Best practice operative per CMMC Level 5 - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice operative per CMMC Level 5

I pacchetti di conformità forniscono un framework di conformità generico progettato per consentire di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando gestiti o personalizzatiAWS Configregole eAWS Configazioni di risanamento. I Conformance Pack, come modelli di esempio, non sono progettati per garantire la piena conformità con uno standard di governance o conformità specifici. L'utente è responsabile di valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.

Di seguito viene fornito un esempio di mappatura tra la Cybersecurity Maturity Model Certification (CMMC) Level 5 eAWSregole di Config gestite. Ciascuna regola di Config si applica a uno specificoAWSrisorsa e si riferisce a uno o più controlli CMMC Level 5. Un controllo CMMC Level 5 può essere correlato a più regole di Config. Fare riferimento alla tabella sottostante per ulteriori dettagli e indicazioni relative a queste mappature.

Regione AWS:A causa delle indicazioni provvisorie fornite dal DoD e dall'organismo di accreditamento CMMC in relazione alla reciprocità FedRAMP per CMMC Level 3 - 5, si consiglia ai clienti di utilizzare AWSGovCloudRegioni (USA) al momento per tutti i carichi di lavoro che richiedono la conformità con CMMC Livello 3 - 5. Pertanto, i modelli di conformance pack per CMMC Level 3 - 5 non sono disponibili all'interno della console del conformance pack per evitare confusione. I clienti possono installare in modo indipendente le regole di Config che mappano le indicazioni provvisorie per CMMC Level 3-5 (senza un modello di pacchetto di conformità) tramiteCloudFormationutilizzando il file YAML di esempio collegato all'interno di questo documento.

ID controllo Descrizione del controllo Regola AWS Config Linee guida di
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

access-keys-rotated

Le credenziali vengono controllate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo i criteri organizzativi. La modifica delle chiavi di accesso con una pianificazione regolare è una procedura consigliata per la sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

ec2-imdsv2 - controllo

Assicurati che il metodo ImdSV2 (Instance Metadata Service versione 2) è abilitato per proteggere l'accesso e il controllo dei metadati dell'istanza Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati su sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'associazione di un profilo di istanza alle istanze può facilitare la gestione dei privilegi e delle autorizzazioni.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (OpenSearchService) I domini si trovano all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizi e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. A questo riguardo, il KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e separazione dei doveri. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

azioni iam-inline-policy-blocked-kms-actions

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dal Benchmark AWS Foundations Centers for Internet Security (CIS) per la conformità della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Operazione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola assicura che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non permettere l'ingresso (o in remoto) dal 0.0.0.0/0 alla porta 22 sulle risorse consente di limitare l'accesso remoto.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

ec2-instances-in-vpc

Distribuisci istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un Internet gateway, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

internet-gateway-authorized-vpc-only

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud (Amazon VPC). I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

lambda-inside-vpc

Distribuisci le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non hai bisogno di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

s3-bucket-level-public-access-vietato

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

s3-bucket-policy-grantee-check

Gestisci l'accesso al cloud AWS abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 è limitato da qualsiasi principale di AWS, dagli utenti federati, dai principali dei servizi, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti dall'utente.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

secretsmanager-rotation-enabled-check

Questa regola assicura che i segreti di AWS Secrets Manager abbiano abilitato la rotazione. La rotazione dei segreti in base a un programma regolare può ridurre il periodo di attività di un segreto e potenzialmente ridurre l'impatto aziendale se il segreto viene compromesso.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

secretsmanager-scheduled-rotation-success-check

Questa regola garantisce che i segreti di AWS Secrets Manager siano stati ruotati correttamente in base al programma di rotazione. La rotazione dei segreti in base a un programma regolare può ridurre il periodo in cui un segreto è attivo e potenzialmente ridurre l'impatto aziendale se viene compromesso.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
AC.1.001 Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi).

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate su Gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
AC.1.002 Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC.1.002 Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
AC.1.002 Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire.

ec2-imdsv2 - controllo

Assicurati che il metodo IMDSv2 (Instance Metadata Service Version 2) sia abilitato per proteggere l'accesso e il controllo dei metadati dell'istanza Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati su sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze.
AC.1.002 Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
AC.1.002 Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (OpenSearchService) I domini si trovano all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizi e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
AC.1.002 Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire.

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. A questo riguardo, il KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
AC.1.002 Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC.1.002 Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
AC.1.002 Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire.

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dal Benchmark AWS Foundations Centers for Internet Security (CIS) per la conformità della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC.1.002 Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Azione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC.1.002 Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
AC.1.002 Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC.1.002 Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire.

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola assicura che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
AC.1.002 Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano associate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
AC.1.002 Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. La mancata entrata (o remota) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto.
AC.1.002 Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire.

ec2-instances-in-vpc

Distribuisci istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un Internet gateway, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
AC.1.002 Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire.

internet-gateway-authorized-vpc-only

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud (Amazon VPC). I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC.
AC.1.002 Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
AC.1.002 Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire.

lambda-inside-vpc

Distribuisci le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non hai bisogno di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
AC.1.002 Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire.

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
AC.1.002 Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
AC.1.002 Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
AC.1.002 Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
AC.1.002 Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC.1.002 Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire.

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
AC.1.002 Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire.

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
AC.1.002 Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC.1.002 Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire.

s3-bucket-level-public-access-vietato

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC.1.002 Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire.

s3-bucket-policy-grantee-check

Gestisci l'accesso al cloud AWS abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 è limitato da qualsiasi principale di AWS, dagli utenti federati, dai principali dei servizi, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti dall'utente.
AC.1.002 Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC.1.002 Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC.1.002 Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
AC.1.002 Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
AC.1.002 Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
AC.1.003 Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni.

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a la protezione delle applicazioni Web o delle API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente.
AC.1.003 Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
AC.1.003 Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
AC.1.003 Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC.1.003 Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. La mancata entrata (o remota) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto.
AC.1.003 Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni.

internet-gateway-authorized-vpc-only

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud (Amazon VPC). I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC.
AC.1.003 Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
AC.1.003 Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni.

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
AC.1.003 Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
AC.1.003 Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
AC.1.003 Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC.1.003 Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette la configurazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC.1.003 Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
AC.1.003 Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC.1.003 Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC.1.003 Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
AC.1.003 Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
AC.1.003 Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
AC.1.003 Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
AC.1.003 Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
AC.2.007 Utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privileati.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC.2.007 Utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privileati.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
AC.2.007 Utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privileati.

ec2-imdsv2 - controllo

Assicurati che il metodo ImdSV2 (Instance Metadata Service versione 2) è abilitato per proteggere l'accesso e il controllo dei metadati dell'istanza Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati su sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze.
AC.2.007 Utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privileati.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
AC.2.007 Utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privileati.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (OpenSearchService) I domini si trovano all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizi e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
AC.2.007 Utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privileati.

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. A questo riguardo, il KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
AC.2.007 Utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privileati.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC.2.007 Utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privileati.

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e separazione dei doveri. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione
AC.2.007 Utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privileati.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
AC.2.007 Utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privileati.

azioni iam-inline-policy-blocked-kms-actions

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC.2.007 Utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privileati.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
AC.2.007 Utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privileati.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Azione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC.2.007 Utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privileati.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC.2.007 Utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privileati.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
AC.2.007 Utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privileati.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC.2.007 Utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privileati.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
AC.2.007 Utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privileati.

internet-gateway-authorized-vpc-only

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud (Amazon VPC). I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC.
AC.2.007 Utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privileati.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
AC.2.007 Utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privileati.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
AC.2.007 Utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privileati.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
AC.2.007 Utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privileati.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
AC.2.007 Utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privileati.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette la configurazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC.2.007 Utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privileati.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
AC.2.007 Utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privileati.

s3-bucket-policy-grantee-check

Gestisci l'accesso al cloud AWS abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 è limitato da qualsiasi principale di AWS, dagli utenti federati, dai principali dei servizi, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti dall'utente.
AC.2.007 Utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privileati.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC.2.007 Utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privileati.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC.2.007 Utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privileati.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
AC.2.007 Utilizzare il principio del privilegio minimo, incluso per funzioni di sicurezza specifiche e account privileati.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
AC.2.008 Utilizzare account o ruoli non privilegiati quando si accede a funzioni non di sicurezza.

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. A questo riguardo, il KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
AC.2.008 Utilizzare account o ruoli non privilegiati quando si accede a funzioni non di sicurezza.

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e separazione dei doveri. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione
AC.2.008 Utilizzare account o ruoli non privilegiati quando si accede a funzioni non di sicurezza.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
AC.2.008 Utilizzare account o ruoli non privilegiati quando si accede a funzioni non di sicurezza.

azioni iam-inline-policy-blocked-kms-actions

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC.2.008 Utilizzare account o ruoli non privilegiati quando si accede a funzioni non di sicurezza.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
AC.2.008 Utilizzare account o ruoli non privilegiati quando si accede a funzioni non di sicurezza.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Azione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC.2.008 Utilizzare account o ruoli non privilegiati quando si accede a funzioni non di sicurezza.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC.2.008 Utilizzare account o ruoli non privilegiati quando si accede a funzioni non di sicurezza.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
AC.2.008 Utilizzare account o ruoli non privilegiati quando si accede a funzioni non di sicurezza.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC.2.008 Utilizzare account o ruoli non privilegiati quando si accede a funzioni non di sicurezza.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
AC.2.013 Monitora e controlla le sessioni di accesso remoto.

cloudwatch-alarm-action-check

AmazonCloudWatchavvisi quando un parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionRichiesto (Config predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
AC.2.013 Monitora e controlla le sessioni di accesso remoto.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTrailfornisce dettagli sull'attività delle chiamate API nell'account AWS.
AC.2.013 Monitora e controlla le sessioni di accesso remoto.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
AC.2.013 Monitora e controlla le sessioni di accesso remoto.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
AC.2.016 Controllare il flusso di CUI in conformità con le autorizzazioni approvate.

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a la protezione delle applicazioni Web o delle API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente.
AC.2.016 Controllare il flusso di CUI in conformità con le autorizzazioni approvate.

api-gw-associato-con-waf

AWS WAF consente di configurare un set di regole (denominato lista di controllo accessi Web (web ACL)) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi
AC.2.016 Controllare il flusso di CUI in conformità con le autorizzazioni approvate.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
AC.2.016 Controllare il flusso di CUI in conformità con le autorizzazioni approvate.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC.2.016 Controllare il flusso di CUI in conformità con le autorizzazioni approvate.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
AC.2.016 Controllare il flusso di CUI in conformità con le autorizzazioni approvate.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
AC.2.016 Controllare il flusso di CUI in conformità con le autorizzazioni approvate.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (OpenSearchService) I domini si trovano all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizi e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
AC.2.016 Controllare il flusso di CUI in conformità con le autorizzazioni approvate.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC.2.016 Controllare il flusso di CUI in conformità con le autorizzazioni approvate.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. La mancata entrata (o remota) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto.
AC.2.016 Controllare il flusso di CUI in conformità con le autorizzazioni approvate.

ec2-instances-in-vpc

Distribuisci istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un Internet gateway, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
AC.2.016 Controllare il flusso di CUI in conformità con le autorizzazioni approvate.

internet-gateway-authorized-vpc-only

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud (Amazon VPC). I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC.
AC.2.016 Controllare il flusso di CUI in conformità con le autorizzazioni approvate.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
AC.2.016 Controllare il flusso di CUI in conformità con le autorizzazioni approvate.

lambda-inside-vpc

Distribuisci le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non hai bisogno di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
AC.2.016 Controllare il flusso di CUI in conformità con le autorizzazioni approvate.

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
AC.2.016 Controllare il flusso di CUI in conformità con le autorizzazioni approvate.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
AC.2.016 Controllare il flusso di CUI in conformità con le autorizzazioni approvate.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
AC.2.016 Controllare il flusso di CUI in conformità con le autorizzazioni approvate.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
AC.2.016 Controllare il flusso di CUI in conformità con le autorizzazioni approvate.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC.2.016 Controllare il flusso di CUI in conformità con le autorizzazioni approvate.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette la configurazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC.2.016 Controllare il flusso di CUI in conformità con le autorizzazioni approvate.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
AC.2.016 Controllare il flusso di CUI in conformità con le autorizzazioni approvate.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC.2.016 Controllare il flusso di CUI in conformità con le autorizzazioni approvate.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC.2.016 Controllare il flusso di CUI in conformità con le autorizzazioni approvate.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
AC.2.016 Controllare il flusso di CUI in conformità con le autorizzazioni approvate.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
AC.2.016 Controllare il flusso di CUI in conformità con le autorizzazioni approvate.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
AC.2.016 Controllare il flusso di CUI in conformità con le autorizzazioni approvate.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
AC.2.016 Controllare il flusso di CUI in conformità con le autorizzazioni approvate.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
AC.3.014 Utilizzare meccanismi crittografici per proteggere la riservatezza delle sessioni di accesso remoto.

acm-certificate-expiration-check

Assicurati che l'integrità della rete sia protetta assicurando che i certificati X509 vengano emessi da AWS ACM. Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore perdaysToExpiration(Valore AWS Foundational Security Best Practices: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
AC.3.014 Utilizzare meccanismi crittografici per proteggere la riservatezza delle sessioni di accesso remoto.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
AC.3.014 Utilizzare meccanismi crittografici per proteggere la riservatezza delle sessioni di accesso remoto.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
AC.3.014 Utilizzare meccanismi crittografici per proteggere la riservatezza delle sessioni di accesso remoto.

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantirenode-to-nodeAmazon encryptionOpenSearchIl servizio è abilitato. Node-to-nodeLa crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
AC.3.014 Utilizzare meccanismi crittografici per proteggere la riservatezza delle sessioni di accesso remoto.

elbv2-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
AC.3.014 Utilizzare meccanismi crittografici per proteggere la riservatezza delle sessioni di accesso remoto.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
AC.3.014 Utilizzare meccanismi crittografici per proteggere la riservatezza delle sessioni di accesso remoto.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
AC.3.014 Utilizzare meccanismi crittografici per proteggere la riservatezza delle sessioni di accesso remoto.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
AC.3.014 Utilizzare meccanismi crittografici per proteggere la riservatezza delle sessioni di accesso remoto.

s3-bucket-ssl-requests-only

Per proteggere i dati durante il transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
AC.3.017 Separare i doveri degli individui per ridurre il rischio di attività malevola senza collusione.

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. A questo riguardo, il KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
AC.3.017 Separare i doveri degli individui per ridurre il rischio di attività malevola senza collusione.

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e separazione dei doveri. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione
AC.3.017 Separare i doveri degli individui per ridurre il rischio di attività malevola senza collusione.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
AC.3.017 Separare i doveri degli individui per ridurre il rischio di attività malevola senza collusione.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
AC.3.017 Separare i doveri degli individui per ridurre il rischio di attività malevola senza collusione.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Operazione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC.3.017 Separare i doveri degli individui per ridurre il rischio di attività malevola senza collusione.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC.3.017 Separare i doveri degli individui per ridurre il rischio di attività malevola senza collusione.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
AC.3.017 Separare i doveri degli individui per ridurre il rischio di attività malevola senza collusione.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC.3.017 Separare i doveri degli individui per ridurre il rischio di attività malevola senza collusione.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
AC.3.017 Separare i doveri degli individui per ridurre il rischio di attività malevola senza collusione.

s3-bucket-policy-grantee-check

Gestisci l'accesso al cloud AWS abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 è limitato da qualsiasi principale di AWS, dagli utenti federati, dai principali dei servizi, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti dall'utente.
AC.3.018 Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
AC.3.018 Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo.

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
AC.3.018 Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTrailfornisce dettagli sull'attività delle chiamate API nell'account AWS.
AC.3.018 Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
AC.3.018 Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
AC.3.018 Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo.

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. A questo riguardo, il KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
AC.3.018 Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo.

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e separazione dei doveri. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione
AC.3.018 Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
AC.3.018 Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo.

azioni iam-inline-policy-blocked-kms-actions

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC.3.018 Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
AC.3.018 Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Operazione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC.3.018 Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC.3.018 Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
AC.3.018 Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC.3.018 Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
AC.3.018 Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
AC.3.018 Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo.

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
AC.3.018 Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo.

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'operazione della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore.
AC.3.018 Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo.

s3-bucket-policy-grantee-check

Gestisci l'accesso al cloud AWS abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 è limitato da qualsiasi principale di AWS, dagli utenti federati, dai principali dei servizi, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti dall'utente.
AC.3.018 Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e di acquisire l'esecuzione di tali funzioni nei registri di controllo.

wafv2-logging abilitato

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta.
AC.4.023 Controlla i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a la protezione delle applicazioni Web o delle API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente.
AC.4.023 Controlla i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

api-gw-associato-con-waf

AWS WAF consente di configurare un set di regole (denominato lista di controllo accessi Web (web ACL)) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi
AC.4.023 Controlla i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
AC.4.023 Controlla i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC.4.023 Controlla i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
AC.4.023 Controlla i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC.4.023 Controlla i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (OpenSearchService) I domini si trovano all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizi e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
AC.4.023 Controlla i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC.4.023 Controlla i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non permettere l'ingresso (o in remoto) dal 0.0.0.0/0 alla porta 22 sulle risorse consente di limitare l'accesso remoto.
AC.4.023 Controlla i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

ec2-instances-in-vpc

Distribuisci istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un Internet gateway, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
AC.4.023 Controlla i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

internet-gateway-authorized-vpc-only

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud (Amazon VPC). I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC.
AC.4.023 Controlla i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
AC.4.023 Controlla i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

lambda-inside-vpc

Distribuisci le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non hai bisogno di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
AC.4.023 Controlla i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
AC.4.023 Controlla i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
AC.4.023 Controlla i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
AC.4.023 Controlla i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
AC.4.023 Controlla i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC.4.023 Controlla i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette la configurazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC.4.023 Controlla i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
AC.4.023 Controlla i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC.4.023 Controlla i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC.4.023 Controlla i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
AC.4.023 Controlla i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
AC.4.023 Controlla i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
AC.4.023 Controlla i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
AC.4.023 Controlla i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
AM.4.226 Utilizza una capacità per individuare e identificare i sistemi con attributi di componenti specifici (ad esempio, livello di firmware, tipo di sistema operativo) all'interno del tuo inventario.

ec2-instance-managed-by-systems-manager

Puoi inventare le piattaforme software e le applicazioni nell'organizzazione gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
AM.4.226 Utilizza una capacità per individuare e identificare i sistemi con attributi di componenti specifici (ad esempio, livello di firmware, tipo di sistema operativo) all'interno del tuo inventario.

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
AM.4.226 Utilizza una capacità per individuare e identificare i sistemi con attributi di componenti specifici (ad esempio, livello di firmware, tipo di sistema operativo) all'interno del tuo inventario.

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutarti con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
AT.4.059 Stabilisci e gestisci un programma di sensibilizzazione sulla sicurezza per la tua organizzazione security-awareness-program-exists (controllo del processo) Stabilisci e gestisci un programma di sensibilizzazione sulla sicurezza per la tua organizzazione I programmi di sensibilizzazione sulla sicurezza educano i dipendenti su come proteggere la propria organizzazione da varie violazioni o incidenti della sicurezza.
AU.2.041 Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco a tali utenti in modo che possano essere ritenuti responsabili delle loro azioni.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
AU.2.041 Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco a tali utenti in modo che possano essere ritenuti responsabili delle loro azioni.

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
AU.2.041 Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco a tali utenti in modo che possano essere ritenuti responsabili delle loro azioni.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTrailfornisce dettagli sull'attività delle chiamate API nell'account AWS.
AU.2.041 Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco a tali utenti in modo che possano essere ritenuti responsabili delle loro azioni.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
AU.2.041 Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco a tali utenti in modo che possano essere ritenuti responsabili delle loro azioni.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
AU.2.041 Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco a tali utenti in modo che possano essere ritenuti responsabili delle loro azioni.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
AU.2.041 Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco a tali utenti in modo che possano essere ritenuti responsabili delle loro azioni.

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
AU.2.041 Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco a tali utenti in modo che possano essere ritenuti responsabili delle loro azioni.

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'operazione della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore.
AU.2.041 Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco a tali utenti in modo che possano essere ritenuti responsabili delle loro azioni.

wafv2-logging abilitato

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta.
AU.2.042 Creare e conservare registri e registri di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività illegali o non autorizzate del sistema.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
AU.2.042 Creare e conservare registri e registri di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività illegali o non autorizzate del sistema.

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
AU.2.042 Creare e conservare registri e registri di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività illegali o non autorizzate del sistema.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTrailfornisce dettagli sull'attività delle chiamate API nell'account AWS.
AU.2.042 Creare e conservare registri e registri di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività illegali o non autorizzate del sistema.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
AU.2.042 Creare e conservare registri e registri di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività illegali o non autorizzate del sistema.

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
AU.2.042 Creare e conservare registri e registri di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività illegali o non autorizzate del sistema.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
AU.2.042 Creare e conservare registri e registri di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività illegali o non autorizzate del sistema.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
AU.2.042 Creare e conservare registri e registri di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività illegali o non autorizzate del sistema.

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
AU.2.042 Creare e conservare registri e registri di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività illegali o non autorizzate del sistema.

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'operazione della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore.
AU.2.042 Creare e conservare registri e registri di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività illegali o non autorizzate del sistema.

wafv2-logging abilitato

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta.
AU.3.046 Avviso in caso di errore del processo di registrazione di controllo.

cloudwatch-alarm-action-check

AmazonCloudWatchavvisi quando un parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionRichiesto (Config predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
AU.3.046 Avviso in caso di errore del processo di registrazione di controllo.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTrailfornisce dettagli sull'attività delle chiamate API nell'account AWS.
AU.3.046 Avviso in caso di errore del processo di registrazione di controllo.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
AU.3.046 Avviso in caso di errore del processo di registrazione di controllo.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
AU.3.049 Proteggi le informazioni di audit e gli strumenti di registrazione di audit da accessi, modifiche ed eliminazioni non autorizzati.

cloudwatch-log-group-encrypted

Per proteggere i dati sensibili a riposo, assicurati che la crittografia sia abilitata per il tuo AmazonCloudWatchGruppi di log.
AU.3.049 Proteggi le informazioni di audit e gli strumenti di registrazione di audit da accessi, modifiche ed eliminazioni non autorizzati.

cloud-trail-encryption-enabled

Poiché potrebbero esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo AWSCloudTrailsentieri.
AU.3.049 Proteggi le informazioni di audit e gli strumenti di registrazione di audit da accessi, modifiche ed eliminazioni non autorizzati.

cloud-trail-log-file-validation-enabled

Utilizzo di AWSCloudTrailconvalida del file di log per verificare l'integrità diCloudTrailregistri. La convalida del file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o invariato dopoCloudTraill'ha consegnato. Questa funzione è costruita utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende impossibile, a livello di programmazione, qualsiasi operazione di modifica, eliminazione o contraffazione dei file di log di CloudTrail senza che tale operazione venga rilevata.
AU.3.049 Proteggi le informazioni di audit e gli strumenti di registrazione di audit da accessi, modifiche ed eliminazioni non autorizzati.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette la configurazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AU.3.049 Proteggi le informazioni di audit e gli strumenti di registrazione di audit da accessi, modifiche ed eliminazioni non autorizzati.

s3-bucket-default-lock-enabled

Assicurati che il bucket Amazon Simple Storage Service (Amazon S3) abbia il blocco abilitato, per impostazione predefinita. Poiché i dati sensibili possono esistere a riposo nei bucket S3, applica i blocchi degli oggetti a riposo per proteggere tali dati.
AU.3.049 Proteggi le informazioni di audit e gli strumenti di registrazione di audit da accessi, modifiche ed eliminazioni non autorizzati.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
AU.3.049 Proteggi le informazioni di audit e gli strumenti di registrazione di audit da accessi, modifiche ed eliminazioni non autorizzati.

s3-bucket-policy-grantee-check

Gestisci l'accesso al cloud AWS abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 è limitato da qualsiasi principale di AWS, dagli utenti federati, dai principali dei servizi, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti dall'utente.
AU.3.049 Proteggi le informazioni di audit e gli strumenti di registrazione di audit da accessi, modifiche ed eliminazioni non autorizzati.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AU.3.049 Proteggi le informazioni di audit e gli strumenti di registrazione di audit da accessi, modifiche ed eliminazioni non autorizzati.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AU.3.049 Proteggi le informazioni di audit e gli strumenti di registrazione di audit da accessi, modifiche ed eliminazioni non autorizzati.

S3-bucket-server-side-encryption-enabled

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati.
AU.3.049 Proteggi le informazioni di audit e gli strumenti di registrazione di audit da accessi, modifiche ed eliminazioni non autorizzati.

s3-bucket-ssl-requests-only

Per proteggere i dati durante il transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
AU.3.049 Proteggi le informazioni di audit e gli strumenti di registrazione di audit da accessi, modifiche ed eliminazioni non autorizzati.

s3-bucket-versioning-enabled

Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa questa funzione per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni consente il semplice recupero dopo errori dell'applicazione e operazioni non intenzionali dell'utente.
AU.3.049 Proteggi le informazioni di audit e gli strumenti di registrazione di audit da accessi, modifiche ed eliminazioni non autorizzati.

s3-default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo in un bucket Amazon S3, abilitare la crittografia a riposo per proteggere tali dati.
AU.3.051 Correlare i processi di revisione, analisi e reporting dei record di audit per indagini e risposte a indicazioni di attività illecite, non autorizzate, sospette o insolite.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
AU.3.051 Correlare i processi di revisione, analisi e reporting dei record di audit per indagini e risposte a indicazioni di attività illecite, non autorizzate, sospette o insolite.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
AU.4.053 Automatizza l'analisi dei registri di controllo per identificare e agire su indicatori critici (TTP) e/o attività sospette definite dall'organizzazione.

cloudwatch-alarm-action-check

AmazonCloudWatchavvisi quando un parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionRichiesto (Config predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
AU.4.053 Automatizza l'analisi dei registri di controllo per identificare e agire su indicatori critici (TTP) e/o attività sospette definite dall'organizzazione.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTrailfornisce dettagli sull'attività delle chiamate API nell'account AWS.
AU.4.053 Automatizza l'analisi dei registri di controllo per identificare e agire su indicatori critici (TTP) e/o attività sospette definite dall'organizzazione.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
AU.4.053 Automatizza l'analisi dei registri di controllo per identificare e agire su indicatori critici (TTP) e/o attività sospette definite dall'organizzazione.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
AU.4.054 Esaminare le informazioni di audit per un'ampia attività oltre all'attività per macchina.

cloudwatch-alarm-action-check

AmazonCloudWatchavvisi quando un parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionRichiesto (Config predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
AU.4.054 Esaminare le informazioni di audit per un'ampia attività oltre all'attività per macchina.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
AU.4.054 Esaminare le informazioni di audit per un'ampia attività oltre all'attività per macchina.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
AU.5.055 Identifica le risorse che non segnalano i registri di controllo e assicurati che i sistemi definiti organizzativamente appropriati stiano registrando.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
AU.5.055 Identifica le risorse che non segnalano i registri di controllo e assicurati che i sistemi definiti organizzativamente appropriati stiano registrando.

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
AU.5.055 Identifica le risorse che non segnalano i registri di controllo e assicurati che i sistemi definiti organizzativamente appropriati stiano registrando.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTrailfornisce dettagli sull'attività delle chiamate API nell'account AWS.
AU.5.055 Identifica le risorse che non segnalano i registri di controllo e assicurati che i sistemi definiti organizzativamente appropriati stiano registrando.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
AU.5.055 Identifica le risorse che non segnalano i registri di controllo e assicurati che i sistemi definiti organizzativamente appropriati stiano registrando.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
AU.5.055 Identifica le risorse che non segnalano i registri di controllo e assicurati che i sistemi definiti organizzativamente appropriati stiano registrando.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
AU.5.055 Identifica le risorse che non segnalano i registri di controllo e assicurati che i sistemi definiti organizzativamente appropriati stiano registrando.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
AU.5.055 Identifica le risorse che non segnalano i registri di controllo e assicurati che i sistemi definiti organizzativamente appropriati stiano registrando.

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
AU.5.055 Identifica le risorse che non segnalano i registri di controllo e assicurati che i sistemi definiti organizzativamente appropriati stiano registrando.

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'operazione della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore.
AU.5.055 Identifica le risorse che non segnalano i registri di controllo e assicurati che i sistemi definiti organizzativamente appropriati stiano registrando.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
AU.5.055 Identifica le risorse che non segnalano i registri di controllo e assicurati che i sistemi definiti organizzativamente appropriati stiano registrando.

wafv2-logging abilitato

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta.
CA.2.159 Sviluppare e implementare piani d'azione progettati per correggere le carenze e ridurre o eliminare le vulnerabilità nei sistemi organizzativi. vuln-management-plan-exists (controllo del processo) Assicurati che un piano di gestione delle vulnerabilità sia sviluppato e implementato al fine di disporre di processi formalmente definiti per affrontare le vulnerabilità nel tuo ambiente. Ciò può includere strumenti di gestione delle vulnerabilità, cadenza di scansione ambientale, ruoli e responsabilità.
CA.3.161 Monitorare continuamente i controlli di sicurezza per garantire la continuità dell'efficacia dei controlli.

cloudwatch-alarm-action-check

AmazonCloudWatchavvisi quando un parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionRichiesto (Config predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
CA.3.161 Monitorare continuamente i controlli di sicurezza per garantire la continuità dell'efficacia dei controlli.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
CA.3.161 Monitorare continuamente i controlli di sicurezza per garantire la continuità dell'efficacia dei controlli.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
CM.2.061 Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) durante i rispettivi cicli di vita di sviluppo del sistema.

ec2-instance-managed-by-systems-manager

Puoi inventare le piattaforme software e le applicazioni nell'organizzazione gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
CM.2.061 Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) durante i rispettivi cicli di vita di sviluppo del sistema.

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
CM.2.061 Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) durante i rispettivi cicli di vita di sviluppo del sistema.

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutarti con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
CM.2.061 Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) durante i rispettivi cicli di vita di sviluppo del sistema.

ec2-stopped-instance

Attiva questa regola per aiutare con la configurazione di base delle istanze Amazon Elastic Compute Cloud (Amazon EC2) verificando se le istanze Amazon EC2 sono state arrestate per più del numero consentito di giorni, in base agli standard dell'organizzazione.
CM.2.061 Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) durante i rispettivi cicli di vita di sviluppo del sistema.

ec2-volume-inuse-check

Questa regola garantisce che i volumi Amazon Elastic Block Store collegati alle istanze Amazon Elastic Compute Cloud (Amazon EC2) vengano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegata è terminata, potrebbe violare il concetto di funzionalità minima.
CM.2.061 Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) durante i rispettivi cicli di vita di sviluppo del sistema.

eip-attached

Questa regola garantisce che gli IP elastici assegnati a un Amazon Virtual Private Cloud (Amazon VPC) siano collegati alle istanze Amazon Elastic Compute Cloud (Amazon EC2) o alle interfacce Elastic Network in uso. Questa regola aiuta a monitorare gli EIP inutilizzati nel tuo ambiente.
CM.2.062 Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
CM.2.062 Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
CM.2.062 Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
CM.2.062 Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali.

ec2-instance-managed-by-systems-manager

Puoi inventare le piattaforme software e le applicazioni nell'organizzazione gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
CM.2.062 Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
CM.2.062 Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali.

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
CM.2.062 Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali.

ec2-volume-inuse-check

Questa regola garantisce che i volumi Amazon Elastic Block Store collegati alle istanze Amazon Elastic Compute Cloud (Amazon EC2) vengano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegata è terminata, potrebbe violare il concetto di funzionalità minima.
CM.2.062 Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (OpenSearchService) I domini si trovano all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizi e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
CM.2.062 Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
CM.2.062 Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non permettere l'ingresso (o in remoto) dal 0.0.0.0/0 alla porta 22 sulle risorse consente di limitare l'accesso remoto.
CM.2.062 Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali.

internet-gateway-authorized-vpc-only

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud (Amazon VPC). I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC.
CM.2.062 Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
CM.2.062 Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali.

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
CM.2.062 Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
CM.2.062 Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
CM.2.062 Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
CM.2.062 Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
CM.2.062 Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette la configurazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
CM.2.062 Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
CM.2.062 Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
CM.2.062 Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
CM.2.062 Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
CM.2.062 Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
CM.2.062 Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
CM.2.062 Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
CM.2.062 Utilizza il principio della minima funzionalità configurando i sistemi organizzativi per fornire solo funzionalità essenziali.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
CM.2.063 Controlla e monitora il software installato dall'utente.

ec2-instance-managed-by-systems-manager

Puoi inventare le piattaforme software e le applicazioni nell'organizzazione gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
CM.2.063 Controlla e monitora il software installato dall'utente.

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
CM.2.063 Controlla e monitora il software installato dall'utente.

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutarti con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
CM.2.064 Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici utilizzati nei sistemi organizzativi.

account-parte delle organizzazioni

La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata dell'account può portare a configurazioni di account incoerenti, che possono esporre risorse e dati sensibili.
CM.2.064 Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici utilizzati nei sistemi organizzativi.

cloudtrail-security trail abilitato

Questa regola aiuta a garantire l'utilizzo delle best practice di sicurezza consigliate da AWS per AWSCloudTrail, verificando l'attivazione di più impostazioni. Questi includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione di AWSCloudTrailin più regioni.
CM.2.064 Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici utilizzati nei sistemi organizzativi.

cloud-trail-log-file-validation-enabled

Utilizzo di AWSCloudTrailconvalida del file di log per verificare l'integrità diCloudTrailregistri. La convalida del file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o invariato dopoCloudTraill'ha consegnato. Questa funzione è costruita utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende impossibile, a livello di programmazione, qualsiasi operazione di modifica, eliminazione o contraffazione dei file di log di CloudTrail senza che tale operazione venga rilevata.
CM.2.064 Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici utilizzati nei sistemi organizzativi.

ec2-instance-managed-by-systems-manager

Puoi inventare le piattaforme software e le applicazioni nell'organizzazione gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
CM.2.064 Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici utilizzati nei sistemi organizzativi.

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
CM.2.064 Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici utilizzati nei sistemi organizzativi.

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutarti con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
CM.2.064 Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici utilizzati nei sistemi organizzativi.

elastic-beanstalk-managed-updates-enabled

L'abilitazione degli aggiornamenti della piattaforma gestita per un ambiente Amazon Elastic Beanstalk garantisce l'installazione delle più recenti correzioni, aggiornamenti e funzionalità della piattaforma disponibili per l'ambiente. Mantenersi aggiornati con l'installazione delle patch è una buona pratica nella protezione dei sistemi.
CM.2.064 Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici utilizzati nei sistemi organizzativi.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
CM.2.064 Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici utilizzati nei sistemi organizzativi.

rds-automatic-minor-version-upgrade abilitato

Abilita gli aggiornamenti automatici delle versioni secondarie sulle istanze di Amazon Relational Database Service (RDS) per garantire che siano installati gli ultimi aggiornamenti della versione secondaria del Relational Database Management System (RDBMS), che possono includere patch di sicurezza e correzioni di bug.
CM.2.064 Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici utilizzati nei sistemi organizzativi.

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. Nello specifico, hanno finestre di manutenzione preferite e periodi di conservazione automatica delle istantanee per il database. Questa regola richiede di impostare ilallowVersionUpgrade. Il valore predefinito è true. Consente inoltre di impostare facoltativamentepreferredMaintenanceWindow(il valore predefinito è sat: 16:00 -sab: 16:30) e ilautomatedSnapshotRetentionPeriodo (il valore predefinito è 1). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
CM.2.064 Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici utilizzati nei sistemi organizzativi.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
CM.2.065 Tieni traccia, esamina, approva o disapprova e registra le modifiche ai sistemi organizzativi.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
CM.2.065 Tieni traccia, esamina, approva o disapprova e registra le modifiche ai sistemi organizzativi.

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
CM.2.065 Tieni traccia, esamina, approva o disapprova e registra le modifiche ai sistemi organizzativi.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTrailfornisce dettagli sull'attività delle chiamate API nell'account AWS.
CM.2.065 Tieni traccia, esamina, approva o disapprova e registra le modifiche ai sistemi organizzativi.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
CM.2.065 Tieni traccia, esamina, approva o disapprova e registra le modifiche ai sistemi organizzativi.

ec2-instance-managed-by-systems-manager

Puoi inventare le piattaforme software e le applicazioni nell'organizzazione gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
CM.2.065 Tieni traccia, esamina, approva o disapprova e registra le modifiche ai sistemi organizzativi.

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
CM.2.065 Tieni traccia, esamina, approva o disapprova e registra le modifiche ai sistemi organizzativi.

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutarti con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
CM.2.065 Tieni traccia, esamina, approva o disapprova e registra le modifiche ai sistemi organizzativi.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
CM.2.065 Tieni traccia, esamina, approva o disapprova e registra le modifiche ai sistemi organizzativi.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
CM.2.065 Tieni traccia, esamina, approva o disapprova e registra le modifiche ai sistemi organizzativi.

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
CM.2.065 Tieni traccia, esamina, approva o disapprova e registra le modifiche ai sistemi organizzativi.

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'operazione della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore.
CM.2.065 Tieni traccia, esamina, approva o disapprova e registra le modifiche ai sistemi organizzativi.

wafv2-logging abilitato

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta.
CM.3.068 Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
CM.3.068 Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
CM.3.068 Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
CM.3.068 Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non permettere l'ingresso (o in remoto) dal 0.0.0.0/0 alla porta 22 sulle risorse consente di limitare l'accesso remoto.
CM.3.068 Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali.

internet-gateway-authorized-vpc-only

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud (Amazon VPC). I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC.
CM.3.068 Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
CM.3.068 Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali.

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
CM.3.068 Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
CM.3.068 Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
CM.3.068 Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
CM.3.068 Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette la configurazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
CM.3.068 Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
CM.3.068 Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
CM.3.068 Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
CM.3.068 Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
CM.3.068 Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
CM.3.068 Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
CM.3.068 Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
CM.3.068 Limita, disabilita o impedisce l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
CM.5.074 Verificare l'integrità e la correttezza del software critico o essenziale per la sicurezza come definito dall'organizzazione (ad esempio, radici di fiducia, verifica formale o firme crittografiche).

cloud-trail-log-file-validation-enabled

Utilizzo di AWSCloudTrailconvalida del file di log per verificare l'integrità diCloudTrailregistri. La convalida del file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o invariato dopoCloudTraill'ha consegnato. Questa funzione è costruita utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende impossibile, a livello di programmazione, qualsiasi operazione di modifica, eliminazione o contraffazione dei file di log di CloudTrail senza che tale operazione venga rilevata.
CM.5.074 Verificare l'integrità e la correttezza del software critico o essenziale per la sicurezza come definito dall'organizzazione (ad esempio, radici di fiducia, verifica formale o firme crittografiche).

ec2-instance-managed-by-systems-manager

Puoi inventare le piattaforme software e le applicazioni nell'organizzazione gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
CM.5.074 Verificare l'integrità e la correttezza del software critico o essenziale per la sicurezza come definito dall'organizzazione (ad esempio, radici di fiducia, verifica formale o firme crittografiche).

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
CM.5.074 Verificare l'integrità e la correttezza del software critico o essenziale per la sicurezza come definito dall'organizzazione (ad esempio, radici di fiducia, verifica formale o firme crittografiche).

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutarti con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
IA.1.076 Identificare gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o dei dispositivi.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
IA.1.076 Identificare gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o dei dispositivi.

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
IA.1.076 Identificare gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o dei dispositivi.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTrailfornisce dettagli sull'attività delle chiamate API nell'account AWS.
IA.1.076 Identificare gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o dei dispositivi.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
IA.1.076 Identificare gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o dei dispositivi.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
IA.1.076 Identificare gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o dei dispositivi.

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. A questo riguardo, il KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
IA.1.076 Identificare gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o dei dispositivi.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
IA.1.076 Identificare gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o dei dispositivi.

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
IA.1.076 Identificare gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o dei dispositivi.

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'operazione della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore.
IA.1.076 Identificare gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o dei dispositivi.

wafv2-logging abilitato

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta.
IA.1.077 Autenticare (o verificare) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi organizzativi.

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. A questo riguardo, il KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
IA.1.077 Autenticare (o verificare) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi organizzativi.

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dal Benchmark AWS Foundations Centers for Internet Security (CIS) per la conformità della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
IA.1.077 Autenticare (o verificare) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi organizzativi.

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola assicura che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
IA.1.077 Autenticare (o verificare) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi organizzativi.

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
IA.1.077 Autenticare (o verificare) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi organizzativi.

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
IA.1.077 Autenticare (o verificare) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi organizzativi.

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
IA.2.078 Applica una complessità minima della password e modifica dei caratteri quando vengono create nuove password.

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
IA.2.079 Proibire il riutilizzo della password per un determinato numero di generazioni.

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
IA.2.081 Archivia e trasmetti solo password protette crittograficamente.

alb-http-drop-invalid-header-enabled

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati per eliminare le intestazioni http. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
IA.2.081 Archivia e trasmetti solo password protette crittograficamente.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
IA.2.081 Archivia e trasmetti solo password protette crittograficamente.

api-gw-cache-enabled-and-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per la cache della fase API Gateway. Poiché i dati sensibili possono essere acquisiti per il metodo API, abilitare la crittografia a riposo per proteggere tali dati.
IA.2.081 Archivia e trasmetti solo password protette crittograficamente.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
IA.2.081 Archivia e trasmetti solo password protette crittograficamente.

ec2-ebs-encryption-by-default

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati.
IA.2.081 Archivia e trasmetti solo password protette crittograficamente.

efs-encrypted-check

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo Amazon Elastic File System (EFS).
IA.2.081 Archivia e trasmetti solo password protette crittograficamente.

elasticsearch-encrypted-at-rest

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per AmazonOpenSearchService (OpenSearchDomini Service).
IA.2.081 Archivia e trasmetti solo password protette crittograficamente.

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantirenode-to-nodeAmazon encryptionOpenSearchIl servizio è abilitato. Node-to-nodeLa crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
IA.2.081 Archivia e trasmetti solo password protette crittograficamente.

elbv2-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
IA.2.081 Archivia e trasmetti solo password protette crittograficamente.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
IA.2.081 Archivia e trasmetti solo password protette crittograficamente.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
IA.2.081 Archivia e trasmetti solo password protette crittograficamente.

encrypted-volumes

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS).
IA.2.081 Archivia e trasmetti solo password protette crittograficamente.

rds-snapshot-encrypted

Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
IA.2.081 Archivia e trasmetti solo password protette crittograficamente.

rds-storage-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati.
IA.2.081 Archivia e trasmetti solo password protette crittograficamente.

redshift-cluster-kms-enabled

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il cluster Amazon Redshift. Poiché i dati sensibili possono esistere a riposo nei cluster Redshift, abilitare la crittografia a riposo per proteggere tali dati.
IA.2.081 Archivia e trasmetti solo password protette crittograficamente.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
IA.2.081 Archivia e trasmetti solo password protette crittograficamente.

S3-bucket-server-side-encryption-enabled

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati.
IA.2.081 Archivia e trasmetti solo password protette crittograficamente.

s3-bucket-ssl-requests-only

Per proteggere i dati durante il transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
IA.2.081 Archivia e trasmetti solo password protette crittograficamente.

s3-default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo in un bucket Amazon S3, abilitare la crittografia a riposo per proteggere tali dati.
IA.2.081 Archivia e trasmetti solo password protette crittograficamente.

sagemaker-endpoint-configuration-kms-key-configured

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per ilSageMakerEndpoint. Perché i dati sensibili possono esistere a riposoSageMakerendpoint, abilita la crittografia a riposo per proteggere tali dati.
IA.2.081 Archivia e trasmetti solo password protette crittograficamente.

sagemaker-notebook-instance-kms-key-configurato

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per ilSageMakernotebook. Perché i dati sensibili possono esistere a riposoSageMakernotebook, abilita la crittografia a riposo per proteggere tali dati.
IA.2.081 Archivia e trasmetti solo password protette crittograficamente.

sns-encrypted-kms

Per proteggere i dati a riposo, assicurati che gli argomenti Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Poiché i dati sensibili possono esistere a riposo nei messaggi pubblicati, abilitare la crittografia a riposo per proteggere tali dati.
IA.3.083 Utilizzare l'autenticazione a più fattori per l'accesso locale e di rete agli account privilegiati e per l'accesso di rete agli account non privilegiati.

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola assicura che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
IA.3.083 Utilizzare l'autenticazione a più fattori per l'accesso locale e di rete agli account privilegiati e per l'accesso di rete agli account non privilegiati.

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
IA.3.083 Utilizzare l'autenticazione a più fattori per l'accesso locale e di rete agli account privilegiati e per l'accesso di rete agli account non privilegiati.

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
IA.3.083 Utilizzare l'autenticazione a più fattori per l'accesso locale e di rete agli account privilegiati e per l'accesso di rete agli account non privilegiati.

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
IA.3.086 Disabilita gli identificatori dopo un periodo di inattività definito.

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
IA.3.086 Disabilita gli identificatori dopo un periodo di inattività definito.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
IR.2.092 Stabilire una capacità operativa di gestione degli incidenti per i sistemi organizzativi che includono attività di preparazione, rilevamento, analisi, contenimento, ripristino e risposta degli utenti. response-plan-exists-mantenuto (controllo del processo) Assicurarsi che i piani di risposta agli incidenti siano stabiliti, mantenuti e distribuiti al personale responsabile. Avere piani di risposta aggiornati e documentati formalmente può aiutare a garantire che il personale di risposta comprenda ruoli, responsabilità e processi da seguire durante un incidente.
IR.2.092 Stabilire una capacità operativa di gestione degli incidenti per i sistemi organizzativi che includono attività di preparazione, rilevamento, analisi, contenimento, ripristino e risposta degli utenti.

cloudwatch-alarm-action-check

AmazonCloudWatchavvisi quando un parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionRichiesto (Config predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
IR.2.092 Stabilire una capacità operativa di gestione degli incidenti per i sistemi organizzativi che includono attività di preparazione, rilevamento, analisi, contenimento, ripristino e risposta degli utenti.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
IR.2.092 Stabilire una capacità operativa di gestione degli incidenti per i sistemi organizzativi che includono attività di preparazione, rilevamento, analisi, contenimento, ripristino e risposta degli utenti.

guardduty-non-archived-findings

AmazonGuardDutyaiuta a comprendere l'impatto di un incidente classificando i risultati per gravità: bassa, media e alta. È possibile utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola permette la configurazione facoltativadaysLowSev(Impostazione predefinita: 30),daysMediumSev(Config Default: 7) edaysHighSev(Config Predefinito: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione.
IR.2.092 Stabilire una capacità operativa di gestione degli incidenti per i sistemi organizzativi che includono attività di preparazione, rilevamento, analisi, contenimento, ripristino e risposta degli utenti.

lambda-dlq-check

Abilita questa regola per informare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione non è riuscita.
IR.2.092 Stabilire una capacità operativa di gestione degli incidenti per i sistemi organizzativi che includono attività di preparazione, rilevamento, analisi, contenimento, ripristino e risposta degli utenti.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
IR.2.093 Rileva e segnala eventi.

autoscaling-group-elb-healthcheck-required

I controlli di integrità Elastic Load Balancer (ELB) per i gruppi Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) supportano il mantenimento di capacità e disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ping, effettua tentativi di connessione o invia richieste per testare l'integrità delle istanze Amazon EC2 in un gruppo di auto-scaling. Se un'istanza non viene segnalata, il traffico viene inviato a una nuova istanza Amazon EC2.
IR.2.093 Rileva e segnala eventi.

cloudwatch-alarm-action-check

AmazonCloudWatchavvisi quando un parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionRichiesto (Config predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
IR.2.093 Rileva e segnala eventi.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
IR.2.093 Rileva e segnala eventi.

lambda-dlq-check

Abilita questa regola per informare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione non è riuscita.
IR.2.093 Rileva e segnala eventi.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
IR.3.099 Verifica la capacità di risposta agli incidenti organizzativi. response-plan-tested(verifica del processo) Assicurati che i piani di risposta agli incidenti e ripristino siano testati. Ciò può aiutare a capire se il piano sarà efficace durante un incidente e se è necessario risolvere eventuali lacune o aggiornamenti.
IR.5.102 Utilizza una combinazione di risposte manuali e automatizzate in tempo reale a attività anomale che corrispondono a schemi di incidenti.

cloudwatch-alarm-action-check

AmazonCloudWatchavvisi quando un parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionRichiesto (Config predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
IR.5.102 Utilizza una combinazione di risposte manuali e automatizzate in tempo reale a attività anomale che corrispondono a schemi di incidenti.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
IR.5.102 Utilizza una combinazione di risposte manuali e automatizzate in tempo reale a attività anomale che corrispondono a schemi di incidenti.

guardduty-non-archived-findings

AmazonGuardDutyaiuta a comprendere l'impatto di un incidente classificando i risultati per gravità: bassa, media e alta. È possibile utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola permette la configurazione facoltativadaysLowSev(Impostazione predefinita: 30),daysMediumSev(Config Default: 7) edaysHighSev(Config Predefinito: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione.
IR.5.102 Utilizza una combinazione di risposte manuali e automatizzate in tempo reale a attività anomale che corrispondono a schemi di incidenti.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
MA.2.113 Richiedere l'autenticazione a più fattori per stabilire sessioni di manutenzione non locali tramite connessioni di rete esterne e terminare tali connessioni quando la manutenzione non locale è completa.

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola assicura che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
MA.2.113 Richiedere l'autenticazione a più fattori per stabilire sessioni di manutenzione non locali tramite connessioni di rete esterne e terminare tali connessioni quando la manutenzione non locale è completa.

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
RE.2.137 Eseguire e testare regolarmente i backup dei dati.

controllo di backup-plan-min-frequency-and-min-retention

Per aiutare con i processi di backup dei dati, assicurati che il piano AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup. Questa regola permette la configurazionerequiredFrequencyValue(impostazione predefinita di Config: 1),requiredRetentionDays(impostazione predefinita di Config: 35) erequiredFrequencyUnit(Config default: giorni) parametri. Il valore effettivo dovrebbe riflettere i requisiti della tua organizzazione.
RE.2.137 Eseguire e testare regolarmente i backup dei dati.

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea automaticamente una snapshot dei volumi di storage dell'istanza database, eseguendo il backup dell'intera istanza database. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
RE.2.137 Eseguire e testare regolarmente i backup dei dati.

dynamic odb-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
RE.2.137 Eseguire e testare regolarmente i backup dei dati.

dynamodb-pitr-enabled

Abilitare questa regola per verificare che le informazioni siano state sottoposti a backup. Mantiene inoltre i backup garantendo chepoint-in-timeil ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
RE.2.137 Eseguire e testare regolarmente i backup dei dati.

ebs-in-backup-plan

Per aiutare i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) siano parte integrante di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
RE.2.137 Eseguire e testare regolarmente i backup dei dati.

efs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
RE.2.137 Eseguire e testare regolarmente i backup dei dati.

elasticache-redis-cluster-automatic-backup-check

Quando i backup automatici sono abilitati, AmazonElastiCachecrea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. In caso di esito negativo, puoi creare un nuovo cluster che ripristina i dati dal backup più recente.
RE.2.137 Eseguire e testare regolarmente i backup dei dati.

rds-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le istanze Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
RE.2.137 Eseguire e testare regolarmente i backup dei dati.

redshift-backup-enabled

Per aiutarti con i processi di backup dei dati, assicurati che i tuoi cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB di modifiche dei dati per nodo, a seconda di quale evento si verifica prima.
RE.2.137 Eseguire e testare regolarmente i backup dei dati.

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
RE.2.137 Eseguire e testare regolarmente i backup dei dati.

s3-bucket-versioning-enabled

Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa questa funzione per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni consente il semplice recupero dopo errori dell'applicazione e operazioni non intenzionali dell'utente.
RE.2.139 Esegui regolarmente backup dei dati completi, completi e resilienti come definiti organizzativamente.

s3-bucket-versioning-enabled

Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa questa funzione per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni consente il semplice recupero dopo errori dell'applicazione e operazioni non intenzionali dell'utente.
RE.3.139 Esegui regolarmente backup dei dati completi, completi e resilienti come definiti organizzativamente.

controllo di backup-plan-min-frequency-and-min-retention

Per aiutare con i processi di backup dei dati, assicurati che il piano AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup. Questa regola permette la configurazionerequiredFrequencyValue(impostazione predefinita di Config: 1),requiredRetentionDays(impostazione predefinita di Config: 35) erequiredFrequencyUnit(Config default: giorni) parametri. Il valore effettivo dovrebbe riflettere i requisiti della tua organizzazione.
RE.3.139 Esegui regolarmente backup dei dati completi, completi e resilienti come definiti organizzativamente.

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea automaticamente una snapshot dei volumi di storage dell'istanza database, eseguendo il backup dell'intera istanza database. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
RE.3.139 Esegui regolarmente backup dei dati completi, completi e resilienti come definiti organizzativamente.

dynamic odb-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
RE.3.139 Esegui regolarmente backup dei dati completi, completi e resilienti come definiti organizzativamente.

dynamodb-pitr-enabled

Abilitare questa regola per verificare che le informazioni siano state sottoposti a backup. Mantiene inoltre i backup garantendo chepoint-in-timeil ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
RE.3.139 Esegui regolarmente backup dei dati completi, completi e resilienti come definiti organizzativamente.

ebs-in-backup-plan

Per aiutare i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) siano parte integrante di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
RE.3.139 Esegui regolarmente backup dei dati completi, completi e resilienti come definiti organizzativamente.

efs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
RE.3.139 Esegui regolarmente backup dei dati completi, completi e resilienti come definiti organizzativamente.

elasticache-redis-cluster-automatic-backup-check

Quando i backup automatici sono abilitati, AmazonElastiCachecrea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. In caso di esito negativo, puoi creare un nuovo cluster che ripristina i dati dal backup più recente.
RE.3.139 Esegui regolarmente backup dei dati completi, completi e resilienti come definiti organizzativamente.

rds-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le istanze Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
RE.3.139 Esegui regolarmente backup dei dati completi, completi e resilienti come definiti organizzativamente.

redshift-backup-enabled

Per aiutarti con i processi di backup dei dati, assicurati che i tuoi cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB di modifiche dei dati per nodo, a seconda di quale evento si verifica prima.
RE.3.139 Esegui regolarmente backup dei dati completi, completi e resilienti come definiti organizzativamente.

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
RE.5.140 Assicurati che le strutture di elaborazione delle informazioni soddisfino i requisiti di continuità, ridondanza e disponibilità delle informazioni definiti dall'organizzazione.

controllo di backup-plan-min-frequency-and-min-retention

Per aiutare con i processi di backup dei dati, assicurati che il piano AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup. Questa regola permette la configurazionerequiredFrequencyValue(impostazione predefinita di Config: 1),requiredRetentionDays(impostazione predefinita di Config: 35) erequiredFrequencyUnit(Config default: giorni) parametri. Il valore effettivo dovrebbe riflettere i requisiti della tua organizzazione.
RE.5.140 Assicurati che le strutture di elaborazione delle informazioni soddisfino i requisiti di continuità, ridondanza e disponibilità delle informazioni definiti dall'organizzazione.

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea automaticamente una snapshot dei volumi di storage dell'istanza database, eseguendo il backup dell'intera istanza database. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
RE.5.140 Assicurati che le strutture di elaborazione delle informazioni soddisfino i requisiti di continuità, ridondanza e disponibilità delle informazioni definiti dall'organizzazione.

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling utilizza il servizio AWS Application Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura/scrittura assegnata per gestire improvvisi aumenti di traffico, senza throttling.
RE.5.140 Assicurati che le strutture di elaborazione delle informazioni soddisfino i requisiti di continuità, ridondanza e disponibilità delle informazioni definiti dall'organizzazione.

dynamic odb-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
RE.5.140 Assicurati che le strutture di elaborazione delle informazioni soddisfino i requisiti di continuità, ridondanza e disponibilità delle informazioni definiti dall'organizzazione.

dynamodb-pitr-enabled

Abilitare questa regola per verificare che le informazioni siano state sottoposti a backup. Mantiene inoltre i backup garantendo chepoint-in-timeil ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
RE.5.140 Assicurati che le strutture di elaborazione delle informazioni soddisfino i requisiti di continuità, ridondanza e disponibilità delle informazioni definiti dall'organizzazione.

ebs-in-backup-plan

Per aiutare i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) siano parte integrante di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
RE.5.140 Assicurati che le strutture di elaborazione delle informazioni soddisfino i requisiti di continuità, ridondanza e disponibilità delle informazioni definiti dall'organizzazione.

ebs-optimized-instance

Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) fornisce capacità aggiuntiva dedicata per le operazioni di I/O Amazon EBS. Tale ottimizzazione offre le prestazioni più efficienti per i volumi EBS, riducendo al minimo i conflitti tra le operazioni di I/O Amazon EBS e l'altro traffico proveniente dall'istanza.
RE.5.140 Assicurati che le strutture di elaborazione delle informazioni soddisfino i requisiti di continuità, ridondanza e disponibilità delle informazioni definiti dall'organizzazione.

efs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
RE.5.140 Assicurati che le strutture di elaborazione delle informazioni soddisfino i requisiti di continuità, ridondanza e disponibilità delle informazioni definiti dall'organizzazione.

elasticache-redis-cluster-automatic-backup-check

Quando i backup automatici sono abilitati, AmazonElastiCachecrea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. In caso di esito negativo, puoi creare un nuovo cluster che ripristina i dati dal backup più recente.
RE.5.140 Assicurati che le strutture di elaborazione delle informazioni soddisfino i requisiti di continuità, ridondanza e disponibilità delle informazioni definiti dall'organizzazione.

elb-cross-zone-load-balancing-abilitato

Abilita il bilanciamento del carico tra zone per i tuoi Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il sistema di bilanciamento del carico tra zone riduce la necessità di mantenere un numero equivalente di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze.
RE.5.140 Assicurati che le strutture di elaborazione delle informazioni soddisfino i requisiti di continuità, ridondanza e disponibilità delle informazioni definiti dall'organizzazione.

elb-deletion-protection-enabled

Questa regola garantisce che Elastic Load Balancing abbia abilitata la protezione da eliminazione abilitata. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni.
RE.5.140 Assicurati che le strutture di elaborazione delle informazioni soddisfino i requisiti di continuità, ridondanza e disponibilità delle informazioni definiti dall'organizzazione.

rds-instance-deletion-protection-enabled

Assicurati che le istanze Amazon Relational Database Service (DS) abbiano abilitato la protezione per l'eliminazione. Utilizza la protezione dall'eliminazione per evitare che le tue istanze Amazon RDS vengano cancellate accidentalmente o dannosamente, il che può comportare una perdita di disponibilità per le tue applicazioni.
RE.5.140 Assicurati che le strutture di elaborazione delle informazioni soddisfino i requisiti di continuità, ridondanza e disponibilità delle informazioni definiti dall'organizzazione.

rds-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le istanze Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
RE.5.140 Assicurati che le strutture di elaborazione delle informazioni soddisfino i requisiti di continuità, ridondanza e disponibilità delle informazioni definiti dall'organizzazione.

rds-multi-az-support

Il supporto Multi-AZ in Amazon Relational Database Service (Amazon RDS) fornisce disponibilità e durata migliorate per le istanze di database. Quando esegui il provisioning di un'istanza di database Multi-AZ, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati in un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona sulla propria infrastruttura fisica, distinta e indipendente ed è progettata in modo da essere altamente affidabili. In caso di guasto all'infrastruttura, Amazon RDS esegue un failover automatico sullo standby in modo da poter riprendere le operazioni del database non appena il failover è stato completato.
RE.5.140 Assicurati che le strutture di elaborazione delle informazioni soddisfino i requisiti di continuità, ridondanza e disponibilità delle informazioni definiti dall'organizzazione.

redshift-backup-enabled

Per aiutarti con i processi di backup dei dati, assicurati che i tuoi cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB di modifiche dei dati per nodo, a seconda di quale evento si verifica prima.
RE.5.140 Assicurati che le strutture di elaborazione delle informazioni soddisfino i requisiti di continuità, ridondanza e disponibilità delle informazioni definiti dall'organizzazione.

s3-bucket-default-lock-enabled

Assicurati che il bucket Amazon Simple Storage Service (Amazon S3) abbia il blocco abilitato, per impostazione predefinita. Poiché i dati sensibili possono esistere a riposo nei bucket S3, applica i blocchi degli oggetti a riposo per proteggere tali dati.
RE.5.140 Assicurati che le strutture di elaborazione delle informazioni soddisfino i requisiti di continuità, ridondanza e disponibilità delle informazioni definiti dall'organizzazione.

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
RE.5.140 Assicurati che le strutture di elaborazione delle informazioni soddisfino i requisiti di continuità, ridondanza e disponibilità delle informazioni definiti dall'organizzazione.

s3-bucket-versioning-enabled

Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa questa funzione per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni consente il semplice recupero dopo errori dell'applicazione e operazioni non intenzionali dell'utente.
RE.5.140 Assicurati che le strutture di elaborazione delle informazioni soddisfino i requisiti di continuità, ridondanza e disponibilità delle informazioni definiti dall'organizzazione.

vpc-vpn-2-tunnels-up

È possibile implementare tunnel Site-to-Site VPN ridondanti per ottenere requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso una delle connessioni Site-to-Site VPN non sia disponibile. Per evitare la perdita di connettività, nel caso in cui il gateway del cliente non sia disponibile, puoi configurare una seconda connessione Site-to-Site VPN al Amazon Virtual Private Cloud (Amazon VPC) e al gateway virtuale privato utilizzando un secondo gateway del cliente.
RM.2.142 Scansiona periodicamente le vulnerabilità nei sistemi e nelle applicazioni organizzative e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. vuln-scans-performed(verifica del processo) Assicurati che le scansioni delle vulnerabilità vengano eseguite in base ai requisiti di conformità. La cadenza di scansione, gli strumenti utilizzati e l'uso dei risultati devono essere definiti dall'organizzazione.
RM.2.142 Scansiona periodicamente le vulnerabilità nei sistemi e nelle applicazioni organizzative e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni.

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutarti con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
RM.2.142 Scansiona periodicamente le vulnerabilità nei sistemi e nelle applicazioni organizzative e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
RM.2.142 Scansiona periodicamente le vulnerabilità nei sistemi e nelle applicazioni organizzative e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni.

guardduty-non-archived-findings

AmazonGuardDutyaiuta a comprendere l'impatto di un incidente classificando i risultati per gravità: bassa, media e alta. È possibile utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola permette la configurazione facoltativadaysLowSev(Impostazione predefinita: 30),daysMediumSev(Config Default: 7) edaysHighSev(Config Predefinito: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione.
RM.2.142 Scansiona periodicamente le vulnerabilità nei sistemi e nelle applicazioni organizzative e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
RM.4.150 Utilizzare l'intelligence delle minacce per informare lo sviluppo del sistema e delle architetture di sicurezza, la selezione di soluzioni di sicurezza, il monitoraggio, la caccia alle minacce e le attività di risposta e recupero.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
RM.4.151 Eseguire scansioni per porte non autorizzate disponibili attraverso i confini della rete perimetrale oltre i confini della rete Internet dell'organizzazione e altri confini definiti dall'organizzazione.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non permettere l'ingresso (o in remoto) dal 0.0.0.0/0 alla porta 22 sulle risorse consente di limitare l'accesso remoto.
RM.4.151 Eseguire scansioni per porte non autorizzate disponibili attraverso i confini della rete perimetrale oltre i confini della rete Internet dell'organizzazione e altri confini definiti dall'organizzazione.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
RM.4.151 Eseguire scansioni per porte non autorizzate disponibili attraverso i confini della rete perimetrale oltre i confini della rete Internet dell'organizzazione e altri confini definiti dall'organizzazione.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
RM.4.151 Eseguire scansioni per porte non autorizzate disponibili attraverso i confini della rete perimetrale oltre i confini della rete Internet dell'organizzazione e altri confini definiti dall'organizzazione.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate su Gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
SA.4.171 Stabilire e mantenere una capacità di caccia alle minacce informatiche per cercare indicatori di compromesso nei sistemi organizzativi e rilevare, tracciare e interrompere le minacce che sfuggono ai controlli esistenti.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
SC.1.175 Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi.

alb-http-drop-invalid-header-enabled

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati per eliminare le intestazioni http. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC.1.175 Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC.1.175 Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi.

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a la protezione delle applicazioni Web o delle API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente.
SC.1.175 Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi.

api-gw-associato-con-waf

AWS WAF consente di configurare un set di regole (denominato lista di controllo accessi Web (web ACL)) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi
SC.1.175 Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi.

cloudwatch-alarm-action-check

AmazonCloudWatchavvisi quando un parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionRichiesto (Config predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
SC.1.175 Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
SC.1.175 Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
SC.1.175 Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (OpenSearchService) I domini si trovano all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizi e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
SC.1.175 Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi.

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantirenode-to-nodeAmazon encryptionOpenSearchIl servizio è abilitato. Node-to-nodeLa crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC.1.175 Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
SC.1.175 Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC.1.175 Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
SC.1.175 Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. La mancata entrata (o remota) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto.
SC.1.175 Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi.

ec2-instances-in-vpc

Distribuisci istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un Internet gateway, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
SC.1.175 Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi.

internet-gateway-authorized-vpc-only

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud (Amazon VPC). I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC.
SC.1.175 Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
SC.1.175 Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi.

lambda-inside-vpc

Distribuisci le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non hai bisogno di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
SC.1.175 Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi.

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
SC.1.175 Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
SC.1.175 Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
SC.1.175 Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
SC.1.175 Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC.1.175 Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
SC.1.175 Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette la configurazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
SC.1.175 Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
SC.1.175 Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
SC.1.175 Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
SC.1.175 Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi.

s3-bucket-ssl-requests-only

Per proteggere i dati durante il transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC.1.175 Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
SC.1.175 Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
SC.1.175 Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
SC.1.175 Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
SC.1.175 Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate su Gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
SC.2.179 Utilizzare sessioni crittografate per la gestione dei dispositivi di rete.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC.2.179 Utilizzare sessioni crittografate per la gestione dei dispositivi di rete.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
SC.2.179 Utilizzare sessioni crittografate per la gestione dei dispositivi di rete.

elbv2-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
SC.2.179 Utilizzare sessioni crittografate per la gestione dei dispositivi di rete.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
SC.2.179 Utilizzare sessioni crittografate per la gestione dei dispositivi di rete.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

account-parte delle organizzazioni

La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata dell'account può portare a configurazioni di account incoerenti, che possono esporre risorse e dati sensibili.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a la protezione delle applicazioni Web o delle API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

api-gw-associato-con-waf

AWS WAF consente di configurare un set di regole (denominato lista di controllo accessi Web (web ACL)) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

controllo di backup-plan-min-frequency-and-min-retention

Per aiutare con i processi di backup dei dati, assicurati che il piano AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup. Questa regola permette la configurazionerequiredFrequencyValue(impostazione predefinita di Config: 1),requiredRetentionDays(impostazione predefinita di Config: 35) erequiredFrequencyUnit(Config default: giorni) parametri. Il valore effettivo dovrebbe riflettere i requisiti della tua organizzazione.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

cloudtrail-security trail abilitato

Questa regola aiuta a garantire l'utilizzo delle best practice di sicurezza consigliate da AWS per AWSCloudTrail, verificando l'attivazione di più impostazioni. Questi includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione di AWSCloudTrailin più regioni.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

codebuild-project-envvar-awscred-check

Assicurati che le credenziali di autenticazione AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY non esistano negli ambienti di progetto AWS Codebuild. Non memorizzare queste variabili in testo chiaro. L'archiviazione di queste variabili in testo non crittografato comporta l'esposizione non intenzionale dei dati e l'accesso non autorizzato.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

codebuild-project-source-repo-url-check

Garantire laGitHubo l'URL del repository di origine Bitbucket non contiene token di accesso personali, nome utente e password negli ambienti di progetto AWS Codebuild. Utilizzare OAuth anziché token di accesso personali o un nome utente e una password per concedere l'autorizzazione per accedereGitHubo repository Bitbucket.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea automaticamente una snapshot dei volumi di storage dell'istanza database, eseguendo il backup dell'intera istanza database. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling utilizza il servizio Application Auto Scaling AWS per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura/scrittura assegnata per gestire improvvisi aumenti di traffico, senza throttling.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

dynamic odb-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

dynamodb-pitr-enabled

Abilitare questa regola per verificare che le informazioni siano state sottoposti a backup. Mantiene inoltre i backup garantendo chepoint-in-timeil ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

ebs-in-backup-plan

Per aiutare i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) siano parte integrante di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

ebs-optimized-instance

Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) fornisce capacità aggiuntiva dedicata per le operazioni di I/O Amazon EBS. Tale ottimizzazione offre le prestazioni più efficienti per i volumi EBS, riducendo al minimo i conflitti tra le operazioni di I/O Amazon EBS e l'altro traffico proveniente dall'istanza.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

efs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

elasticache-redis-cluster-automatic-backup-check

Quando i backup automatici sono abilitati, AmazonElastiCachecrea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. In caso di esito negativo, puoi creare un nuovo cluster che ripristina i dati dal backup più recente.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (OpenSearchService) I domini si trovano all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizi e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

elb-cross-zone-load-balancing-abilitato

Abilita il bilanciamento del carico tra zone per i tuoi Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il sistema di bilanciamento del carico tra zone riduce la necessità di mantenere un numero equivalente di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

elb-deletion-protection-enabled

Questa regola garantisce che Elastic Load Balancing abbia abilitata la protezione da eliminazione abilitata. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. La mancata entrata (o remota) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

ec2-instances-in-vpc

Distribuisci istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un Internet gateway, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

internet-gateway-authorized-vpc-only

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud (Amazon VPC). I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

lambda-inside-vpc

Distribuisci le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non hai bisogno di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

rds-instance-deletion-protection-enabled

Assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) abbiano la protezione per la cancellazione abilitata. Utilizza la protezione dall'eliminazione per evitare che le tue istanze Amazon RDS vengano cancellate accidentalmente o dannosamente, il che può comportare una perdita di disponibilità per le tue applicazioni.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

rds-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le istanze Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

rds-multi-az-support

Il supporto Multi-AZ in Amazon Relational Database Service (Amazon RDS) fornisce disponibilità e durata migliorate per le istanze di database. Quando esegui il provisioning di un'istanza di database Multi-AZ, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati in un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona sulla propria infrastruttura fisica, distinta e indipendente ed è progettata in modo da essere altamente affidabili. In caso di guasto all'infrastruttura, Amazon RDS esegue un failover automatico sullo standby in modo da poter riprendere le operazioni del database non appena il failover è stato completato.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

redshift-backup-enabled

Per aiutarti con i processi di backup dei dati, assicurati che i tuoi cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB di modifiche dei dati per nodo, a seconda di quale evento si verifica prima.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette la configurazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

s3-bucket-default-lock-enabled

Assicurati che il bucket Amazon Simple Storage Service (Amazon S3) abbia il blocco abilitato, per impostazione predefinita. Poiché i dati sensibili possono esistere a riposo nei bucket S3, applica i blocchi degli oggetti a riposo per proteggere tali dati.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

s3-bucket-versioning-enabled

Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa questa funzione per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni consente il semplice recupero dopo errori dell'applicazione e operazioni non intenzionali dell'utente.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate su Gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
SC.3.180 Utilizzare progetti architettonici, tecniche di sviluppo software e principi di ingegneria dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi organizzativi.

vpc-vpn-2-tunnels-up

È possibile implementare tunnel Site-to-Site VPN ridondanti per ottenere requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso una delle connessioni Site-to-Site VPN non sia disponibile. Per evitare la perdita di connettività, nel caso in cui il gateway del cliente non sia disponibile, puoi configurare una seconda connessione Site-to-Site VPN al Amazon Virtual Private Cloud (Amazon VPC) e al gateway virtuale privato utilizzando un secondo gateway del cliente.
SC.3.182 Impedisci il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
SC.3.182 Impedisci il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
SC.3.182 Impedisci il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. La mancata entrata (o remota) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto.
SC.3.182 Impedisci il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise.

internet-gateway-authorized-vpc-only

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud (Amazon VPC). I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC.
SC.3.182 Impedisci il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
SC.3.182 Impedisci il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise.

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
SC.3.182 Impedisci il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
SC.3.182 Impedisci il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
SC.3.182 Impedisci il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
SC.3.182 Impedisci il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
SC.3.182 Impedisci il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette la configurazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
SC.3.182 Impedisci il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
SC.3.182 Impedisci il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
SC.3.182 Impedisci il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
SC.3.182 Impedisci il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
SC.3.182 Impedisci il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
SC.3.182 Impedisci il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
SC.3.182 Impedisci il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate su Gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
SC.3.185 Implementare meccanismi crittografici per impedire la divulgazione non autorizzata di CUI durante la trasmissione, salvo diversa protezione da tutele fisiche alternative.

acm-certificate-expiration-check

Assicurati che l'integrità della rete sia protetta assicurando che i certificati X509 vengano emessi da AWS ACM. Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore perdaysToExpiration(Valore AWS Foundational Security Best Practices: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
SC.3.185 Implementare meccanismi crittografici per impedire la divulgazione non autorizzata di CUI durante la trasmissione, salvo diversa protezione da tutele fisiche alternative.

alb-http-drop-invalid-header-enabled

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati per eliminare le intestazioni http. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC.3.185 Implementare meccanismi crittografici per impedire la divulgazione non autorizzata di CUI durante la trasmissione, salvo diversa protezione da tutele fisiche alternative.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC.3.185 Implementare meccanismi crittografici per impedire la divulgazione non autorizzata di CUI durante la trasmissione, salvo diversa protezione da tutele fisiche alternative.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
SC.3.185 Implementare meccanismi crittografici per impedire la divulgazione non autorizzata di CUI durante la trasmissione, salvo diversa protezione da tutele fisiche alternative.

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantirenode-to-nodeAmazon encryptionOpenSearchIl servizio è abilitato. Node-to-nodeLa crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC.3.185 Implementare meccanismi crittografici per impedire la divulgazione non autorizzata di CUI durante la trasmissione, salvo diversa protezione da tutele fisiche alternative.

elbv2-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
SC.3.185 Implementare meccanismi crittografici per impedire la divulgazione non autorizzata di CUI durante la trasmissione, salvo diversa protezione da tutele fisiche alternative.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
SC.3.185 Implementare meccanismi crittografici per impedire la divulgazione non autorizzata di CUI durante la trasmissione, salvo diversa protezione da tutele fisiche alternative.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC.3.185 Implementare meccanismi crittografici per impedire la divulgazione non autorizzata di CUI durante la trasmissione, salvo diversa protezione da tutele fisiche alternative.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC.3.185 Implementare meccanismi crittografici per impedire la divulgazione non autorizzata di CUI durante la trasmissione, salvo diversa protezione da tutele fisiche alternative.

s3-bucket-ssl-requests-only

Per proteggere i dati durante il transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC.3.187 Stabilire e gestire chiavi crittografiche per la crittografia impiegata nei sistemi organizzativi.

cmk-backing-key-rotation-enabled

Abilita la rotazione delle chiavi per garantire che le chiavi siano ruotate una volta che hanno raggiunto la fine del periodo di crittografia.
SC.3.187 Stabilire e gestire chiavi crittografiche per la crittografia impiegata nei sistemi organizzativi.

kms-cmk-not-scheduled-for-deletion

Per proteggere i dati inattivi, assicurati che le chiavi master cliente (CMK) necessarie non siano pianificate per l'eliminazione in AWS Key Management Service (AWS KMS). Poiché a volte è necessaria l'eliminazione della chiave, questa regola può aiutare a controllare tutte le chiavi pianificate per l'eliminazione, nel caso in cui una chiave sia stata pianificata involontariamente.
SC.3.190 Proteggi l'autenticità delle sessioni di comunicazione.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC.3.190 Proteggi l'autenticità delle sessioni di comunicazione.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
SC.3.190 Proteggi l'autenticità delle sessioni di comunicazione.

elbv2-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
SC.3.190 Proteggi l'autenticità delle sessioni di comunicazione.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
SC.3.190 Proteggi l'autenticità delle sessioni di comunicazione.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC.3.190 Proteggi l'autenticità delle sessioni di comunicazione.

redshift-cluster-kms-enabled

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il cluster Amazon Redshift. Poiché i dati sensibili possono esistere a riposo nei cluster Redshift, abilitare la crittografia a riposo per proteggere tali dati.
SC.3.190 Proteggi l'autenticità delle sessioni di comunicazione.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC.3.191 Proteggi la riservatezza di CUI a riposo.

api-gw-cache-enabled-and-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per la cache della fase API Gateway. Poiché i dati sensibili possono essere acquisiti per il metodo API, abilitare la crittografia a riposo per proteggere tali dati.
SC.3.191 Proteggi la riservatezza di CUI a riposo.

cloudwatch-log-group-encrypted

Per proteggere i dati sensibili a riposo, assicurati che la crittografia sia abilitata per il tuo AmazonCloudWatchGruppi di log.
SC.3.191 Proteggi la riservatezza di CUI a riposo.

cloud-trail-encryption-enabled

Poiché potrebbero esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo AWSCloudTrailsentieri.
SC.3.191 Proteggi la riservatezza di CUI a riposo.

ec2-ebs-encryption-by-default

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati.
SC.3.191 Proteggi la riservatezza di CUI a riposo.

efs-encrypted-check

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo Amazon Elastic File System (EFS).
SC.3.191 Proteggi la riservatezza di CUI a riposo.

elasticsearch-encrypted-at-rest

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per AmazonOpenSearchService (OpenSearchDomini Service).
SC.3.191 Proteggi la riservatezza di CUI a riposo.

encrypted-volumes

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS).
SC.3.191 Proteggi la riservatezza di CUI a riposo.

rds-snapshot-encrypted

Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
SC.3.191 Proteggi la riservatezza di CUI a riposo.

rds-storage-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati.
SC.3.191 Proteggi la riservatezza di CUI a riposo.

redshift-cluster-kms-enabled

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il cluster Amazon Redshift. Poiché i dati sensibili possono esistere a riposo nei cluster Redshift, abilitare la crittografia a riposo per proteggere tali dati.
SC.3.191 Proteggi la riservatezza di CUI a riposo.

S3-bucket-server-side-encryption-enabled

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati.
SC.3.191 Proteggi la riservatezza di CUI a riposo.

s3-default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo in un bucket Amazon S3, abilitare la crittografia a riposo per proteggere tali dati.
SC.3.191 Proteggi la riservatezza di CUI a riposo.

sagemaker-endpoint-configuration-kms-key-configured

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuoSageMakerEndpoint. Perché i dati sensibili possono esistere a riposoSageMakerendpoint, abilita la crittografia a riposo per proteggere tali dati.
SC.3.191 Proteggi la riservatezza di CUI a riposo.

sagemaker-notebook-instance-kms-key-configurato

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuoSageMakernotebook. Perché i dati sensibili possono esistere a riposoSageMakernotebook, abilita la crittografia a riposo per proteggere tali dati.
SC.3.191 Proteggi la riservatezza di CUI a riposo.

sns-encrypted-kms

Per proteggere i dati a riposo, assicurati che gli argomenti Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Poiché i dati sensibili possono esistere a riposo nei messaggi pubblicati, abilitare la crittografia a riposo per proteggere tali dati.
SC.4.199 Utilizza l'intelligence delle minacce per impedire in modo proattivo alle richieste DNS di raggiungere domini dannosi.

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a la protezione delle applicazioni Web o delle API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente.
SC.4.199 Utilizza l'intelligence delle minacce per impedire in modo proattivo alle richieste DNS di raggiungere domini dannosi.

api-gw-associato-con-waf

AWS WAF consente di configurare un set di regole (denominato lista di controllo accessi Web (web ACL)) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi
SC.4.202 Utilizzare meccanismi per analizzare codice eseguibile e script (ad esempio sandbox) che attraversano i confini della rete Internet o altri confini definiti dall'organizzazione.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
SC.5.198 Configurare i sistemi di monitoraggio per registrare pacchetti che passano attraverso i confini della rete Internet dell'organizzazione e altri confini definiti dall'organizzazione.

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a la protezione delle applicazioni Web o delle API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente.
SC.5.198 Configurare i sistemi di monitoraggio per registrare pacchetti che passano attraverso i confini della rete Internet dell'organizzazione e altri confini definiti dall'organizzazione.

api-gw-associato-con-waf

AWS WAF consente di configurare un set di regole (denominato lista di controllo accessi Web (web ACL)) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi
SC.5.198 Configurare i sistemi di monitoraggio per registrare pacchetti che passano attraverso i confini della rete Internet dell'organizzazione e altri confini definiti dall'organizzazione.

wafv2-logging abilitato

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta.
SC.5.208 Utilizza protezioni di confine definite e personalizzate organizzativamente, oltre alle soluzioni disponibili in commercio.

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a la protezione delle applicazioni Web o delle API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente.
SC.5.208 Utilizza protezioni di confine definite e personalizzate organizzativamente, oltre alle soluzioni disponibili in commercio.

api-gw-associato-con-waf

AWS WAF consente di configurare un set di regole (denominato lista di controllo accessi Web (web ACL)) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi
SC.5.208 Utilizza protezioni di confine definite e personalizzate organizzativamente, oltre alle soluzioni disponibili in commercio.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
SC.5.208 Utilizza protezioni di confine definite e personalizzate organizzativamente, oltre alle soluzioni disponibili in commercio.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. La mancata entrata (o remota) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto.
SC.5.208 Utilizza protezioni di confine definite e personalizzate organizzativamente, oltre alle soluzioni disponibili in commercio.

internet-gateway-authorized-vpc-only

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud (Amazon VPC). I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC.
SC.5.208 Utilizza protezioni di confine definite e personalizzate organizzativamente, oltre alle soluzioni disponibili in commercio.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
SC.5.208 Utilizza protezioni di confine definite e personalizzate organizzativamente, oltre alle soluzioni disponibili in commercio.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
SC.5.208 Utilizza protezioni di confine definite e personalizzate organizzativamente, oltre alle soluzioni disponibili in commercio.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
SC.5.208 Utilizza protezioni di confine definite e personalizzate organizzativamente, oltre alle soluzioni disponibili in commercio.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
SC.5.208 Utilizza protezioni di confine definite e personalizzate organizzativamente, oltre alle soluzioni disponibili in commercio.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette la configurazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
SC.5.208 Utilizza protezioni di confine definite e personalizzate organizzativamente, oltre alle soluzioni disponibili in commercio.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
SC.5.208 Utilizza protezioni di confine definite e personalizzate organizzativamente, oltre alle soluzioni disponibili in commercio.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
SC.5.208 Utilizza protezioni di confine definite e personalizzate organizzativamente, oltre alle soluzioni disponibili in commercio.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
SC.5.208 Utilizza protezioni di confine definite e personalizzate organizzativamente, oltre alle soluzioni disponibili in commercio.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
SC.5.208 Utilizza protezioni di confine definite e personalizzate organizzativamente, oltre alle soluzioni disponibili in commercio.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
SC.5.208 Utilizza protezioni di confine definite e personalizzate organizzativamente, oltre alle soluzioni disponibili in commercio.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate su Gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
SC.5.230 Applica la conformità di porte e protocolli.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC.5.230 Applica la conformità di porte e protocolli.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
SC.5.230 Applica la conformità di porte e protocolli.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC.5.230 Applica la conformità di porte e protocolli.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. La mancata entrata (o remota) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto.
SC.5.230 Applica la conformità di porte e protocolli.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC.5.230 Applica la conformità di porte e protocolli.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
SC.5.230 Applica la conformità di porte e protocolli.

s3-bucket-ssl-requests-only

Per proteggere i dati durante il transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC.5.230 Applica la conformità di porte e protocolli.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
SC.5.230 Applica la conformità di porte e protocolli.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate su Gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
SI.1.210 Identificare, segnalare e correggere tempestivamente i difetti delle informazioni e del sistema informativo.

cloudwatch-alarm-action-check

AmazonCloudWatchavvisi quando un parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionRichiesto (Config predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
SI.1.210 Identificare, segnalare e correggere tempestivamente i difetti delle informazioni e del sistema informativo.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
SI.1.210 Identificare, segnalare e correggere tempestivamente i difetti delle informazioni e del sistema informativo.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
SI.1.211 Fornire protezione dal codice dannoso in luoghi appropriati all'interno dei sistemi informativi organizzativi.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
SI.2.214 Monitora gli avvisi e gli avvisi di sicurezza del sistema e agisci in risposta.

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a la protezione delle applicazioni Web o delle API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente.
SI.2.214 Monitora gli avvisi e gli avvisi di sicurezza del sistema e agisci in risposta.

api-gw-associato-con-waf

AWS WAF consente di configurare un set di regole (denominato lista di controllo accessi Web (web ACL)) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi
SI.2.214 Monitora gli avvisi e gli avvisi di sicurezza del sistema e agisci in risposta.

cloudwatch-alarm-action-check

AmazonCloudWatchavvisi quando un parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionRichiesto (Config predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
SI.2.214 Monitora gli avvisi e gli avvisi di sicurezza del sistema e agisci in risposta.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTrailfornisce dettagli sull'attività delle chiamate API nell'account AWS.
SI.2.214 Monitora gli avvisi e gli avvisi di sicurezza del sistema e agisci in risposta.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
SI.2.214 Monitora gli avvisi e gli avvisi di sicurezza del sistema e agisci in risposta.

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
SI.2.214 Monitora gli avvisi e gli avvisi di sicurezza del sistema e agisci in risposta.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
SI.2.214 Monitora gli avvisi e gli avvisi di sicurezza del sistema e agisci in risposta.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
SI.2.214 Monitora gli avvisi e gli avvisi di sicurezza del sistema e agisci in risposta.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
SI.2.216 Monitora i sistemi organizzativi, incluso il traffico di comunicazioni in entrata e in uscita, per rilevare attacchi e indicatori di potenziali attacchi.

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a la protezione delle applicazioni Web o delle API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente.
SI.2.216 Monitora i sistemi organizzativi, incluso il traffico di comunicazioni in entrata e in uscita, per rilevare attacchi e indicatori di potenziali attacchi.

api-gw-associato-con-waf

AWS WAF consente di configurare un set di regole (denominato lista di controllo accessi Web (web ACL)) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi
SI.2.216 Monitora i sistemi organizzativi, incluso il traffico di comunicazioni in entrata e in uscita, per rilevare attacchi e indicatori di potenziali attacchi.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTrailfornisce dettagli sull'attività delle chiamate API nell'account AWS.
SI.2.216 Monitora i sistemi organizzativi, incluso il traffico di comunicazioni in entrata e in uscita, per rilevare attacchi e indicatori di potenziali attacchi.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
SI.2.216 Monitora i sistemi organizzativi, incluso il traffico di comunicazioni in entrata e in uscita, per rilevare attacchi e indicatori di potenziali attacchi.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
SI.2.216 Monitora i sistemi organizzativi, incluso il traffico di comunicazioni in entrata e in uscita, per rilevare attacchi e indicatori di potenziali attacchi.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
SI.2.216 Monitora i sistemi organizzativi, incluso il traffico di comunicazioni in entrata e in uscita, per rilevare attacchi e indicatori di potenziali attacchi.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
SI.2.216 Monitora i sistemi organizzativi, incluso il traffico di comunicazioni in entrata e in uscita, per rilevare attacchi e indicatori di potenziali attacchi.

wafv2-logging abilitato

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta.
SI.2.217 Identificare l'uso non autorizzato dei sistemi organizzativi.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
SI.2.217 Identificare l'uso non autorizzato dei sistemi organizzativi.

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
SI.2.217 Identificare l'uso non autorizzato dei sistemi organizzativi.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTrailfornisce dettagli sull'attività delle chiamate API nell'account AWS.
SI.2.217 Identificare l'uso non autorizzato dei sistemi organizzativi.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
SI.2.217 Identificare l'uso non autorizzato dei sistemi organizzativi.

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
SI.2.217 Identificare l'uso non autorizzato dei sistemi organizzativi.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
SI.2.217 Identificare l'uso non autorizzato dei sistemi organizzativi.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
SI.2.217 Identificare l'uso non autorizzato dei sistemi organizzativi.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
SI.2.217 Identificare l'uso non autorizzato dei sistemi organizzativi.

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
SI.2.217 Identificare l'uso non autorizzato dei sistemi organizzativi.

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'operazione della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore.
SI.2.217 Identificare l'uso non autorizzato dei sistemi organizzativi.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
SI.2.217 Identificare l'uso non autorizzato dei sistemi organizzativi.

wafv2-logging abilitato

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta.
SI.4.221 Utilizzare le informazioni sugli indicatori di minaccia rilevanti per le informazioni e i sistemi protetti e attenuazioni efficaci ottenute da organizzazioni esterne per informare il rilevamento delle intrusioni e la caccia alle minacce.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
SI.5.222 Analizza il comportamento del sistema per rilevare e mitigare l'esecuzione di normali comandi e script di sistema che indicano azioni dannose.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
SI.5.223 Monitora continuamente individui e componenti di sistema per comportamenti anomali o sospetti.

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a la protezione delle applicazioni Web o delle API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente.
SI.5.223 Monitora continuamente individui e componenti di sistema per comportamenti anomali o sospetti.

api-gw-associato-con-waf

AWS WAF consente di configurare un set di regole (denominato lista di controllo accessi Web (web ACL)) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi
SI.5.223 Monitora continuamente individui e componenti di sistema per comportamenti anomali o sospetti.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
SI.5.223 Monitora continuamente individui e componenti di sistema per comportamenti anomali o sospetti.

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
SI.5.223 Monitora continuamente individui e componenti di sistema per comportamenti anomali o sospetti.

cloudwatch-alarm-action-check

AmazonCloudWatchavvisi quando un parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionRichiesto (Config predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
SI.5.223 Monitora continuamente individui e componenti di sistema per comportamenti anomali o sospetti.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTrailfornisce dettagli sull'attività delle chiamate API nell'account AWS.
SI.5.223 Monitora continuamente individui e componenti di sistema per comportamenti anomali o sospetti.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
SI.5.223 Monitora continuamente individui e componenti di sistema per comportamenti anomali o sospetti.

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
SI.5.223 Monitora continuamente individui e componenti di sistema per comportamenti anomali o sospetti.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
SI.5.223 Monitora continuamente individui e componenti di sistema per comportamenti anomali o sospetti.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
SI.5.223 Monitora continuamente individui e componenti di sistema per comportamenti anomali o sospetti.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
SI.5.223 Monitora continuamente individui e componenti di sistema per comportamenti anomali o sospetti.

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
SI.5.223 Monitora continuamente individui e componenti di sistema per comportamenti anomali o sospetti.

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'operazione della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore.
SI.5.223 Monitora continuamente individui e componenti di sistema per comportamenti anomali o sospetti.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
SI.5.223 Monitora continuamente individui e componenti di sistema per comportamenti anomali o sospetti.

wafv2-logging abilitato

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta.

Modello

Il modello è disponibile suGitHub: Best practice operative per CMMC Level 5.