della richiesta, lo stato della risposta e un codice di errore, se pertinente. | |
| IA.1.076 | Identifica gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o i dispositivi. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sugli ACL web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dal tuo ACL web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| IA.1.077 | Autentica (o verifica) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi organizzativi. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati secondo i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono autenticarsi sono noti come principali. I principali esistono all'interno di un regno Kerberos. All'interno del regno, un server Kerberos è noto come Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC si autentica emettendo ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| IA.1.077 | Autentica (o verifica) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi organizzativi. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una politica di password IAM organizzativa. Soddisfano o superano i requisiti dichiarati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWSFoundational Security Best Practices value: true), RequireLowercaseCharacters (AWSFoundational Security Best Practices value: true), RequireSymbols (AWSFoundational Security Best Practices value: true), RequireNumbers (AWSFoundational Security Best Practices value: true), MinimumPasswordLength (AWSFoundational Security Best Practices value: 14), PasswordReusePrevention (AWSFoundational Security Best Practices value: 24) e MaxPasswordAge (AWSFoundational Security Best Practices value: 90) per Politica sulle password di IAM. I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| IA.1.077 | Autentica (o verifica) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi organizzativi. | Abilita questa regola per limitare l'accesso alle risorse nel Cloud. AWS Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. L'MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Riduci gli incidenti di account compromessi richiedendo l'autenticazione a più fattori per gli utenti. | |
| IA.1.077 | Autentica (o verifica) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi organizzativi. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. L'MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo l'autenticazione a più fattori per gli utenti, è possibile ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| IA.1.077 | Autentica (o verifica) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi organizzativi. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che la MFA hardware sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un AWS account. L'MFA aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre gli incidenti dovuti alla compromissione degli account. AWS | |
| IA.1.077 | Autentica (o verifica) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi organizzativi. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un AWS account. L'MFA aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre gli incidenti dovuti alla compromissione degli account. AWS | |
| IA.2.078 | Applica una complessità minima della password e il cambio di caratteri quando vengono create nuove password. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una politica aziendale in materia di password IAM. Soddisfano o superano i requisiti dichiarati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWSFoundational Security Best Practices value: true), RequireLowercaseCharacters (AWSFoundational Security Best Practices value: true), RequireSymbols (AWSFoundational Security Best Practices value: true), RequireNumbers (AWSFoundational Security Best Practices value: true), MinimumPasswordLength (AWSFoundational Security Best Practices value: 14), PasswordReusePrevention (AWSFoundational Security Best Practices value: 24) e MaxPasswordAge (AWSFoundational Security Best Practices value: 90) per Politica sulle password di IAM. I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| IA.2.079 | Proibisci il riutilizzo delle password per un determinato numero di generazioni. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una politica di password IAM organizzativa. Soddisfano o superano i requisiti dichiarati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWSFoundational Security Best Practices value: true), RequireLowercaseCharacters (AWSFoundational Security Best Practices value: true), RequireSymbols (AWSFoundational Security Best Practices value: true), RequireNumbers (AWSFoundational Security Best Practices value: true), MinimumPasswordLength (AWSFoundational Security Best Practices value: 14), PasswordReusePrevention (AWSFoundational Security Best Practices value: 24) e MaxPasswordAge (AWSFoundational Security Best Practices value: 90) per Politica sulle password di IAM. I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Assicurati che i tuoi Elastic Load Balancer (ELB) siano configurati per eliminare le intestazioni http. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per la cache della fase API Gateway. Poiché i dati sensibili possono essere acquisiti con il metodo API, abilita la crittografia a riposo per proteggere tali dati. | |
| IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare che le richieste provengono da API Gateway. | |
| IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché in questi volumi possono esistere dati sensibili inattivi, abilita la crittografia a riposo per proteggere tali dati. | |
| IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Poiché possono esistere dati sensibili e per contribuire a proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service (Service). OpenSearch | |
| IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Assicurati che la node-to-node crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Assicurati che i tuoi Elastic Load Balancer (ELB) siano configurati con listener SSL o HTTPS. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (Amazon EBS). | |
| IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Assicurati che la crittografia sia abilitata per gli snapshot di Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere anche quando sono inattivi, abilita la crittografia a riposo per proteggere tali dati. | |
| IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per le tue istanze di Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere anche quando sono inattivi nelle istanze Amazon RDS, abilita la crittografia inattiva per proteggere tali dati. | |
| IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWSKMS) sia abilitata per il tuo cluster Amazon Redshift. Poiché i dati sensibili possono esistere inattivi nei cluster Redshift, abilita la crittografia a riposo per proteggere tali dati. | |
| IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Assicurati che i tuoi cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere inattivi nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste di utilizzo di Secure Socket Layer (SSL). Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Assicurati che la crittografia sia abilitata per i tuoi bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere inattivi in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati. | |
| IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWSKMS) sia abilitata per il tuo endpoint. SageMaker Poiché nell' SageMaker endpoint possono esistere dati sensibili inattivi, abilita la crittografia a riposo per proteggere tali dati. | |
| IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWSKMS) sia abilitata per il tuo notebook. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Per proteggere i dati archiviati, assicurati che gli argomenti di Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia AWS tramite Key Management Service AWS (KMS). Poiché i dati sensibili possono esistere anche quando sono inattivi nei messaggi pubblicati, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Poiché possono esistere dati sensibili e per contribuire a proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon Service. OpenSearch | |
| IA.2.081 | Archivia e trasmetti solo password protette crittograficamente. | Assicurati che la node-to-node crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| IA.3.083 | Utilizza l'autenticazione a più fattori per l'accesso locale e di rete agli account privilegiati e per l'accesso di rete agli account non privilegiati. | Abilita questa regola per limitare l'accesso alle risorse nel cloud. AWS Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. L'MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Riduci gli incidenti di account compromessi richiedendo l'autenticazione a più fattori per gli utenti. | |
| IA.3.083 | Utilizza l'autenticazione a più fattori per l'accesso locale e di rete agli account privilegiati e per l'accesso di rete agli account non privilegiati. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. L'MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo l'autenticazione a più fattori per gli utenti, è possibile ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| IA.3.083 | Utilizza l'autenticazione a più fattori per l'accesso locale e di rete agli account privilegiati e per l'accesso di rete agli account non privilegiati. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che la MFA hardware sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un AWS account. L'MFA aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre gli incidenti dovuti alla compromissione degli account. AWS | |
| IA.3.083 | Utilizza l'autenticazione a più fattori per l'accesso locale e di rete agli account privilegiati e per l'accesso di rete agli account non privilegiati. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un AWS account. L'MFA aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre gli incidenti dovuti alla compromissione degli account. AWS | |
| IA.3.086 | Disattiva gli identificatori dopo un determinato periodo di inattività. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una politica di password IAM organizzativa. Soddisfano o superano i requisiti dichiarati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWSFoundational Security Best Practices value: true), RequireLowercaseCharacters (AWSFoundational Security Best Practices value: true), RequireSymbols (AWSFoundational Security Best Practices value: true), RequireNumbers (AWSFoundational Security Best Practices value: true), MinimumPasswordLength (AWSFoundational Security Best Practices value: 14), PasswordReusePrevention (AWSFoundational Security Best Practices value: 24) e MaxPasswordAge (AWSFoundational Security Best Practices value: 90) per Politica sulle password di IAM. I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| IA.3.086 | Disattiva gli identificatori dopo un determinato periodo di inattività. | AWSIdentity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se vengono identificate queste credenziali non utilizzate, è necessario disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche dell'organizzazione. | |
| IR.2.092 | Stabilire una capacità operativa di gestione degli incidenti per i sistemi organizzativi che includa attività di preparazione, rilevamento, analisi, contenimento, ripristino e risposta degli utenti. | Amazon CloudWatch avvisa quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme dell'ambiente in uso. | |
| IR.2.092 | Stabilire una capacità operativa di gestione degli incidenti per i sistemi organizzativi che includa attività di preparazione, rilevamento, analisi, contenimento, ripristino e risposta degli utenti. | Amazon GuardDuty può contribuire a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| IR.2.092 | Stabilire una capacità operativa di gestione degli incidenti per i sistemi organizzativi che includa attività di preparazione, rilevamento, analisi, contenimento, ripristino e risposta degli utenti. | Amazon ti GuardDuty aiuta a comprendere l'impatto di un incidente classificando i risultati in base alla gravità: bassa, media e alta. Puoi utilizzare queste classificazioni per determinare le strategie e le priorità di riparazione. Questa regola consente di impostare facoltativamente daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) e daysHighSev (Config Default: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione. | |
| IR.2.092 | Stabilire una capacità operativa di gestione degli incidenti per i sistemi organizzativi che includa attività di preparazione, rilevamento, analisi, contenimento, ripristino e risposta degli utenti. | Abilita questa regola per informare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione non funziona. | |
| IR.2.092 | Stabilire una capacità operativa di gestione degli incidenti per i sistemi organizzativi che includa attività di preparazione, rilevamento, analisi, contenimento, ripristino e risposta degli utenti. | AWSSecurity Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| IR.2.093 | Rileva e segnala gli eventi. | I controlli di integrità di Elastic Load Balancer (ELB) per i gruppi Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling supportano il mantenimento di capacità e disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ping, tenta connessioni o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo di auto-scaling. Se un'istanza non riporta i dati, il traffico viene inviato a una nuova istanza Amazon EC2. | |
| IR.2.093 | Rileva e segnala gli eventi. | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme dell'ambiente in uso. | |
| IR.2.093 | Rileva e segnala gli eventi. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| IR.2.093 | Rileva e segnala gli eventi. | Abilita questa regola per informare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione non funziona. | |
| IR.2.093 | Rileva e segnala gli eventi. | AWSSecurity Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| MA.2.113 | Richiedete l'autenticazione a più fattori per stabilire sessioni di manutenzione non locali tramite connessioni di rete esterne e terminate tali connessioni al termine della manutenzione non locale. | Abilita questa regola per limitare l'accesso alle risorse nel cloud. AWS Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. L'MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Riduci gli incidenti di account compromessi richiedendo l'autenticazione a più fattori per gli utenti. | |
| MA.2.113 | Richiedete l'autenticazione a più fattori per stabilire sessioni di manutenzione non locali tramite connessioni di rete esterne e terminate tali connessioni al termine della manutenzione non locale. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. L'MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo l'autenticazione a più fattori per gli utenti, è possibile ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| RE.2.137 | Esegui e testa regolarmente i backup dei dati. | Per facilitare i processi di backup dei dati, assicurati che il piano di AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. Questa regola consente di impostare i parametri requiredFrequencyValue (Config default: 1), ( requiredRetentionDays Config default: 35) e ( requiredFrequencyUnit Config default: days). Il valore effettivo deve riflettere i requisiti dell'organizzazione. | |
| RE.2.137 | Esegui e testa regolarmente i backup dei dati. | La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot del volume di storage dell'istanza DB, eseguendo il backup dell'intera istanza DB. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| RE.2.137 | Esegui e testa regolarmente i backup dei dati. | Per facilitare i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
| RE.2.137 | Esegui e testa regolarmente i backup dei dati. | Abilita questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni. | |
| RE.2.137 | Esegui e testa regolarmente i backup dei dati. | Per facilitare i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
| RE.2.137 | Esegui e testa regolarmente i backup dei dati. | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
| RE.2.137 | Esegui e testa regolarmente i backup dei dati. | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere conservato per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, è possibile creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
| RE.2.137 | Esegui e testa regolarmente i backup dei dati. | Per facilitare i processi di backup dei dati, assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
| RE.2.137 | Esegui e testa regolarmente i backup dei dati. | Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando le istantanee automatiche sono abilitate per un cluster, Redshift scatta periodicamente istantanee di quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per nodo delle modifiche ai dati, o l'evento che si verifica per primo. | |
| RE.2.137 | Esegui e testa regolarmente i backup dei dati. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR consente la copia automatica e asincrona degli oggetti tra i bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati. | |
| RE.2.137 | Esegui e testa regolarmente i backup dei dati. | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa il controllo delle versioni per conservare, recuperare e ripristinare ogni versione di ogni oggetto archiviato nel tuo bucket Amazon S3. Il controllo delle versioni ti aiuta a ripristinare facilmente le azioni involontarie degli utenti e gli errori delle applicazioni. | |
| RE.2.139 | Esegui regolarmente backup dei dati completi, completi e resilienti come definito a livello organizzativo. | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa il controllo delle versioni per conservare, recuperare e ripristinare ogni versione di ogni oggetto archiviato nel tuo bucket Amazon S3. Il controllo delle versioni ti aiuta a ripristinare facilmente le azioni involontarie degli utenti e gli errori delle applicazioni. | |
| RE.3.139 | Esegui regolarmente backup dei dati completi, completi e resilienti come definito a livello organizzativo. | Per facilitare i processi di backup dei dati, assicurati che il piano di AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. Questa regola consente di impostare i parametri requiredFrequencyValue (Config default: 1), ( requiredRetentionDays Config default: 35) e ( requiredFrequencyUnit Config default: days). Il valore effettivo deve riflettere i requisiti dell'organizzazione. | |
| RE.3.139 | Esegui regolarmente backup dei dati completi, completi e resilienti come definito a livello organizzativo. | La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot del volume di storage dell'istanza DB, eseguendo il backup dell'intera istanza DB. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| RE.3.139 | Esegui regolarmente backup dei dati completi, completi e resilienti come definito a livello organizzativo. | Per facilitare i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
| RE.3.139 | Esegui regolarmente backup dei dati completi, completi e resilienti come definito a livello organizzativo. | Attiva questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni. | |
| RE.3.139 | Esegui regolarmente backup dei dati completi, completi e resilienti come definito a livello organizzativo. | Per facilitare i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
| RE.3.139 | Esegui regolarmente backup dei dati completi, completi e resilienti come definito a livello organizzativo. | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
| RE.3.139 | Esegui regolarmente backup dei dati completi, completi e resilienti come definito a livello organizzativo. | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere conservato per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, è possibile creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
| REV.3.139 | Esegui regolarmente backup dei dati completi, completi e resilienti come definito a livello organizzativo. | Per facilitare i processi di backup dei dati, assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
| RE.3.139 | Esegui regolarmente backup dei dati completi, completi e resilienti come definito a livello organizzativo. | Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando le istantanee automatiche sono abilitate per un cluster, Redshift scatta periodicamente istantanee di quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per nodo delle modifiche ai dati, o l'evento che si verifica per primo. | |
| RE.3.139 | Esegui regolarmente backup dei dati completi, completi e resilienti come definito a livello organizzativo. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR consente la copia automatica e asincrona degli oggetti tra i bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati. | |
| RM.2.142 | Analizza periodicamente le vulnerabilità nei sistemi e nelle applicazioni organizzative e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. | Abilita questa regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| RM.2.142 | Analizza periodicamente le vulnerabilità nei sistemi e nelle applicazioni organizzative e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| RM.2.142 | Analizza periodicamente le vulnerabilità nei sistemi e nelle applicazioni organizzative e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. | Amazon ti GuardDuty aiuta a comprendere l'impatto di un incidente classificando i risultati in base alla gravità: bassa, media e alta. Puoi utilizzare queste classificazioni per determinare le strategie e le priorità di riparazione. Questa regola consente di impostare facoltativamente daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) e daysHighSev (Config Default: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione. | |
| RM.2.142 | Analizza periodicamente le vulnerabilità nei sistemi e nelle applicazioni organizzative e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. | AWSSecurity Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| 4.150 RM | Utilizza l'intelligence sulle minacce per informare lo sviluppo del sistema e delle architetture di sicurezza, la selezione di soluzioni di sicurezza, il monitoraggio, la ricerca delle minacce e le attività di risposta e ripristino. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| RM.4.151 | Esegui scansioni alla ricerca di porte non autorizzate disponibili attraverso i confini della rete perimetrale oltre i confini della rete Internet dell'organizzazione e altri limiti definiti dall'organizzazione. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in ingresso (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto. | |
| RM.4.151 | Esegui scansioni alla ricerca di porte non autorizzate disponibili attraverso i confini della rete perimetrale oltre i confini della rete Internet dell'organizzazione e altri limiti definiti dall'organizzazione. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Impostazioni predefinite Config: 20,21,3389,3306,4333). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| RM.4,151 | Esegui scansioni alla ricerca di porte non autorizzate disponibili attraverso i confini della rete perimetrale oltre i confini della rete Internet dell'organizzazione e altri limiti definiti dall'organizzazione. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio basato sullo stato del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| RM.4.151 | Esegui scansioni alla ricerca di porte non autorizzate disponibili attraverso i confini della rete perimetrale oltre i confini della rete Internet dell'organizzazione e altri limiti definiti dall'organizzazione. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto ai sistemi interni. | |
| SA.4.171 | Stabilisci e mantieni una capacità di caccia alle minacce informatiche per cercare indicatori di compromissione nei sistemi organizzativi e rilevare, tracciare e interrompere le minacce che eludono i controlli esistenti. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| SC.1.175 | Monitora, controlla e protegge le comunicazioni organizzative (ad esempio, le informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi di informazione. | Assicurati che i tuoi Elastic Load Balancer (ELB) siano configurati per eliminare le intestazioni http. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| SC.1.175 | Monitora, controlla e protegge le comunicazioni organizzative (ad esempio, le informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi di informazione. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| SC.1.175 | Monitora, controlla e protegge le comunicazioni organizzative (ad esempio, le informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi di informazione. | Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni web. Un WAF aiuta a proteggere le tue applicazioni web o le tue API dagli exploit web più comuni. Questi exploit web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. | |
| SC.1.175 | Monitora, controlla e protegge le comunicazioni organizzative (ad esempio, le informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi di informazione. | AWSWAF consente di configurare un insieme di regole (chiamate elenco di controllo degli accessi Web (Web ACL)) che consentono, bloccano o contano le richieste Web in base a regole e condizioni di sicurezza Web personalizzabili definite dall'utente. Assicurati che la tua fase Amazon API Gateway sia associata a un ACL Web WAF per proteggerla da attacchi dannosi | |
| SC.1.175 | Monitora, controlla e protegge le comunicazioni organizzative (ad esempio, le informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi di informazione. | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme dell'ambiente in uso. | |
| SC.1.175 | Monitora, controlla e protegge le comunicazioni organizzative (ad esempio, le informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi di informazione. | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| SC.1.175 | Monitora, controlla e protegge le comunicazioni organizzative (ad esempio, le informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi di informazione. | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Le istantanee dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| SC.1.175 | Monitora, controlla e protegge le comunicazioni organizzative (ad esempio, le informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi di informazione. | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| SC.1.175 | Monitora, controlla e protegge le comunicazioni organizzative (ad esempio, le informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi di informazione. | Assicurati che la node-to-node crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| SC.1.175 | Monitora, controlla e protegge le comunicazioni organizzative (ad esempio, le informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi di informazione. | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| SC.1.175 | Monitora, controlla e protegge le comunicazioni organizzative (ad esempio, le informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi di informazione. | Assicurati che i tuoi Elastic Load Balancer (ELB) siano configurati con listener SSL o HTTPS. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| SC.1.175 | Monitora, controlla e protegge le comunicazioni organizzative (ad esempio, le informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi di informazione. | Amazon GuardDuty può contribuire a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| SC.1.175 | Monitora, controlla e protegge le comunicazioni organizzative (ad esempio, le informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi di informazione. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in ingresso (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto. | |
| SC.1.175 | Monitora, controlla e protegge le comunicazioni organizzative (ad esempio, le informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi di informazione. | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per consentire comunicazioni sicure tra un'istanza e altri servizi all'interno di Amazon VPC, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno di AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| SC.1.175 | Monitora, controlla e protegge le comunicazioni organizzative (ad esempio, le informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi di informazione. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| SC.1.175 | Monitora, controlla e protegge le comunicazioni organizzative (ad esempio, le informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi di informazione. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un deterioramento della disponibilità delle risorse. | |
| SC.1.175 | Monitora, controlla e protegge le comunicazioni organizzative (ad esempio, le informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi di informazione. | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non è necessario un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| SC.1.175 | Monitora, controlla e protegge le comunicazioni organizzative (ad esempio, le informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi di informazione. | Assicurati che le tabelle di routing di Amazon EC2 non abbiano percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre gli accessi involontari all'interno del tuo ambiente. | |
| SC.1.175 | Monitora, controlla e protegge le comunicazioni organizzative (ad esempio, le informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi di informazione. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi. | |
| SC.1.175 | Monitora, controlla e protegge le comunicazioni organizzative (ad esempio, le informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi di informazione. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| SC.1.175 | Monitora, controlla e protegge le comunicazioni organizzative (ad esempio, le informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi di informazione. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| SC.1.175 | Monitora, controlla e protegge le comunicazioni organizzative (ad esempio, le informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi di informazione. | Assicurati che i tuoi cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| SC.1.175 | Monitora, controlla e protegge le comunicazioni organizzative (ad esempio, le informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi di informazione. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Impostazioni predefinite Config: 20,21,3389,3306,4333). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| SC.1.175 | Monitora, controlla e protegge le comunicazioni organizzative (ad esempio, le informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi di informazione. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| SC.1.175 | Monitora, controlla e protegge le comunicazioni organizzative (ad esempio, le informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi di informazione. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| SC.1.175 | Monitora, controlla e protegge le comunicazioni organizzative (ad esempio, le informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi di informazione. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| SC.1.175 | Monitora, controlla e protegge le comunicazioni organizzative (ad esempio, le informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi di informazione. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| SC.1.175 | Monitora, controlla e protegge le comunicazioni organizzative (ad esempio, le informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi di informazione. | Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste di utilizzo di Secure Socket Layer (SSL). Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| SC.1.175 | Monitora, controlla e protegge le comunicazioni organizzative (ad esempio, le informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi di informazione. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i SageMaker notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| SC.1.175 | Monitora, controlla e protegge le comunicazioni organizzative (ad esempio, le informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi di informazione. | AWSSecurity Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| SC.1.175 | Monitora, controlla e protegge le comunicazioni organizzative (ad esempio, le informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi di informazione. | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sull'account, sulle risorse e sui processi interni. | |
| SC.1.175 | Monitora, controlla e protegge le comunicazioni organizzative (ad esempio, le informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi di informazione. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio basato sullo stato del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| SC.1.175 | Monitora, controlla e protegge le comunicazioni organizzative (ad esempio, le informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi di informazione. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto ai sistemi interni. | |
| SC.1.175 | Monitora, controlla e protegge le comunicazioni organizzative (ad esempio, le informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi di informazione. | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| SC.1.175 | Monitora, controlla e protegge le comunicazioni organizzative (ad esempio, le informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi di informazione. | Assicurati che la node-to-node crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| SC.2.179 | Utilizza sessioni crittografate per la gestione dei dispositivi di rete. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| SC.2.179 | Utilizza sessioni crittografate per la gestione dei dispositivi di rete. | Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare che le richieste provengono da API Gateway. | |
| SC.2.179 | Utilizza sessioni crittografate per la gestione dei dispositivi di rete. | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| SC.2.179 | Utilizza sessioni crittografate per la gestione dei dispositivi di rete. | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| SC.2.179 | Utilizza sessioni crittografate per la gestione dei dispositivi di rete. | Assicurati che i tuoi Elastic Load Balancer (ELB) siano configurati con listener SSL o HTTPS. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | La gestione centralizzata degli AWS account all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata degli account può portare a configurazioni degli account incoerenti, che possono esporre risorse e dati sensibili. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni web. Un WAF aiuta a proteggere le tue applicazioni web o le tue API dagli exploit web più comuni. Questi exploit web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | AWSWAF consente di configurare un insieme di regole (chiamate elenco di controllo degli accessi Web (Web ACL)) che consentono, bloccano o contano le richieste Web in base a regole e condizioni di sicurezza Web personalizzabili definite dall'utente. Assicurati che la tua fase Amazon API Gateway sia associata a un ACL Web WAF per proteggerla da attacchi dannosi | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non dovrebbero essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Per facilitare i processi di backup dei dati, assicurati che il piano di AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. Questa regola consente di impostare i parametri requiredFrequencyValue (Config default: 1), ( requiredRetentionDays Config default: 35) e ( requiredFrequencyUnit Config default: days). Il valore effettivo deve riflettere i requisiti dell'organizzazione. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Questa regola aiuta a garantire l'uso delle migliori pratiche di sicurezza AWS consigliate per AWS CloudTrail, verificando l'abilitazione di più impostazioni. Queste includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione AWS CloudTrail in più aree. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Assicurati che le credenziali di autenticazione AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY non esistano negli ambienti del progetto Codebuild. AWS Non memorizzate queste variabili in testo non crittografato. La memorizzazione di queste variabili in testo non crittografato comporta l'esposizione involontaria dei dati e l'accesso non autorizzato. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Assicurati che l' GitHub URL del repository di origine di Bitbucket non contenga token di accesso personali e credenziali di accesso all'interno degli ambienti del progetto Codebuild. AWS Utilizza OAuth anziché i token di accesso personali o le credenziali di accesso per concedere l'autorizzazione all'accesso ai repository Bitbucket. GitHub | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot del volume di storage dell'istanza DB, eseguendo il backup dell'intera istanza DB. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | La scalabilità automatica di Amazon DynamoDB utilizza il servizio Application AWS Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. Ciò consente a una tabella o a un indice secondario globale di aumentare la capacità di lettura/scrittura assegnata per gestire aumenti improvvisi del traffico, senza limitazioni. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Per facilitare i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Attiva questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Per facilitare i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) fornisce capacità aggiuntiva dedicata per le operazioni di I/O di Amazon EBS. Questa ottimizzazione offre le prestazioni più efficienti per i tuoi volumi EBS riducendo al minimo i conflitti tra le operazioni di I/O di Amazon EBS e altro traffico proveniente dall'istanza. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Le istantanee dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere conservato per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, è possibile creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Abilita il bilanciamento del carico tra zone per i tuoi Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere un numero equivalente di istanze in ogni zona di disponibilità abilitata. Inoltre, migliora la capacità dell'applicazione di gestire la perdita di una o più istanze. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Questa regola garantisce che Elastic Load Balancing abbia la protezione da cancellazione abilitata. Utilizza questa funzionalità per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi master del cluster Amazon EMR possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in ingresso (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per consentire comunicazioni sicure tra un'istanza e altri servizi all'interno di Amazon VPC, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno di AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un deterioramento della disponibilità delle risorse. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non è necessario un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Assicurati che le tabelle di routing di Amazon EC2 non abbiano percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre gli accessi involontari all'interno del tuo ambiente. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) abbiano la protezione da eliminazione abilitata. Usa la protezione da eliminazione per evitare che le tue istanze Amazon RDS vengano eliminate accidentalmente o intenzionalmente, il che può portare alla perdita di disponibilità delle tue applicazioni. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Per facilitare i processi di backup dei dati, assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Il supporto Multi-AZ in Amazon Relational Database Service (Amazon RDS) offre disponibilità e durabilità avanzate per le istanze di database. Quando effettui il provisioning di un'istanza di database Multi-AZ, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati su un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completo. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando le istantanee automatiche sono abilitate per un cluster, Redshift scatta periodicamente istantanee di quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per nodo delle modifiche ai dati, o l'evento che si verifica per primo. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Impostazioni predefinite Config: 20,21,3389,3306,4333). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Assicurati che il tuo bucket Amazon Simple Storage Service (Amazon S3) abbia il blocco abilitato, per impostazione predefinita. Poiché i dati sensibili possono esistere inattivi nei bucket S3, applica i blocchi degli oggetti quando sono inattivi per proteggere tali dati. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR consente la copia automatica e asincrona degli oggetti tra i bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati. | |
| C.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa il controllo delle versioni per conservare, recuperare e ripristinare ogni versione di ogni oggetto archiviato nel tuo bucket Amazon S3. Il controllo delle versioni ti aiuta a ripristinare facilmente le azioni involontarie degli utenti e gli errori delle applicazioni. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i SageMaker notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sull'account, sulle risorse e sui processi interni. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio basato sullo stato del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto ai sistemi interni. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | È possibile implementare tunnel VPN Site-to-Site ridondanti per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso in cui una delle connessioni VPN da sito a sito non sia disponibile. Per proteggerti dalla perdita di connettività, nel caso in cui il gateway del cliente non sia disponibile, puoi configurare una seconda connessione VPN da sito a sito al tuo Amazon Virtual Private Cloud (Amazon VPC) e al gateway privato virtuale utilizzando un secondo gateway cliente. | |
| SC.3.180 | Utilizza progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi. | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| SC.3.182 | Impedisci il trasferimento non autorizzato e non intenzionale di informazioni tramite risorse di sistema condivise. | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| SC.3.182 | Impedisci il trasferimento non autorizzato e non intenzionale di informazioni tramite risorse di sistema condivise. | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Le istantanee dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| SC.3.182 | Impedisci il trasferimento non autorizzato e non intenzionale di informazioni tramite risorse di sistema condivise. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in ingresso (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto. | |
| SC.3.182 | Impedisci il trasferimento non autorizzato e non intenzionale di informazioni tramite risorse di sistema condivise. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| SC.3.182 | Impedisci il trasferimento non autorizzato e non intenzionale di informazioni tramite risorse di sistema condivise. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un deterioramento della disponibilità delle risorse. | |
| SC.3.182 | Impedisci il trasferimento non autorizzato e non intenzionale di informazioni tramite risorse di sistema condivise. | Assicurati che le tabelle di routing di Amazon EC2 non abbiano percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre gli accessi involontari all'interno del tuo ambiente. | |
| SC.3.182 | Impedisci il trasferimento non autorizzato e non intenzionale di informazioni tramite risorse di sistema condivise. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi. | |
| SC.3.182 | Impedisci il trasferimento non autorizzato e non intenzionale di informazioni tramite risorse di sistema condivise. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| SC.3.182 | Impedisci il trasferimento non autorizzato e non intenzionale di informazioni tramite risorse di sistema condivise. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| SC.3.182 | Impedisci il trasferimento non autorizzato e non intenzionale di informazioni tramite risorse di sistema condivise. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Impostazioni predefinite Config: 20,21,3389,3306,4333). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| SC.3.182 | Impedisci il trasferimento non autorizzato e non intenzionale di informazioni tramite risorse di sistema condivise. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| SC.3.182 | Impedisci il trasferimento non autorizzato e non intenzionale di informazioni tramite risorse di sistema condivise. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| SC.3.182 | Impedisci il trasferimento non autorizzato e non intenzionale di informazioni tramite risorse di sistema condivise. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| SC.3.182 | Impedisci il trasferimento non autorizzato e non intenzionale di informazioni tramite risorse di sistema condivise. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| SC.3.182 | Impedisci il trasferimento non autorizzato e non intenzionale di informazioni tramite risorse di sistema condivise. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i SageMaker notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| SC.3.182 | Impedisci il trasferimento non autorizzato e non intenzionale di informazioni tramite risorse di sistema condivise. | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sull'account, sulle risorse e sui processi interni. | |
| SC.3.182 | Impedisci il trasferimento non autorizzato e non intenzionale di informazioni tramite risorse di sistema condivise. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio basato sullo stato del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| SC.3.182 | Impedisci il trasferimento non autorizzato e non intenzionale di informazioni tramite risorse di sistema condivise. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto ai sistemi interni. | |
| SC.3.185 | Implementa meccanismi crittografici per impedire la divulgazione non autorizzata del CUI durante la trasmissione, a meno che non sia altrimenti protetto da protezioni fisiche alternative. | Garantisci la protezione dell'integrità della rete assicurando che i certificati X509 vengano emessi da ACM. AWS Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore per daysToExpiration (valore AWS Foundational Security Best Practices: 90). Il valore effettivo deve riflettere le politiche dell'organizzazione. | |
| SC.3.185 | Implementa meccanismi crittografici per impedire la divulgazione non autorizzata del CUI durante la trasmissione, a meno che non sia altrimenti protetto da protezioni fisiche alternative. | Assicurati che i tuoi Elastic Load Balancer (ELB) siano configurati per eliminare le intestazioni http. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| SC.3.185 | Implementa meccanismi crittografici per impedire la divulgazione non autorizzata del CUI durante la trasmissione, a meno che non sia altrimenti protetto da protezioni fisiche alternative. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| SC.3.185 | Implementa meccanismi crittografici per impedire la divulgazione non autorizzata del CUI durante la trasmissione, a meno che non sia altrimenti protetto da protezioni fisiche alternative. | Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare che le richieste provengono da API Gateway. | |
| SC.3.185 | Implementa meccanismi crittografici per impedire la divulgazione non autorizzata del CUI durante la trasmissione, a meno che non sia altrimenti protetto da protezioni fisiche alternative. | Assicurati che la node-to-node crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| SC.3.185 | Implementa meccanismi crittografici per impedire la divulgazione non autorizzata del CUI durante la trasmissione, a meno che non sia altrimenti protetto da protezioni fisiche alternative. | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| SC.3.185 | Implementa meccanismi crittografici per impedire la divulgazione non autorizzata del CUI durante la trasmissione, a meno che non sia altrimenti protetto da protezioni fisiche alternative. | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| SC.3.185 | Implementa meccanismi crittografici per impedire la divulgazione non autorizzata del CUI durante la trasmissione, a meno che non sia altrimenti protetto da protezioni fisiche alternative. | Assicurati che i tuoi Elastic Load Balancer (ELB) siano configurati con listener SSL o HTTPS. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| SC.3.185 | Implementa meccanismi crittografici per impedire la divulgazione non autorizzata del CUI durante la trasmissione, a meno che non sia altrimenti protetto da protezioni fisiche alternative. | Assicurati che i tuoi cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| SC.3.185 | Implementa meccanismi crittografici per impedire la divulgazione non autorizzata del CUI durante la trasmissione, a meno che non sia altrimenti protetto da protezioni fisiche alternative. | Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste di utilizzo di Secure Socket Layer (SSL). Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| SC.3.185 | Implementa meccanismi crittografici per impedire la divulgazione non autorizzata del CUI durante la trasmissione, a meno che non sia altrimenti protetto da protezioni fisiche alternative. | Assicurati che la node-to-node crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| SC.3.187 | Stabilisci e gestisci le chiavi crittografiche per la crittografia impiegata nei sistemi organizzativi. | Abilita la rotazione delle chiavi per garantire che le chiavi vengano ruotate una volta raggiunta la fine del periodo crittografico. | |
| SC.3.187 | Stabilisci e gestisci le chiavi crittografiche per la crittografia impiegata nei sistemi organizzativi. | Per proteggere i dati archiviati, assicurati che non sia pianificata l'eliminazione delle chiavi master del cliente (CMK) necessarie nel AWS Key Management Service (KMS). AWS Poiché a volte l'eliminazione delle chiavi è necessaria, questa regola può aiutare a verificare tutte le chiavi programmate per l'eliminazione, nel caso in cui una chiave sia stata pianificata involontariamente. | |
| SC.3.190 | Proteggi l'autenticità delle sessioni di comunicazione. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| SC.3.190 | Proteggi l'autenticità delle sessioni di comunicazione. | Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare che le richieste provengono da API Gateway. | |
| C.3.190 | Proteggi l'autenticità delle sessioni di comunicazione. | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| SC.3.190 | Proteggi l'autenticità delle sessioni di comunicazione. | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| SC.3.190 | Proteggi l'autenticità delle sessioni di comunicazione. | Assicurati che i tuoi Elastic Load Balancer (ELB) siano configurati con listener SSL o HTTPS. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| SC.3.190 | Proteggi l'autenticità delle sessioni di comunicazione. | Assicurati che i tuoi cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| SC.3.191 | Proteggi la riservatezza del CUI a riposo. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per la cache della fase API Gateway. Poiché i dati sensibili possono essere acquisiti con il metodo API, abilita la crittografia a riposo per proteggere tali dati. | |
| SC.3.191 | Proteggi la riservatezza del CUI a riposo. | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi Amazon CloudWatch Log Groups. | |
| SC.3.191 | Proteggi la riservatezza del CUI a riposo. | Poiché possono esistere dati sensibili e per contribuire a proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CloudTrail percorsi. | |
| SC.3.191 | Proteggi la riservatezza del CUI a riposo. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché in questi volumi possono esistere dati sensibili inattivi, abilita la crittografia a riposo per proteggere tali dati. | |
| SC.3.191 | Proteggi la riservatezza del CUI a riposo. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| SC.3.191 | Proteggi la riservatezza del CUI a riposo. | Poiché possono esistere dati sensibili e per contribuire a proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch OpenSearch Service (Service). | |
| SC.3.191 | Proteggi la riservatezza del CUI a riposo. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (Amazon EBS). | |
| SC.3.191 | Proteggi la riservatezza del CUI a riposo. | Assicurati che la crittografia sia abilitata per gli snapshot di Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere anche quando sono inattivi, abilita la crittografia a riposo per proteggere tali dati. | |
| SC.3.191 | Proteggi la riservatezza del CUI a riposo. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per le tue istanze di Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere anche quando sono inattivi nelle istanze Amazon RDS, abilita la crittografia inattiva per proteggere tali dati. | |
| SC.3.191 | Proteggi la riservatezza del CUI a riposo. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWSKMS) sia abilitata per il tuo cluster Amazon Redshift. Poiché i dati sensibili possono esistere inattivi nei cluster Redshift, abilita la crittografia a riposo per proteggere tali dati. | |
| SC.3.191 | Proteggi la riservatezza del CUI a riposo. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere inattivi nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| SC.3.191 | Proteggi la riservatezza del CUI a riposo. | Assicurati che la crittografia sia abilitata per i tuoi bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere inattivi in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati. | |
| SC.3.191 | Proteggi la riservatezza del CUI a riposo. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWSKMS) sia abilitata per il tuo endpoint. SageMaker Poiché nell' SageMaker endpoint possono esistere dati sensibili inattivi, abilita la crittografia a riposo per proteggere tali dati. | |
| SC.3.191 | Proteggi la riservatezza del CUI a riposo. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWSKMS) sia abilitata per il tuo notebook. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| SC.3.191 | Proteggi la riservatezza del CUI a riposo. | Per proteggere i dati archiviati, assicurati che gli argomenti di Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia AWS tramite Key Management Service AWS (KMS). Poiché i dati sensibili possono esistere anche quando sono inattivi nei messaggi pubblicati, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| SC.3.191 | Proteggi la riservatezza del CUI a riposo. | Poiché possono esistere dati sensibili e per contribuire a proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service. | |
| SC.4.199 | Utilizza l'intelligence sulle minacce per impedire in modo proattivo alle richieste DNS di raggiungere domini dannosi. | Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni web. Un WAF aiuta a proteggere le tue applicazioni web o le tue API dagli exploit web più comuni. Questi exploit web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. | |
| SC.4.199 | Utilizza l'intelligence sulle minacce per impedire in modo proattivo alle richieste DNS di raggiungere domini dannosi. | AWSWAF consente di configurare un insieme di regole (chiamate elenco di controllo degli accessi Web (Web ACL)) che consentono, bloccano o contano le richieste Web in base a regole e condizioni di sicurezza Web personalizzabili definite dall'utente. Assicurati che la tua fase Amazon API Gateway sia associata a un ACL Web WAF per proteggerla da attacchi dannosi | |
| SC.4.202 | Utilizza meccanismi per analizzare codice e script eseguibili (ad esempio sandbox) che attraversano i confini della rete Internet o altri confini definiti dall'organizzazione. | Amazon GuardDuty può contribuire a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| SI.1.210 | Identifica, segnala e correggi tempestivamente i difetti delle informazioni e dei sistemi informativi. | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme dell'ambiente in uso. | |
| SI.1.210 | Identifica, segnala e correggi tempestivamente i difetti delle informazioni e dei sistemi informativi. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| SI.1.210 | Identifica, segnala e correggi tempestivamente i difetti delle informazioni e dei sistemi informativi. | AWSSecurity Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| SI.1.211 | Fornisci protezione dal codice dannoso nelle posizioni appropriate all'interno dei sistemi informativi organizzativi. | Amazon GuardDuty può contribuire a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| SI.1.213 | Eseguite scansioni periodiche del sistema informativo e scansioni in tempo reale di file da fonti esterne man mano che i file vengono scaricati, aperti o eseguiti. | La scansione delle immagini di Amazon Elastic Container Repository (ECR) aiuta a identificare le vulnerabilità del software nelle immagini dei container. L'abilitazione della scansione delle immagini negli archivi ECR aggiunge un livello di verifica dell'integrità e della sicurezza delle immagini archiviate. | |
| SI.2.214 | Monitora gli avvisi e gli avvisi di sicurezza del sistema e agisci di conseguenza. | Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni web. Un WAF aiuta a proteggere le tue applicazioni web o le tue API dagli exploit web più comuni. Questi exploit web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. | |
| SI.2.214 | Monitora gli avvisi e gli avvisi di sicurezza del sistema e agisci di conseguenza. | AWSWAF consente di configurare un insieme di regole (chiamate elenco di controllo degli accessi Web (Web ACL)) che consentono, bloccano o contano le richieste Web in base a regole e condizioni di sicurezza Web personalizzabili definite dall'utente. Assicurati che la tua fase Amazon API Gateway sia associata a un ACL Web WAF per proteggerla da attacchi dannosi | |
| SI.2.214 | Monitora gli avvisi e gli avvisi di sicurezza del sistema e agisci di conseguenza. | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme dell'ambiente in uso. | |
| SI.2.214 | Monitora gli avvisi e gli avvisi di sicurezza del sistema e agisci di conseguenza. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo AWS account. | |
| SI.2.214 | Monitora gli avvisi e gli avvisi di sicurezza del sistema e agisci di conseguenza. | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione e le chiamate API. AWS È possibile identificare gli utenti e gli AWS account che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| SI.2.214 | Monitora gli avvisi e gli avvisi di sicurezza del sistema e agisci di conseguenza. | ec2- -controlla managedinstance-association-compliance-status |
Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee di base dei livelli di patch del sistema operativo, delle installazioni software, delle configurazioni delle applicazioni e altri dettagli sull'ambiente. |
| SI.2.214 | Monitora gli avvisi e gli avvisi di sicurezza del sistema e agisci di conseguenza. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| SI.2.214 | Monitora gli avvisi e gli avvisi di sicurezza del sistema e agisci di conseguenza. | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamatiAWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di registro contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| SI.2.214 | Monitora gli avvisi e gli avvisi di sicurezza del sistema e agisci di conseguenza. | AWSSecurity Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| SI.2.216 | Monitora i sistemi organizzativi, incluso il traffico di comunicazione in entrata e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. | Assicurati che il AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni web. Un WAF aiuta a proteggere le tue applicazioni web o le tue API dagli exploit web più comuni. Questi exploit web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. | |
| SI.2.216 | Monitora i sistemi organizzativi, incluso il traffico di comunicazione in entrata e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. | AWSWAF consente di configurare un insieme di regole (chiamate elenco di controllo degli accessi Web (Web ACL)) che consentono, bloccano o contano le richieste Web in base a regole e condizioni di sicurezza Web personalizzabili definite dall'utente. Assicurati che la tua fase Amazon API Gateway sia associata a un ACL Web WAF per proteggerla da attacchi dannosi | |
| SI.2.216 | Monitora i sistemi organizzativi, incluso il traffico di comunicazione in entrata e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo AWS account. | |
| SI.2.216 | Monitora i sistemi organizzativi, incluso il traffico di comunicazione in entrata e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione e le chiamate API. AWS È possibile identificare gli utenti e gli AWS account che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| SI.2.216 | Monitora i sistemi organizzativi, incluso il traffico di comunicazione in entrata e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| SI.2.216 | Monitora i sistemi organizzativi, incluso il traffico di comunicazione in entrata e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamatiAWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di registro contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| SI.2.216 | Monitora i sistemi organizzativi, incluso il traffico di comunicazione in entrata e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. | AWSSecurity Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| SI.2.216 | Monitora i sistemi organizzativi, incluso il traffico di comunicazione in entrata e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sugli ACL web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dal tuo ACL web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| SI.2.217 | Identifica l'uso non autorizzato dei sistemi organizzativi. | La registrazione di API Gateway mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso all'API. Queste informazioni consentono la visibilità delle attività degli utenti. | |
| SI.2.217 | Identifica l'uso non autorizzato dei sistemi organizzativi. | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni sull'AWSaccount che ha effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| SI.2.217 | Identifica l'uso non autorizzato dei sistemi organizzativi. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo AWS account. | |
| SI.2.217 | Identifica l'uso non autorizzato dei sistemi organizzativi. | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione e le chiamate API. AWS È possibile identificare gli utenti e gli AWS account che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| SI.2.217 | Identifica l'uso non autorizzato dei sistemi organizzativi. | ec2- -controlla managedinstance-association-compliance-status |
Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee di base dei livelli di patch del sistema operativo, delle installazioni software, delle configurazioni delle applicazioni e altri dettagli sull'ambiente. |
| SI.2.217 | Identifica l'uso non autorizzato dei sistemi organizzativi. | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| SI.2.217 | Identifica l'uso non autorizzato dei sistemi organizzativi. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| SI.2.217 | Identifica l'uso non autorizzato dei sistemi organizzativi. | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamatiAWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di registro contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| SI.2.217 | Identifica l'uso non autorizzato dei sistemi organizzativi. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| SI.2.217 | Identifica l'uso non autorizzato dei sistemi organizzativi. | La registrazione degli accessi al server di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi vengono monitorati acquisendo record dettagliati per le richieste effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'azione della richiesta, lo stato della risposta e un codice di errore, se pertinente. | |
| SI.2.217 | Identifica l'uso non autorizzato dei sistemi organizzativi. | AWSSecurity Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| SI.2.217 | Identifica l'uso non autorizzato dei sistemi organizzativi. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sugli ACL web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dal tuo ACL web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| SI.4.221 | Utilizza le informazioni sugli indicatori di minaccia pertinenti alle informazioni e ai sistemi protetti e le mitigazioni efficaci ottenute da organizzazioni esterne per favorire il rilevamento delle intrusioni e la caccia alle minacce. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. |
Modello
Il modello è disponibile su GitHub: Operational Best Practices for CMMC Level 4
