Best practice operative per Esquema Nacional de Seguridad (ENS) High - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice operative per Esquema Nacional de Seguridad (ENS) High

I pacchetti di conformità forniscono un framework di conformità generico progettato per consentire di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando gestiti o personalizzatiAWS Configregole eAWS Configazioni di risanamento. I Conformance Pack, come modelli di esempio, non sono progettati per garantire la piena conformità con uno standard di governance o conformità. L'utente è responsabile di valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.

Di seguito viene fornito un esempio di mappatura tra Spagna, Esquema Nacional de Seguridad (ENS), controlli framework elevati eAWSRegole Config gestite. Ciascuna regola di Config si applica a uno specificoAWSrisorsa e si riferisce a uno o più controlli ENS High della Spagna. Un controllo ENS di Spagna può essere correlato a più regole di Config. Fare riferimento alla tabella sottostante per ulteriori dettagli e indicazioni relative a queste mappature.

Questo modello di pacchetto di conformità di esempio contiene mappature ai controlli all'interno del framework Spain ENS High, aggiornato da ultimo il 21/07/09.

ID controllo Regola AWS Config Linee guida di
4.2.1.b)

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
4.2.5.a)

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
allegato II 4.1.1 valutazione annuale-rischio-eseguita (verifica del processo) Esegui una valutazione annuale del rischio sulla tua organizzazione. Le valutazioni dei rischi possono aiutare a determinare la probabilità e l'impatto dei rischi e/o delle vulnerabilità identificati che interessano un'organizzazione.
allegato II 4.1.2.a); b); c)

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
allegato II 4.1.2.a); b); c)

api-gw-cache-enabled-and-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per la cache della fase API Gateway. Poiché i dati sensibili possono essere acquisiti per il metodo API, abilitare la crittografia a riposo per proteggere tali dati.
allegato II 4.1.2.a); b); c)

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
allegato II 4.1.2.a); b); c)

cloud-trail-encryption-enabled

Poiché potrebbero esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo AWS CloudTrail sentieri.
allegato II 4.1.2.a); b); c)

cloudwatch-log-group-encrypted

Per proteggere i dati sensibili a riposo, assicurati che la crittografia sia abilitata per il tuo Amazon CloudWatch Gruppi di log.
allegato II 4.1.2.a); b); c)

dynamodb-table-encrypted-kms

Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Poiché i dati sensibili possono esistere a riposo in queste tabelle, abilitare la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con una chiave master cliente di proprietà AWS (CMK).
allegato II 4.1.2.a); b); c)

ec2-ebs-encryption-by-default

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati.
allegato II 4.1.2.a); b); c)

efs-encrypted-check

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo Amazon Elastic File System (EFS).
allegato II 4.1.2.a); b); c)

elasticsearch-encrypted-at-rest

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per Amazon OpenSearch Domini di servizio (OpenSearch Service).
allegato II 4.1.2.a); b); c)

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantire node-to-node Crittografia per Amazon OpenSearch Il servizio è abilitato. La crittografia da nodo a nodo a nodo a nodo consente la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC) Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
allegato II 4.1.2.a); b); c)

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
allegato II 4.1.2.a); b); c)

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
allegato II 4.1.2.a); b); c)

encrypted-volumes

Poiché possono esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS).
allegato II 4.1.2.a); b); c)

rds-snapshot-encrypted

Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
allegato II 4.1.2.a); b); c)

rds-storage-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati.
allegato II 4.1.2.a); b); c)

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore per clusterDbEncrypted (Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
allegato II 4.1.2.a); b); c)

redshift-cluster-kms-enabled

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il cluster Amazon Redshift. Poiché i dati sensibili possono esistere a riposo nei cluster Redshift, abilitare la crittografia a riposo per proteggere tali dati.
allegato II 4.1.2.a); b); c)

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
allegato II 4.1.2.a); b); c)

S3-bucket-server-side-encryption-enabled

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati.
allegato II 4.1.2.a); b); c)

s3-bucket-ssl-requests-only

Per proteggere i dati durante il trasporto, assicurati che i bucket Simple Storage Service (Amazon S3) richiedano l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
allegato II 4.1.2.a); b); c)

s3-default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo in un bucket Amazon S3, abilitare la crittografia a riposo per proteggere tali dati.
allegato II 4.1.2.a); b); c)

sagemaker-endpoint-configuration-kms-key-configured

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il SageMaker Endpoint. Perché i dati sensibili possono esistere a riposo SageMaker endpoint, abilita la crittografia a riposo per proteggere tali dati.
allegato II 4.1.2.a); b); c)

sagemaker-notebook-instance-kms-key-configurato

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il SageMaker notebook. Perché i dati sensibili possono esistere a riposo SageMaker notebook, abilita la crittografia a riposo per proteggere tali dati.
allegato II 4.1.2.a); b); c)

secretsmanager-using-cmk

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per i segreti AWS Secrets Manager. Poiché i dati sensibili possono esistere a riposo nei segreti di Secrets Manager, abilitare la crittografia a riposo per proteggere tali dati.
allegato II 4.1.2.a); b); c)

sns-encrypted-kms

Per proteggere i dati a riposo, assicurati che gli argomenti Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Poiché i dati sensibili possono esistere a riposo nei messaggi pubblicati, abilitare la crittografia a riposo per proteggere tali dati.
allegato II 4.1.2.a); b); c)

dynamodb-autoscaling-enabled

La scalabilità auto di Amazon DynamoDB utilizza il servizio di Application Auto Scaling di AWS per regolare la capacità di throughput assegnata che risponde in modo automatico ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura/scrittura assegnata per gestire improvvisi aumenti di traffico, senza throttling.
allegato II 4.1.2.a); b); c)

elb-cross-zone-load-balancing-abilitato

Abilita il bilanciamento del carico tra zone per i tuoi Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il sistema di bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Migliora inoltre la capacità dell'applicazione di gestire la perdita di una o più istanze.
allegato II 4.1.2.a); b); c)

elb-deletion-protection-enabled

Questa regola garantisce che Elastic Load Balancing abbia la protezione da eliminazione abilitata. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni.
allegato II 4.1.2.a); b); c)

rds-instance-deletion-protection-enabled

Assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) abbiano la protezione per l'eliminazione. Utilizza la protezione dall'eliminazione per evitare che le tue istanze Amazon RDS vengano cancellate accidentalmente o dannosamente, il che può comportare una perdita di disponibilità per le tue applicazioni.
allegato II 4.1.2.a); b); c)

rds-multi-az-support

Il supporto Multi-AZ in Amazon Relational Database Service (Amazon RDS) offre disponibilità e durata avanzate per le istanze di database. Quando esegui il provisioning di un'istanza di database Multi-AZ, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati in un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità viene eseguita su un'infrastruttura fisica, distinta e indipendente, ed è progettata in modo da essere altamente affidabili. In caso di guasto all'infrastruttura, Amazon RDS esegue un failover automatico sullo standby in modo da poter riprendere le operazioni del database non appena il failover è stato completato.
allegato II 4.1.2.a); b); c)

s3-bucket-default-lock-enabled

Assicurati che il bucket Amazon Simple Storage Service (Amazon S3) abbia il blocco abilitato, per impostazione predefinita. Poiché i dati sensibili possono esistere a riposo nei bucket S3, applica i blocchi degli oggetti a riposo per proteggere tali dati.
allegato II 4.1.2.a); b); c)

vpc-vpn-2-tunnels-up

È possibile implementare tunnel Site-to-Site VPN per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso una delle connessioni Site-to-Site VPN non sia disponibile. Per evitare la perdita di connettività, nel caso in cui il gateway del cliente non sia disponibile, puoi configurare una seconda connessione Site-to-Site VPN al Amazon Virtual Private Cloud (Amazon VPC) e al gateway virtuale privato utilizzando un secondo gateway del cliente.
allegato II 4.1.2.a); b); c)

cloud-trail-log-file-validation-enabled

Utilizzo di AWS CloudTrail convalida del file di log per verificare l'integrità di CloudTrail registri. La convalida del file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o invariato dopo CloudTrail l'ha consegnato. Questa funzione è costruita utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende impossibile, a livello di programmazione, qualsiasi operazione di modifica, eliminazione o contraffazione. CloudTrail file di log senza rilevamento.
Anexo II 4.1.2.b)

ec2-volume-inuse-check

Questa regola garantisce che i volumi Amazon Elastic Block Store collegati a istanze Amazon Elastic Compute Cloud (Amazon EC2) siano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegata è terminata, potrebbe violare il concetto di funzionalità minima.
Anexo II 4.1.2.b)

ec2-stopped-instance

Attiva questa regola per aiutare con la configurazione di base delle istanze Amazon Elastic Compute Cloud (Amazon EC2) verificando se le istanze Amazon EC2 sono state arrestate per più del numero consentito di giorni, in base agli standard dell'organizzazione.
Anexo II 4.1.2.b)

ec2-security-group-attached-to-eni-periodico

Questa regola garantisce che i gruppi di sicurezza siano collegati a un'istanza Amazon Elastic Compute Cloud (Amazon EC2) o a un'ENI. Questa regola aiuta a monitorare i gruppi di sicurezza inutilizzati nell'inventario e la gestione dell'ambiente.
Anexo II 4.1.2.b)

eip-attached

In questa regola gli IP elastici assegnati a un Amazon Virtual Private Cloud (Amazon VPC) siano collegati a istanze Amazon Elastic Compute Cloud (Amazon EC2) o le interfacce Elastic Network Interfaces in uso. Questa regola aiuta a monitorare gli EIP inutilizzati nel tuo ambiente.
Anexo II 4.1.2.b)

vpc-network-acl-unused-check

Questa regola garantisce l'utilizzo degli elenchi di controllo degli accessi di rete Amazon Virtual Private Cloud (VPC). Il monitoraggio degli elenchi di controllo degli accessi alla rete non utilizzati può aiutare nell'inventario accurato e nella gestione dell'ambiente.
Anexo II 4.1.2.b)

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
Anexo II 4.2.1.a)

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
allegato II 4.2.4

ecs-task-definition-user-per-host-mode check

Se una definizione di attività ha privilegi elevati, è perché il cliente ha specificamente optato per tali configurazioni. Questo controllo verifica la presenza di un'escalation imprevista dei privilegi quando una definizione di attività ha abilitato la rete host, ma il cliente non ha optato per privilegi elevati.
allegato II 4.2.4

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Azione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
allegato II 4.2.4

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
allegato II 4.2.4

s3-bucket-policy-grantee-check

Gestisci l'accesso al cloud AWS abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 è limitato da qualsiasi principale di AWS, dagli utenti federati, dai principali dei servizi, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti dall'utente.
allegato II 4.2.5

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
Anexo II 4.2.5.a)

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativa. RequireUppercaseCharacters (valore AWS Foundational Security Best Practices Practices), RequireLowercaseCharacters (valore AWS Foundational Security Best Practices Practices), RequireSymbols (valore AWS Foundational Security Best Practices Practices), RequireNumbers (valore AWS Foundational Security Best Practices Practices), MinimumPasswordLength (valore AWS Foundational Security Best Practices), PasswordReusePrevention (valore delle best practice per la sicurezza di AWS Foundational: 24) e MaxPasswordAge (valore Framework: 365) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
Alexo II (4.2.5.c)

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativa. RequireUppercaseCharacters (valore AWS Foundational Security Best Practices Practices), RequireLowercaseCharacters (valore AWS Foundational Security Best Practices Practices), RequireSymbols (valore AWS Foundational Security Best Practices Practices), RequireNumbers (valore AWS Foundational Security Best Practices Practices), MinimumPasswordLength (valore AWS Foundational Security Best Practices), PasswordReusePrevention (valore delle best practice per la sicurezza di AWS Foundational: 24) e MaxPasswordAge (valore Framework: 365) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
Anexo II 4.2.6.b)

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
Anexo II 4.2.6.b)

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
Anexo II 4.2.6.b)

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
Anexo II 4.2.6.b)

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
Alexo II 4.2.6.c)

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
Alexo II 4.2.6.c)

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWS CloudTrail i dati forniscono dettagli sull'attività delle chiamate API all'interno dell'account AWS.
Alexo II 4.2.6.c)

cloudtrail-enabled

AWS CloudTrail può aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWS CloudTrail Contenuto dei record.
Alexo II 4.2.6.c)

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
Alexo II 4.2.6.c)

ricerca elastica - logs-to-cloud watch

Verifica di Amazon OpenSearch I domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su Amazon CloudWatch Registri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
Alexo II 4.2.6.c)

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
Alexo II 4.2.6.c)

abilitato per il cloudtrail basato su più regioni

AWS CloudTrail registra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTrail distribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione, CloudTrail creerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
Alexo II 4.2.6.c)

rds-logging-enabled

Per aiutarti nella registrazione e nel monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
Alexo II 4.2.6.c)

s3-bucket-logging-enabled

La registrazione accessi al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
allegato II 4.2.6.c)

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
allegato II 4.2.6.c)

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per la regola corrispondente a ogni richiesta.
Anexo II 4.2.7

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
Anexo II 4.2.7

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
Anexo II 4.2.7

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
Anexo II 4.2.7

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
Anexo II 4.3.1

ec2-volume-inuse-check

Questa regola garantisce che i volumi Amazon Elastic Block Store collegati a istanze Amazon Elastic Compute Cloud (Amazon EC2) siano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegata è terminata, potrebbe violare il concetto di funzionalità minima.
Anexo II 4.3.1

ec2-stopped-instance

Attiva questa regola per aiutare con la configurazione di base delle istanze Amazon Elastic Compute Cloud (Amazon EC2) verificando se le istanze Amazon EC2 sono state arrestate per più del numero consentito di giorni, in base agli standard dell'organizzazione.
Anexo II 4.3.1

ec2-security-group-attached-to-eni-periodico

Questa regola garantisce che i gruppi di sicurezza siano collegati a un'istanza Amazon Elastic Compute Cloud (Amazon EC2) o a un'ENI. Questa regola aiuta a monitorare i gruppi di sicurezza inutilizzati nell'inventario e la gestione dell'ambiente.
Anexo II 4.3.1

eip-attached

In questa regola gli IP elastici assegnati a un Amazon Virtual Private Cloud (Amazon VPC) siano collegati a istanze Amazon Elastic Compute Cloud (Amazon EC2) o le interfacce Elastic Network Interfaces in uso. Questa regola aiuta a monitorare gli EIP inutilizzati nel tuo ambiente.
Anexo II 4.3.1

vpc-network-acl-unused-check

Questa regola garantisce l'utilizzo degli elenchi di controllo degli accessi di rete Amazon Virtual Private Cloud (VPC). Il monitoraggio degli elenchi di controllo degli accessi alla rete non utilizzati può aiutare nell'inventario accurato e nella gestione dell'ambiente.
Anexo II 4.3.1

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
Anexo II 4.3.10.b)

cloud-trail-encryption-enabled

Poiché potrebbero esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo AWS CloudTrail sentieri.
Anexo II 4.3.10.b)

cloud-trail-log-file-validation-enabled

Utilizzo di AWS CloudTrail convalida del file di log per verificare l'integrità di CloudTrail registri. La convalida del file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o invariato dopo CloudTrail l'ha consegnato. Questa funzione è costruita utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende impossibile, a livello di programmazione, qualsiasi operazione di modifica, eliminazione o contraffazione. CloudTrail file di log senza rilevamento.
Alexo II 4.3.10.d)

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
allegato II 4.3.2.b)

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente.
allegato II 4.3.2.b)

api-gw-associato-con-waf

AWS WAF consente di configurare un set di regole (denominato lista di controllo accessi Web (web ACL)) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi
allegato II 4.3.2.b)

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
allegato II 4.3.2.b)

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
allegato II 4.3.2.b)

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
allegato II 4.3.2.b)

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando Amazon OpenSearch I domini Service (OpenSearch Service) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un record OpenSearch Il dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Servizi e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
allegato II 4.3.2.b)

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
allegato II 4.3.2.b)

internet-gateway-authorized-vpc-only

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC.
Anexo II 4.3.2.b)

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
Anexo II 4.3.2.b)

lambda-inside-vpc

Utilizza le funzioni di AWS Lambda in un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non è necessario disporre di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
Anexo II 4.3.2.b)

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
Anexo II 4.3.2.b)

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
allegato II 4.3.2.b)

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
allegato II 4.3.2.b)

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
Anexo II 4.3.2.b)

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate ai gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
Anexo II 4.3.2.b)

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non consentire l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 delle risorse aiuta a limitare l'accesso remoto.
Anexo II 4.3.2.b)

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette la possibilità di impostare facoltativamente ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
Anexo II 4.3.2.b)

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possono essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
Anexo II 4.3.2.b)

s3-bucket-public-read-prohibited

Gestisci l'accesso alle risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
Anexo II 4.3.2.b)

s3-bucket-public-write-prohibited

Gestisci l'accesso alle risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
Anexo II 4.3.2.b)

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che Amazon SageMaker i notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
Anexo II 4.3.2.b)

ssm-document-non-public

Assicurati che i documenti di AWS System Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
Anexo II 4.3.2.b)

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
Anexo II 4.3.2.b)

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo filtri stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
Anexo II 4.3.2.b)

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato ai sistemi interni.
Anexo II 4.3.4.c) vuln-management-plan-exists (controllo del processo) Assicurati che un piano di gestione delle vulnerabilità sia sviluppato e implementato al fine di disporre di processi formalmente definiti per affrontare le vulnerabilità nel tuo ambiente.
Anexo II 4.3.7.a) response-plan-exists-manutenuto (controllo del processo) Assicurarsi che i piani di risposta agli incidenti siano stabiliti, mantenuti e distribuiti al personale responsabile.
Anexo II 4.3.8

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
Anexo II 4.3.8

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWS CloudTrail i dati forniscono dettagli sull'attività delle chiamate API all'interno dell'account AWS.
Anexo II 4.3.8

cloudtrail-enabled

AWS CloudTrail può aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWS CloudTrail Contenuto dei record.
Anexo II 4.3.8

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
Anexo II 4.3.8

ricerca elastica - logs-to-cloud watch

Verifica di Amazon OpenSearch I domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su Amazon CloudWatch Registri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
Anexo II 4.3.8

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
Anexo II 4.3.8

abilitato per il cloudtrail basato su più regioni

AWS CloudTrail registra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTrail distribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione, CloudTrail creerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
Anexo II 4.3.8

rds-logging-enabled

Per aiutarti nella registrazione e nel monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
Anexo II 4.3.8

s3-bucket-logging-enabled

La registrazione accessi al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
Anexo II 4.3.8

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
Anexo II 4.3.8

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per la regola corrispondente a ogni richiesta.
allegato II 4.6.1

guardduty-enabled-centralized

Amazon GuardDuty può aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS.
allegato II 4.6.2

guardduty-non-archived-findings

Amazon GuardDuty aiuta a comprendere l'impatto di un incidente classificando i risultati per gravità: bassa, media e alta. È possibile utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola permette la possibilità di impostare facoltativamente daysLowSev (Impostazione predefinita: 30), daysMediumSev (Config Default: 7) e daysHighSev (Config Predefinito: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione.
allegato II 4.6.2

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
allegato II 4.6.2

guardduty-enabled-centralized

Amazon GuardDuty può aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS.
allegato II 5.2.3 il programma di sensibilizzazione della sicurezza esiste (controllo del processo) Stabilisci e gestisci un programma di sensibilizzazione sulla sicurezza per la tua organizzazione I programmi di sensibilizzazione sulla sicurezza educano i dipendenti su come proteggere la propria organizzazione da varie violazioni o incidenti della sicurezza.
allegato II 5.4.2

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
allegato II 5.4.2

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
allegato II 5.4.2

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantire node-to-node Crittografia per Amazon OpenSearch Il servizio è abilitato. La crittografia da nodo a nodo a nodo a nodo consente la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC) Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
allegato II 5.4.2

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
allegato II 5.4.2

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
allegato II 5.4.2

elbv2-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
allegato II 5.4.2

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
allegato II 5.4.2

s3-bucket-ssl-requests-only

Per proteggere i dati durante il trasporto, assicurati che i bucket Simple Storage Service (Amazon S3) richiedano l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
Anexo II 5.4.3.a)

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (valore AWS Foundational Security Best Practices Practices), RequireLowercaseCharacters (valore AWS Foundational Security Best Practices Practices), RequireSymbols (valore AWS Foundational Security Best Practices Practices), RequireNumbers (valore AWS Foundational Security Best Practices Practices), MinimumPasswordLength (valore AWS Foundational Security Best Practices), PasswordReusePrevention (valore delle best practice per la sicurezza di AWS Foundational: 24) e MaxPasswordAge (valore Framework: 365) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
allegato II 5.4.3

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
allegato II 5.4.3

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
allegato II 5.4.3

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantire node-to-node Crittografia per Amazon OpenSearch Il servizio è abilitato. La crittografia da nodo a nodo a nodo a nodo consente la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC) Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
allegato II 5.4.3

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
allegato II 5.4.3

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
allegato II 5.4.3

elbv2-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
allegato II 5.4.3

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
allegato II 5.4.3

s3-bucket-ssl-requests-only

Per proteggere i dati durante il trasporto, assicurati che i bucket Simple Storage Service (Amazon S3) richiedano l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
Alexo II 5.6.1.c)

codebuild-project-envvar-awscred-check

Assicurati che le credenziali di autenticazione AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY non esistano negli ambienti di progetto AWS Codebuild. Non memorizzare queste variabili in testo chiaro. La memorizzazione di queste variabili in testo non crittografato comporta l'esposizione non intenzionale dei dati e l'accesso non autorizzato.
Alexo II 5.6.1.c)

codebuild-project-source-repo-url-check

Garantire la GitHub o l'URL del repository di origine Bitbucket non contiene token di accesso personali, nome utente e password negli ambienti di progetto AWS Codebuild. Utilizzare OAuth anziché token di accesso personali o un nome utente e una password per concedere l'autorizzazione per accedere GitHub o repository Bitbucket.
Anexo II 5.7.3

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
Anexo II 5.7.3

api-gw-cache-enabled-and-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per la cache della fase API Gateway. Poiché i dati sensibili possono essere acquisiti per il metodo API, abilitare la crittografia a riposo per proteggere tali dati.
Anexo II 5.7.3

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
Anexo II 5.7.3

cloud-trail-encryption-enabled

Poiché potrebbero esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo AWS CloudTrail sentieri.
Anexo II 5.7.3

cloudwatch-log-group-encrypted

Per proteggere i dati sensibili a riposo, assicurati che la crittografia sia abilitata per il tuo Amazon CloudWatch Gruppi di log.
Anexo II 5.7.3

dynamodb-table-encrypted-kms

Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Poiché i dati sensibili possono esistere a riposo in queste tabelle, abilitare la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con una chiave master cliente di proprietà AWS (CMK).
Anexo II 5.7.3

ec2-ebs-encryption-by-default

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati.
Anexo II 5.7.3

efs-encrypted-check

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo Amazon Elastic File System (EFS).
Anexo II 5.7.3

elasticsearch-encrypted-at-rest

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per Amazon OpenSearch Domini di servizio (OpenSearch Service).
Anexo II 5.7.3

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantire node-to-node Crittografia per Amazon OpenSearch Il servizio è abilitato. La crittografia da nodo a nodo a nodo a nodo consente la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC) Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
Anexo II 5.7.3

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
Anexo II 5.7.3

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
Anexo II 5.7.3

encrypted-volumes

Poiché possono esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS).
Anexo II 5.7.3

rds-snapshot-encrypted

Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
Anexo II 5.7.3

rds-storage-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati.
Anexo II 5.7.3

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore per clusterDbEncrypted (Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
Anexo II 5.7.3

redshift-cluster-kms-enabled

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il cluster Amazon Redshift. Poiché i dati sensibili possono esistere a riposo nei cluster Redshift, abilitare la crittografia a riposo per proteggere tali dati.
Anexo II 5.7.3

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
Anexo II 5.7.3

S3-bucket-server-side-encryption-enabled

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati.
Anexo II 5.7.3

s3-bucket-ssl-requests-only

Per proteggere i dati durante il trasporto, assicurati che i bucket Simple Storage Service (Amazon S3) richiedano l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
Anexo II 5.7.3

s3-default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo in un bucket Amazon S3, abilitare la crittografia a riposo per proteggere tali dati.
Anexo II 5.7.3

sagemaker-endpoint-configuration-kms-key-configured

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il SageMaker endpoint. Perché i dati sensibili possono esistere a riposo SageMaker endpoint, abilita la crittografia a riposo per proteggere tali dati.
Anexo II 5.7.3

sagemaker-notebook-instance-kms-key-configurato

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il SageMaker notebook. Perché i dati sensibili possono esistere a riposo SageMaker notebook, abilita la crittografia a riposo per proteggere tali dati.
Anexo II 5.7.3

secretsmanager-using-cmk

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per i segreti AWS Secrets Manager. Poiché i dati sensibili possono esistere a riposo nei segreti di Secrets Manager, abilitare la crittografia a riposo per proteggere tali dati.
Anexo II 5.7.3

sns-encrypted-kms

Per proteggere i dati a riposo, assicurati che gli argomenti Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Poiché i dati sensibili possono esistere a riposo nei messaggi pubblicati, abilitare la crittografia a riposo per proteggere tali dati.
Anexo II 5.7.4

cmk-backing-key-rotation-enabled

È possibile attivare la rotazione delle chiavi per garantire che le chiavi siano ruotate una volta che hanno raggiunto la fine del periodo crittografato.
Anexo II 5.7.4

kms-cmk-not-scheduled-for-deletion

Per proteggere i dati inattivi, assicurati che le chiavi master cliente (CMK) non siano pianificate per l'eliminazione in AWS Key Management Service (AWS KMS). Poiché a volte è necessaria l'eliminazione della chiave, questa regola può aiutare a controllare tutte le chiavi pianificate per l'eliminazione, nel caso in cui una chiave sia stata pianificata involontariamente.
allegato II 5.8.2

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive nell'ambiente.
allegato II 5.8.2

api-gw-associato-con-waf

AWS WAF consente di configurare un set di regole (denominato lista di controllo accessi Web (web ACL)) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi
Anexo II 5.8.3.b)

dynamodb-autoscaling-enabled

La scalabilità auto di Amazon DynamoDB utilizza il servizio di Application Auto Scaling di AWS per regolare la capacità di throughput assegnata che risponde in modo automatico ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura/scrittura assegnata per gestire improvvisi aumenti di traffico, senza throttling.
Anexo II 5.8.3.b)

elb-cross-zone-load-balancing-abilitato

Abilita il bilanciamento del carico tra zone per i tuoi Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il sistema di bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Migliora inoltre la capacità dell'applicazione di gestire la perdita di una o più istanze.
Anexo II 5.8.3.b)

elb-deletion-protection-enabled

Questa regola garantisce che Elastic Load Balancing abbia la protezione da eliminazione abilitata. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni.
Anexo II 5.8.3.b)

rds-instance-deletion-protection-enabled

Assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) abbiano la protezione per l'eliminazione. Utilizza la protezione dall'eliminazione per evitare che le tue istanze Amazon RDS vengano cancellate accidentalmente o dannosamente, il che può comportare una perdita di disponibilità per le tue applicazioni.
Anexo II 5.8.3.b)

rds-multi-az-support

Il supporto Multi-AZ in Amazon Relational Database Service (Amazon RDS) offre disponibilità e durata avanzate per le istanze di database. Quando esegui il provisioning di un'istanza di database Multi-AZ, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati in un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità viene eseguita su un'infrastruttura fisica, distinta e indipendente, ed è progettata in modo da essere altamente affidabili. In caso di guasto all'infrastruttura, Amazon RDS esegue un failover automatico sullo standby in modo da poter riprendere le operazioni del database non appena il failover è stato completato.
Anexo II 5.8.3.b)

vpc-vpn-2-tunnels-up

È possibile implementare tunnel Site-to-Site VPN per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso una delle connessioni Site-to-Site VPN non sia disponibile. Per evitare la perdita di connettività, nel caso in cui il gateway del cliente non sia disponibile, puoi configurare una seconda connessione Site-to-Site VPN al Amazon Virtual Private Cloud (Amazon VPC) e al gateway virtuale privato utilizzando un secondo gateway del cliente.
Anexo II 5.8.3.b)

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive nell'ambiente.
Anexo II 5.8.3.b)

api-gw-associato-con-waf

AWS WAF consente di configurare un set di regole (denominato lista di controllo accessi Web (web ACL)) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi
Art. 14.4

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
Arte dei vari artisti

ecs-task-definition-user-per-host-mode check

Se una definizione di attività ha privilegi elevati, è perché il cliente ha specificamente optato per tali configurazioni. Questo controllo verifica la presenza di un'escalation imprevista dei privilegi quando una definizione di attività ha abilitato la rete host, ma il cliente non ha optato per privilegi elevati.
Arte dei vari artisti

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Azione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
Arte dei vari artisti

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
Arte dei vari artisti

s3-bucket-policy-grantee-check

Gestisci l'accesso al cloud AWS abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 è limitato da qualsiasi principale di AWS, dagli utenti federati, dai principali dei servizi, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti dall'utente.
Art. 20.2 vuln-management-plan-exists (controllo del processo) Assicurati che un piano di gestione delle vulnerabilità sia sviluppato e implementato al fine di disporre di processi formalmente definiti per affrontare le vulnerabilità nel tuo ambiente.
Art. 20.2

rds-automatic-minor-version-upgrade abilitato

L'abilitazione di aggiornamenti automatici di versione secondaria per Amazon Relational Database Service (RDS) garantisce che siano installati gli ultimi aggiornamenti della versione secondaria del Relational Database Management System (RDBMS), che possono includere patch di sicurezza e correzioni di bug.
Art. 20.2

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutarti con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
Art. 20.2

elastic-beanstalk-managed-updates-enabled

L'abilitazione degli aggiornamenti della piattaforma gestita per un ambiente Amazon Elastic Beanstalk garantisce l'installazione delle più recenti correzioni, aggiornamenti e funzionalità della piattaforma disponibili per l'ambiente. Mantenersi aggiornati con l'installazione delle patch è una buona pratica nella protezione dei sistemi.
Art. 21.1

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
Art. 21.1

api-gw-cache-enabled-and-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per la cache della fase API Gateway. Poiché i dati sensibili possono essere acquisiti per il metodo API, abilitare la crittografia a riposo per proteggere tali dati.
Art. 21.1

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
Art. 21.1

cloud-trail-encryption-enabled

Poiché potrebbero esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo AWS CloudTrail sentieri.
Art. 21.1

cloudwatch-log-group-encrypted

Per proteggere i dati sensibili a riposo, assicurati che la crittografia sia abilitata per il tuo Amazon CloudWatch Gruppi di log.
Art. 21.1

dynamodb-table-encrypted-kms

Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Poiché i dati sensibili possono esistere a riposo in queste tabelle, abilitare la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con una chiave master cliente di proprietà AWS (CMK).
Art. 21.1

ec2-ebs-encryption-by-default

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati.
Art. 21.1

efs-encrypted-check

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo Amazon Elastic File System (EFS).
Art. 21.1

elasticsearch-encrypted-at-rest

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per Amazon OpenSearch Domini di servizio (OpenSearch Service).
Art. 21.1

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantire node-to-node Crittografia per Amazon OpenSearch Il servizio è abilitato. La crittografia da nodo a nodo a nodo a nodo consente la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC) Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
Art. 21.1

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
Art. 21.1

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
Art. 21.1

encrypted-volumes

Poiché possono esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS).
Art. 21.1

rds-snapshot-encrypted

Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
Art. 21.1

rds-storage-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati.
Art. 21.1

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore per clusterDbEncrypted (Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
Art. 21.1

redshift-cluster-kms-enabled

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il cluster Amazon Redshift. Poiché i dati sensibili possono esistere a riposo nei cluster Redshift, abilitare la crittografia a riposo per proteggere tali dati.
Art. 21.1

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
Art. 21.1

S3-bucket-server-side-encryption-enabled

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati.
Art. 21.1

s3-bucket-ssl-requests-only

Per proteggere i dati durante il trasporto, assicurati che i bucket Simple Storage Service (Amazon S3) richiedano l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
Art. 21.1

s3-default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo in un bucket Amazon S3, abilitare la crittografia a riposo per proteggere tali dati.
Art. 21.1

sagemaker-endpoint-configuration-kms-key-configured

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il SageMaker Endpoint. Perché i dati sensibili possono esistere a riposo SageMaker endpoint, abilita la crittografia a riposo per proteggere tali dati.
Art. 21.1

sagemaker-notebook-instance-kms-key-configurato

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il SageMaker notebook. Perché i dati sensibili possono esistere a riposo SageMaker notebook, abilita la crittografia a riposo per proteggere tali dati.
Art. 21.1

secretsmanager-using-cmk

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per i segreti AWS Secrets Manager. Poiché i dati sensibili possono esistere a riposo nei segreti di Secrets Manager, abilitare la crittografia a riposo per proteggere tali dati.
Art. 21.1

sns-encrypted-kms

Per proteggere i dati a riposo, assicurati che gli argomenti Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Poiché i dati sensibili possono esistere a riposo nei messaggi pubblicati, abilitare la crittografia a riposo per proteggere tali dati.
Art. 21.1

dynamodb-autoscaling-enabled

La scalabilità auto di Amazon DynamoDB utilizza il servizio di Application Auto Scaling di AWS per regolare la capacità di throughput assegnata che risponde in modo automatico ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura/scrittura assegnata per gestire improvvisi aumenti di traffico, senza throttling.
Art. 21.1

elb-cross-zone-load-balancing-abilitato

Abilita il bilanciamento del carico tra zone per i tuoi Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il sistema di bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Migliora inoltre la capacità dell'applicazione di gestire la perdita di una o più istanze.
Art. 21.1

elb-deletion-protection-enabled

Questa regola garantisce che Elastic Load Balancing abbia la protezione da eliminazione abilitata. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni.
Art. 21.1

rds-instance-deletion-protection-enabled

Assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) abbiano la protezione per l'eliminazione. Utilizza la protezione dall'eliminazione per evitare che le tue istanze Amazon RDS vengano cancellate accidentalmente o dannosamente, il che può comportare una perdita di disponibilità per le tue applicazioni.
Art. 21.1

rds-multi-az-support

Il supporto Multi-AZ in Amazon Relational Database Service (Amazon RDS) offre disponibilità e durata avanzate per le istanze di database. Quando esegui il provisioning di un'istanza di database Multi-AZ, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati in un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità viene eseguita su un'infrastruttura fisica, distinta e indipendente, ed è progettata in modo da essere altamente affidabili. In caso di guasto all'infrastruttura, Amazon RDS esegue un failover automatico sullo standby in modo da poter riprendere le operazioni del database non appena il failover è stato completato.
Art. 21.1

s3-bucket-default-lock-enabled

Assicurati che il bucket Amazon Simple Storage Service (Amazon S3) abbia il blocco abilitato, per impostazione predefinita. Poiché i dati sensibili possono esistere a riposo nei bucket S3, applica i blocchi degli oggetti a riposo per proteggere tali dati.
Art. 21.1

vpc-vpn-2-tunnels-up

È possibile implementare tunnel Site-to-Site VPN per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso una delle connessioni Site-to-Site VPN non sia disponibile. Per evitare la perdita di connettività, nel caso in cui il gateway del cliente non sia disponibile, puoi configurare una seconda connessione Site-to-Site VPN al Amazon Virtual Private Cloud (Amazon VPC) e al gateway virtuale privato utilizzando un secondo gateway del cliente.
Art. 21.1

cloud-trail-log-file-validation-enabled

Utilizzo di AWS CloudTrail convalida del file di log per verificare l'integrità di CloudTrail registri. La convalida del file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o invariato dopo CloudTrail l'ha consegnato. Questa funzione è costruita utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende impossibile, a livello di programmazione, qualsiasi operazione di modifica, eliminazione o contraffazione. CloudTrail file di log senza rilevamento.
Art.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
Art.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
Art.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
Art.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando Amazon OpenSearch I domini Service (OpenSearch Service) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un record OpenSearch Il dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Servizi e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
Art.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
Art.

internet-gateway-authorized-vpc-only

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC.
Art.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
Art.

lambda-inside-vpc

Utilizza le funzioni di AWS Lambda in un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non è necessario disporre di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
Art.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
Art.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
Art.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
Art.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate ai gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
Art.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non permettere l'ingresso (o in remoto) il traffico da 0.0.0.0/0 alla porta 22 sulle risorse consente di limitare l'accesso remoto.
Art.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possono essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette la possibilità di impostare facoltativamente ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
Art.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possono essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
Art.

s3-bucket-public-read-prohibited

Gestisci l'accesso alle risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
Art.

s3-bucket-public-write-prohibited

Gestisci l'accesso alle risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
Art.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che Amazon SageMaker i notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
Art.

ssm-document-non-public

Assicurati che i documenti di AWS System Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
Art.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
Art.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo filtri stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
Art.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato ai sistemi interni.
Art.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
Arte dei vari artisti

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
Arte dei vari artisti

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWS CloudTrail i dati forniscono dettagli sull'attività delle chiamate API all'interno dell'account AWS.
Arte dei vari artisti

cloudtrail-enabled

AWS CloudTrail può aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWS CloudTrail Contenuto dei record.
Arte dei vari artisti

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
Arte dei vari artisti

ricerca elastica - logs-to-cloud watch

Verifica di Amazon OpenSearch I domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su Amazon CloudWatch Registri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
Arte dei vari artisti

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
Arte dei vari artisti

abilitato per il cloudtrail basato su più regioni

AWS CloudTrail registra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTrail distribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione, CloudTrail creerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
Arte dei vari artisti

rds-logging-enabled

Per aiutarti nella registrazione e nel monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
Arte dei vari artisti

s3-bucket-logging-enabled

La registrazione accessi al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
Arte dei vari artisti

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
Arte dei vari artisti

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per la regola corrispondente a ogni richiesta.
Art. 24.2 response-plan-exists-manutenuto (controllo del processo) Assicurarsi che i piani di risposta agli incidenti siano stabiliti, mantenuti e distribuiti al personale responsabile.
Arte dei principi

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea automaticamente uno snapshot dei volumi di storage dell'istanza database, eseguendo il backup dell'intera istanza database. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
Arte dei principi

dynamic odb-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi di backup.
Arte dei principi

dynamodb-pitr-enabled

Abilitare questa regola per verificare che le informazioni siano state eseguite il backup. Mantiene inoltre i backup garantendo che point-in-time Il ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
Arte dei principi

ebs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) siano parte integrante di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi di backup.
Arte dei principi

ebs-optimized-instance

Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) fornisce capacità aggiuntiva dedicata per le operazioni di I/O Amazon EBS. Questa ottimizzazione fornisce le prestazioni più efficienti per i volumi EBS, riducendo al minimo i conflitti tra le operazioni di I/O Amazon EBS e l'altro traffico proveniente dall'istanza.
Arte dei principi

efs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi di backup.
Arte dei principi

elasticache-redis-cluster-automatic-backup-check

Quando i backup automatici sono abilitati, Amazon ElastiCache crea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, è possibile creare un nuovo cluster, che ripristina i dati dal backup più recente.
Arte dei principi

rds-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le istanze Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi di backup.
Arte dei principi

redshift-backup-enabled

Per aiutare con i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB per nodo di modifiche dei dati, a seconda di quale evento si verifica prima.
Arte dei principi

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
Arte dei principi

s3-bucket-versioning-enabled

Il sistema di controllo delle versioni bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere diverse varianti di un oggetto nello stesso bucket Amazon S3. Usa il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni consente il semplice recupero da azioni involontarie dell'utente e guasti dell'applicazione.

Modello

Il modello è disponibile su GitHub: Best practice operative per Esquema Nacional de Seguridad (ENS) High.