Best practice operative per FedRAMP (Moderato) - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice operative per FedRAMP (Moderato)

I pacchetti di conformità forniscono un framework di conformità generico progettato per consentire di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando gestiti o personalizzatiAWS Configregole eAWS Configazioni di bonifica. I Conformance Pack, come modelli di esempio, non sono progettati per garantire la piena conformità con uno standard di conformità o uno standard di conformità specifici. L'utente è responsabile di valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.

Di seguito viene fornito un esempio di mappatura tra il Federal Risk and Authorization Management Program (FedRAMP) e le regole gestite da AWS. Ciascuna regola di Config si applica a uno specificoAWSrisorsa e si riferisce a uno o più controlli FedRAMP. Un controllo FedRAMP può essere correlato a più regole di Config. Fare riferimento alla tabella sottostante per ulteriori dettagli e indicazioni relative a queste mappature.

Questo Conformance Pack è stato convalidato da AWS Security Assurance Services LLC (AWS SAS), che è un team di Payment Card Industry Qualified Security Assessors (QSA), HITRUST Certified Common Security Framework Practitioners (CCSFP) e professionisti della conformità certificati per fornire indicazioni e valutazioni per vari quadri industriali. I professionisti AWS SAS hanno progettato questo Conformance Pack per consentire a un cliente di allinearsi a un sottoinsieme dei controlli FedRAMP.

Regione AWS:Tutto supportatoRegioni AWStranne il Medio Oriente (Bahrain)

ID controllo Descrizione del controllo Regola AWS Config Linee guida di
AC-2 (f) L'organizzazione: f. Crea, abilita, modifica, disabilita e rimuove gli account del sistema informativo in conformità a [Assegnazione: procedure o condizioni definite dall'organizzazione].

azioni iam-inline-policy-blocked-kms-actions

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette l'impostazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-2 (f) L'organizzazione: f. Crea, abilita, modifica, disabilita e rimuove gli account del sistema informativo in conformità a [Assegnazione: procedure o condizioni definite dall'organizzazione].

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
AC-2 (f) L'organizzazione: f. Crea, abilita, modifica, disabilita e rimuove gli account del sistema informativo in conformità a [Assegnazione: procedure o condizioni definite dall'organizzazione].

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Operazione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-2 (f) L'organizzazione: f. Crea, abilita, modifica, disabilita e rimuove gli account del sistema informativo in conformità a [Assegnazione: procedure o condizioni definite dall'organizzazione].

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-2 (f) L'organizzazione: f. Crea, abilita, modifica, disabilita e rimuove gli account del sistema informativo in conformità a [Assegnazione: procedure o condizioni definite dall'organizzazione].

access-keys-rotated

Le credenziali vengono controllate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo i criteri organizzativi. La modifica delle chiavi di accesso secondo una pianificazione periodica è una procedura consigliata per la sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
AC-2 (f) L'organizzazione: f. Crea, abilita, modifica, disabilita e rimuove gli account del sistema informativo in conformità a [Assegnazione: procedure o condizioni definite dall'organizzazione].

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativa.RequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-2 (f) L'organizzazione: f. Crea, abilita, modifica, disabilita e rimuove gli account del sistema informativo in conformità a [Assegnazione: procedure o condizioni definite dall'organizzazione].

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
AC-2 (f) L'organizzazione: f. Crea, abilita, modifica, disabilita e rimuove gli account del sistema informativo in conformità a [Assegnazione: procedure o condizioni definite dall'organizzazione].

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-2 (f) L'organizzazione: f. Crea, abilita, modifica, disabilita e rimuove gli account del sistema informativo in conformità a [Assegnazione: procedure o condizioni definite dall'organizzazione].

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce l'abilitazione a più fattori (MFA) per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
AC-2 (f) L'organizzazione: f. Crea, abilita, modifica, disabilita e rimuove gli account del sistema informativo in conformità a [Assegnazione: procedure o condizioni definite dall'organizzazione].

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
AC-2 (f) L'organizzazione: f. Crea, abilita, modifica, disabilita e rimuove gli account del sistema informativo in conformità a [Assegnazione: procedure o condizioni definite dall'organizzazione].

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede l'impostazione di un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
AC-2 (f) L'organizzazione: f. Crea, abilita, modifica, disabilita e rimuove gli account del sistema informativo in conformità a [Assegnazione: procedure o condizioni definite dall'organizzazione].

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
AC-2 (f) L'organizzazione: f. Crea, abilita, modifica, disabilita e rimuove gli account del sistema informativo in conformità a [Assegnazione: procedure o condizioni definite dall'organizzazione].

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
AC-2 (f) L'organizzazione: f. Crea, abilita, modifica, disabilita e rimuove gli account del sistema informativo in conformità a [Assegnazione: procedure o condizioni definite dall'organizzazione].

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
AC-2 (g) L'organizzazione: g. Monitora l'uso degli account del sistema informativo.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
AC-2 (g) L'organizzazione: g. Monitora l'uso degli account del sistema informativo.

ricerca elastica - logs-to-cloud watch

Garantire AmazonOpenSearchI domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su AmazonCloudWatchRegistri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
AC-2 (g) L'organizzazione: g. Monitora l'uso degli account del sistema informativo.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
AC-2 (g) L'organizzazione: g. Monitora l'uso degli account del sistema informativo.

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
AC-2 (g) L'organizzazione: g. Monitora l'uso degli account del sistema informativo.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
AC-2 (g) L'organizzazione: g. Monitora l'uso degli account del sistema informativo.

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta.
AC-2 (g) L'organizzazione: g. Monitora l'uso degli account del sistema informativo.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono dettagli sull'attività delle chiamate API nell'account AWS.
AC-2 (g) L'organizzazione: g. Monitora l'uso degli account del sistema informativo.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
AC-2 (g) L'organizzazione: g. Monitora l'uso degli account del sistema informativo.

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
AC-2 (g) L'organizzazione: g. Monitora l'uso degli account del sistema informativo.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
AC-2 (g) L'organizzazione: g. Monitora l'uso degli account del sistema informativo.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-2 (g) L'organizzazione: g. Monitora l'uso degli account del sistema informativo.

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
AC-2 (j) L'organizzazione: j. Esamina gli account per la conformità ai requisiti di gestione degli account [Assegnazione: frequenza definita dall'organizzazione].

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può aiutare nella gestione dei privilegi e delle autorizzazioni minimi.
AC-2 (j) L'organizzazione: j. Esamina gli account per verificare la conformità con i requisiti di gestione degli account [Assegnazione: frequenza definita dall'organizzazione].

ecs-task-definition-user-per-host-mode check

Se una definizione di attività ha privilegi elevati, è perché il cliente ha specificamente optato per tali configurazioni. Questo controllo verifica la presenza di un'escalation imprevista dei privilegi quando una definizione di attività ha abilitato la rete host ma il cliente non ha optato per privilegi elevati.
AC-2 (j) L'organizzazione: j. Esamina gli account per verificare la conformità con i requisiti di gestione degli account [Assegnazione: frequenza definita dall'organizzazione].

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e la separazione dei doveri. Questa regola permette l'impostazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione
AC-2 (j) L'organizzazione: j. Esamina gli account per verificare la conformità con i requisiti di gestione degli account [Assegnazione: frequenza definita dall'organizzazione].

azioni iam-inline-policy-blocked-kms-actions

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette l'impostazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-2 (j) L'organizzazione: j. Esamina gli account per verificare la conformità con i requisiti di gestione degli account [Assegnazione: frequenza definita dall'organizzazione].

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
AC-2 (j) L'organizzazione: j. Esamina gli account per verificare la conformità con i requisiti di gestione degli account [Assegnazione: frequenza definita dall'organizzazione].

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-2 (j) L'organizzazione: j. Esamina gli account per verificare la conformità con i requisiti di gestione degli account [Assegnazione: frequenza definita dall'organizzazione].

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce l'abilitazione a più fattori (MFA) per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
AC-2 (j) L'organizzazione: j. Esamina gli account per verificare la conformità con i requisiti di gestione degli account [Assegnazione: frequenza definita dall'organizzazione].

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
AC-2 (j) L'organizzazione: j. Esamina gli account per verificare la conformità con i requisiti di gestione degli account [Assegnazione: frequenza definita dall'organizzazione].

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
AC-2 (j) L'organizzazione: j. Esamina gli account per verificare la conformità con i requisiti di gestione degli account [Assegnazione: frequenza definita dall'organizzazione].

access-keys-rotated

Le credenziali vengono controllate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo i criteri organizzativi. La modifica delle chiavi di accesso secondo una pianificazione periodica è una procedura consigliata per la sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
AC-2 (j) L'organizzazione: j. Esamina gli account per verificare la conformità con i requisiti di gestione degli account [Assegnazione: frequenza definita dall'organizzazione].

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
AC-2 (j) L'organizzazione: j. Esamina gli account per verificare la conformità con i requisiti di gestione degli account [Assegnazione: frequenza definita dall'organizzazione].

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativa.RequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-2 (j) L'organizzazione: j. Esamina gli account per verificare la conformità con i requisiti di gestione degli account [Assegnazione: frequenza definita dall'organizzazione].

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Operazione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-2 (j) L'organizzazione: j. Esamina gli account per verificare la conformità con i requisiti di gestione degli account [Assegnazione: frequenza definita dall'organizzazione].

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
AC-2 (j) L'organizzazione: j. Esamina gli account per verificare la conformità con i requisiti di gestione degli account [Assegnazione: frequenza definita dall'organizzazione].

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-2 (j) L'organizzazione: j. Esamina gli account per verificare la conformità con i requisiti di gestione degli account [Assegnazione: frequenza definita dall'organizzazione].

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
AC-2 (j) L'organizzazione: j. Esamina gli account per la conformità ai requisiti di gestione degli account [Assegnazione: frequenza definita dall'organizzazione].

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
AC-2 (1) L'organizzazione utilizza meccanismi automatizzati per supportare la gestione degli account del sistema informativo.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
AC-2 (1) L'organizzazione utilizza meccanismi automatizzati per supportare la gestione degli account del sistema informativo.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
AC-2 (1) L'organizzazione utilizza meccanismi automatizzati per supportare la gestione degli account del sistema informativo.

access-keys-rotated

Le credenziali vengono controllate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo i criteri organizzativi. La modifica delle chiavi di accesso secondo una pianificazione periodica è una procedura consigliata per la sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
AC-2 (1) L'organizzazione utilizza meccanismi automatizzati per supportare la gestione degli account del sistema informativo.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
AC-2 (1) L'organizzazione utilizza meccanismi automatizzati per supportare la gestione degli account del sistema informativo.

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativa.RequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-2 (1) L'organizzazione utilizza meccanismi automatizzati per supportare la gestione degli account del sistema informativo.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Operazione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-2 (1) L'organizzazione utilizza meccanismi automatizzati per supportare la gestione degli account del sistema informativo.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
AC-2 (1) L'organizzazione utilizza meccanismi automatizzati per supportare la gestione degli account del sistema informativo.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-2 (1) L'organizzazione utilizza meccanismi automatizzati per supportare la gestione degli account del sistema informativo.

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce l'abilitazione a più fattori (MFA) per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
AC-2 (1) L'organizzazione utilizza meccanismi automatizzati per supportare la gestione degli account del sistema informativo.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
AC-2 (1) L'organizzazione utilizza meccanismi automatizzati per supportare la gestione degli account del sistema informativo.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede l'impostazione di un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
AC-2 (1) L'organizzazione utilizza meccanismi automatizzati per supportare la gestione degli account del sistema informativo.

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
AC-2 (1) L'organizzazione utilizza meccanismi automatizzati per supportare la gestione degli account del sistema informativo.

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
AC-2 (1) L'organizzazione utilizza meccanismi automatizzati per supportare la gestione degli account del sistema informativo.

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
AC-2 (3) Il sistema informativo disattiva automaticamente gli account inattivi dopo 90 giorni per gli account utente.

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativa.RequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-2 (3) Il sistema informativo disattiva automaticamente gli account inattivi dopo 90 giorni per gli account utente.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede l'impostazione di un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
AC-2 (4) Il sistema informativo controlla automaticamente le azioni di creazione, modifica, abilitazione, disabilitazione e rimozione dell'account e notifica [Assegnazione: personale o ruoli definiti dall'organizzazione].

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
AC-2 (4) Il sistema informativo controlla automaticamente le azioni di creazione, modifica, abilitazione, disabilitazione e rimozione dell'account e notifica [Assegnazione: personale o ruoli definiti dall'organizzazione].

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
AC-2 (4) Il sistema informativo controlla automaticamente le azioni di creazione, modifica, abilitazione, disabilitazione e rimozione dell'account e notifica [Assegnazione: personale o ruoli definiti dall'organizzazione].

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
AC-2 (4) Il sistema informativo controlla automaticamente le azioni di creazione, modifica, abilitazione, disabilitazione e rimozione dell'account e notifica [Assegnazione: personale o ruoli definiti dall'organizzazione].

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono dettagli sull'attività delle chiamate API nell'account AWS.
AC-2 (4) Il sistema informativo controlla automaticamente le azioni di creazione, modifica, abilitazione, disabilitazione e rimozione dell'account e notifica [Assegnazione: personale o ruoli definiti dall'organizzazione].

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
AC-2 (4) Il sistema informativo controlla automaticamente le azioni di creazione, modifica, abilitazione, disabilitazione e rimozione dell'account e notifica [Assegnazione: personale o ruoli definiti dall'organizzazione].

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
AC-2 (4) Il sistema informativo controlla automaticamente le azioni di creazione, modifica, abilitazione, disabilitazione e rimozione dell'account e notifica [Assegnazione: personale o ruoli definiti dall'organizzazione].

cloudwatch-alarm-action-check

AmazonCloudWatchallarmi avvisi quando una parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionObbligatorio Config impostazione predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
AC-2 (4) Il sistema informativo controlla automaticamente le azioni di creazione, modifica, abilitazione, disabilitazione e rimozione dell'account e notifica [Assegnazione: personale o ruoli definiti dall'organizzazione].

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
AC-2 (4) Il sistema informativo controlla automaticamente le azioni di creazione, modifica, abilitazione, disabilitazione e rimozione dell'account e notifica [Assegnazione: personale o ruoli definiti dall'organizzazione].

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-2 (4) Il sistema informativo controlla automaticamente le azioni di creazione, modifica, abilitazione, disabilitazione e rimozione dell'account e notifica [Assegnazione: personale o ruoli definiti dall'organizzazione].

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
AC-2 (12) (a) L'organizzazione: a. Monitora gli account del sistema informativo per [Assegnazione: uso atipico definito dall'organizzazione].

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
AC-2 (12) (a) L'organizzazione: a. Monitora gli account del sistema informativo per [Assegnazione: uso atipico definito dall'organizzazione].

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
AC-3 Il sistema informativo applica autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
AC-3 Il sistema informativo applica autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

ec2-imdsv2 - controllo

Assicurati che il metodo IMDSv2 (Instance Metadata Service versione 2) sia abilitato per proteggere l'accesso e il controllo dei metadati dell'istanza Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati su sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze.
AC-3 Il sistema informativo applica autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può aiutare nella gestione dei privilegi e delle autorizzazioni minimi.
AC-3 Il sistema informativo applica autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

ecs-task-definition-user-per-host-mode check

Se una definizione di attività ha privilegi elevati, è perché il cliente ha specificamente optato per tali configurazioni. Questo controllo verifica la presenza di un'escalation imprevista dei privilegi quando una definizione di attività ha abilitato la rete host ma il cliente non ha optato per privilegi elevati.
AC-3 Il sistema informativo applica autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
AC-3 Il sistema informativo applica autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-3 Il sistema informativo applica autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
AC-3 Il sistema informativo applica autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC-3 Il sistema informativo applica autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
AC-3 Il sistema informativo applica autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
AC-3 Il sistema informativo applica autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchServizio (OpenSearchI domini di servizio) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizi e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
AC-3 Il sistema informativo applica autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC-3 Il sistema informativo applica autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
AC-3 Il sistema informativo applica autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Operazione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-3 Il sistema informativo applica autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
AC-3 Il sistema informativo applica autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-3 Il sistema informativo applica autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
AC-3 Il sistema informativo applica autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede l'impostazione di un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
AC-3 Il sistema informativo applica autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
AC-3 Il sistema informativo applica autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

lambda-inside-vpc

Utilizza le funzioni AWS Lambda in un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi nell'Amazon VPC. Con questa configurazione, non hai bisogno di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
AC-3 Il sistema informativo applica autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
AC-3 Il sistema informativo applica autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
AC-3 Il sistema informativo applica autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
AC-3 Il sistema informativo applica autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-3 Il sistema informativo applica autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
AC-3 Il sistema informativo applica autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo l'accesso a bucket Amazon Simple Storage Service (Amazon S3) solo a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC-3 Il sistema informativo applica autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo l'accesso a bucket Amazon Simple Storage Service (Amazon S3) solo a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC-3 Il sistema informativo applica autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
AC-3 Il sistema informativo applica autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
AC-4 Il sistema informativo applica autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione].

ec2-instances-in-vpc

Distribuisci le istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
AC-4 Il sistema informativo applica autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione].

acm-certificate-expiration-check

Assicurati che l'integrità della rete sia protetta assicurando che i certificati X509 vengano emessi da AWS ACM. Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore perdaysToExpiration(Valore AWS Foundational Security Best Practices: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
AC-4 Il sistema informativo applica autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione].

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC-4 Il sistema informativo applica autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione].

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
AC-4 Il sistema informativo applica autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione].

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
AC-4 Il sistema informativo applica autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione].

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchServizio (OpenSearchI domini di servizio) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizi e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
AC-4 Il sistema informativo applica autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione].

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC-4 Il sistema informativo applica autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione].

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Impedendo l'ingresso (o in remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle tue risorse aiuta a limitare l'accesso remoto.
AC-4 Il sistema informativo applica autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione].

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
AC-4 Il sistema informativo applica autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione].

lambda-inside-vpc

Utilizza le funzioni AWS Lambda in un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi nell'Amazon VPC. Con questa configurazione, non hai bisogno di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
AC-4 Il sistema informativo applica autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione].

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
AC-4 Il sistema informativo applica autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione].

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
AC-4 Il sistema informativo applica autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione].

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
AC-4 Il sistema informativo applica autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione].

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-4 Il sistema informativo applica autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione].

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo l'accesso a bucket Amazon Simple Storage Service (Amazon S3) solo a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC-4 Il sistema informativo applica autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione].

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo l'accesso a bucket Amazon Simple Storage Service (Amazon S3) solo a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC-4 Il sistema informativo applica autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione].

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
AC-4 Il sistema informativo applica autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione].

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita alle risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
AC-4 Il sistema informativo applica autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione].

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i Gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
AC-5c L'organizzazione: c. Definisce le autorizzazioni di accesso al sistema informativo per supportare la separazione dei compiti.

ecs-task-definition-user-per-host-mode check

Se una definizione di attività ha privilegi elevati, è perché il cliente ha specificamente optato per tali configurazioni. Questo controllo verifica la presenza di un'escalation imprevista dei privilegi quando una definizione di attività ha abilitato la rete host ma il cliente non ha optato per privilegi elevati.
AC-5c L'organizzazione: c. Definisce le autorizzazioni di accesso al sistema informativo per supportare la separazione dei compiti.

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e la separazione dei doveri. Questa regola permette l'impostazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione
AC-5c L'organizzazione: c. Definisce le autorizzazioni di accesso al sistema informativo per supportare la separazione dei compiti.

azioni iam-inline-policy-blocked-kms-actions

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette l'impostazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-5c L'organizzazione: c. Definisce le autorizzazioni di accesso al sistema informativo per supportare la separazione dei compiti.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
AC-5c L'organizzazione: c. Definisce le autorizzazioni di accesso al sistema informativo per supportare la separazione dei compiti.

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativa.RequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-5c L'organizzazione: c. Definisce le autorizzazioni di accesso al sistema informativo per supportare la separazione dei compiti.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-5c L'organizzazione: c. Definisce le autorizzazioni di accesso al sistema informativo per supportare la separazione dei compiti.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
AC-5c L'organizzazione: c. Definisce le autorizzazioni di accesso al sistema informativo per supportare la separazione dei compiti.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-5c L'organizzazione: c. Definisce le autorizzazioni di accesso al sistema informativo per supportare la separazione dei compiti.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede l'impostazione di un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
AC-5c L'organizzazione: c. Definisce le autorizzazioni di accesso al sistema informativo per supportare la separazione dei compiti.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
AC-5c L'organizzazione: c. Definisce le autorizzazioni di accesso al sistema informativo per supportare la separazione dei compiti.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Operazione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-5c L'organizzazione: c. Definisce le autorizzazioni di accesso al sistema informativo per supportare la separazione dei compiti.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
AC-6 L'organizzazione utilizza il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti assegnati in conformità con le missioni organizzative e le funzioni aziendali.

ec2-imdsv2 - controllo

Assicurati che il metodo IMDSv2 (Instance Metadata Service versione 2) sia abilitato per proteggere l'accesso e il controllo dei metadati dell'istanza Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati su sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze.
AC-6 L'organizzazione utilizza il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti assegnati in conformità con le missioni organizzative e le funzioni aziendali.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
AC-6 L'organizzazione utilizza il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti assegnati in conformità con le missioni organizzative e le funzioni aziendali.

ec2-instances-in-vpc

Distribuisci le istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
AC-6 L'organizzazione utilizza il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti assegnati in conformità con le missioni organizzative e le funzioni aziendali.

codebuild-project-envvar-awscred-check

Assicurati che le credenziali di autenticazione AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY non siano presenti negli ambienti di progetto AWS Codebuild. Non memorizzare queste variabili in testo chiaro. L'archiviazione di queste variabili in testo non crittografato comporta l'esposizione non intenzionale dei dati e l'accesso non autorizzato.
AC-6 L'organizzazione utilizza il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti assegnati in conformità con le missioni organizzative e le funzioni aziendali.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC-6 L'organizzazione utilizza il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti assegnati in conformità con le missioni organizzative e le funzioni aziendali.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
AC-6 L'organizzazione utilizza il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti assegnati in conformità con le missioni organizzative e le funzioni aziendali.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
AC-6 L'organizzazione utilizza il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti assegnati in conformità con le missioni organizzative e le funzioni aziendali.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchServizio (OpenSearchI domini di servizio) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizi e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
AC-6 L'organizzazione utilizza il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti assegnati in conformità con le missioni organizzative e le funzioni aziendali.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC-6 L'organizzazione utilizza il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti assegnati in conformità con le missioni organizzative e le funzioni aziendali.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
AC-6 L'organizzazione utilizza il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti assegnati in conformità con le missioni organizzative e le funzioni aziendali.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Operazione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-6 L'organizzazione utilizza il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti assegnati in conformità con le missioni organizzative e le funzioni aziendali.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
AC-6 L'organizzazione utilizza il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti assegnati in conformità con le missioni organizzative e le funzioni aziendali.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-6 L'organizzazione utilizza il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti assegnati in conformità con le missioni organizzative e le funzioni aziendali.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
AC-6 L'organizzazione utilizza il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti assegnati in conformità con le missioni organizzative e le funzioni aziendali.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede l'impostazione di un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
AC-6 L'organizzazione utilizza il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti assegnati in conformità con le missioni organizzative e le funzioni aziendali.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
AC-6 L'organizzazione utilizza il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti assegnati in conformità con le missioni organizzative e le funzioni aziendali.

lambda-inside-vpc

Utilizza le funzioni AWS Lambda in un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi nell'Amazon VPC. Con questa configurazione, non hai bisogno di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
AC-6 L'organizzazione utilizza il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti assegnati in conformità con le missioni organizzative e le funzioni aziendali.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
AC-6 L'organizzazione utilizza il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti assegnati in conformità con le missioni organizzative e le funzioni aziendali.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
AC-6 L'organizzazione utilizza il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti assegnati in conformità con le missioni organizzative e le funzioni aziendali.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
AC-6 L'organizzazione utilizza il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti assegnati in conformità con le missioni organizzative e le funzioni aziendali.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-6 L'organizzazione utilizza il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti assegnati in conformità con le missioni organizzative e le funzioni aziendali.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
AC-6 L'organizzazione utilizza il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti assegnati in conformità con le missioni organizzative e le funzioni aziendali.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo l'accesso a bucket Amazon Simple Storage Service (Amazon S3) solo a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC-6 L'organizzazione utilizza il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti assegnati in conformità con le missioni organizzative e le funzioni aziendali.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo l'accesso a bucket Amazon Simple Storage Service (Amazon S3) solo a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC-6 L'organizzazione utilizza il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti assegnati in conformità con le missioni organizzative e le funzioni aziendali.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
AC-6 L'organizzazione utilizza il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti assegnati in conformità con le missioni organizzative e le funzioni aziendali.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
AC-6 (10) Il sistema informativo impedisce agli utenti non privilegiati di eseguire funzioni privilegiate per includere la disabilitazione, l'elusione o la modifica delle salvaguarde/contromisure di sicurezza implementate.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-6 (10) Il sistema informativo impedisce agli utenti non privilegiati di eseguire funzioni privilegiate per includere la disabilitazione, l'elusione o la modifica delle salvaguarde/contromisure di sicurezza implementate.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Operazione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-6 (10) Il sistema informativo impedisce agli utenti non privilegiati di eseguire funzioni privilegiate per includere la disabilitazione, l'elusione o la modifica delle salvaguarde/contromisure di sicurezza implementate.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
AC-17 (1) Il sistema informativo monitora e controlla i metodi di accesso remoto.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Impedendo l'ingresso (o in remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle tue risorse aiuta a limitare l'accesso remoto.
AC-17 (1) Il sistema informativo monitora e controlla i metodi di accesso remoto.

ec2-instances-in-vpc

Distribuisci le istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
AC-17 (1) Il sistema informativo monitora e controlla i metodi di accesso remoto.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
AC-17 (1) Il sistema informativo monitora e controlla i metodi di accesso remoto.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC-17 (1) Il sistema informativo monitora e controlla i metodi di accesso remoto.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
AC-17 (1) Il sistema informativo monitora e controlla i metodi di accesso remoto.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
AC-17 (1) Il sistema informativo monitora e controlla i metodi di accesso remoto.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchServizio (OpenSearchI domini di servizio) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizi e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
AC-17 (1) Il sistema informativo monitora e controlla i metodi di accesso remoto.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC-17 (1) Il sistema informativo monitora e controlla i metodi di accesso remoto.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
AC-17 (1) Il sistema informativo monitora e controlla i metodi di accesso remoto.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
AC-17 (1) Il sistema informativo monitora e controlla i metodi di accesso remoto.

lambda-inside-vpc

Utilizza le funzioni AWS Lambda in un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi nell'Amazon VPC. Con questa configurazione, non hai bisogno di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
AC-17 (1) Il sistema informativo monitora e controlla i metodi di accesso remoto.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
AC-17 (1) Il sistema informativo monitora e controlla i metodi di accesso remoto.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
AC-17 (1) Il sistema informativo monitora e controlla i metodi di accesso remoto.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
AC-17 (1) Il sistema informativo monitora e controlla i metodi di accesso remoto.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-17 (1) Il sistema informativo monitora e controlla i metodi di accesso remoto.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-17 (1) Il sistema informativo monitora e controlla i metodi di accesso remoto.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
AC-17 (1) Il sistema informativo monitora e controlla i metodi di accesso remoto.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo l'accesso a bucket Amazon Simple Storage Service (Amazon S3) solo a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC-17 (1) Il sistema informativo monitora e controlla i metodi di accesso remoto.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo l'accesso a bucket Amazon Simple Storage Service (Amazon S3) solo a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC-17 (1) Il sistema informativo monitora e controlla i metodi di accesso remoto.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
AC-17 (1) Il sistema informativo monitora e controlla i metodi di accesso remoto.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
AC-17 (1) Il sistema informativo monitora e controlla i metodi di accesso remoto.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita alle risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
AC-17 (1) Il sistema informativo monitora e controlla i metodi di accesso remoto.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i Gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
AC-17 (2) Il sistema informativo implementa meccanismi crittografici per proteggere la riservatezza e l'integrità delle sessioni di accesso remoto.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
AC-17 (2) Il sistema informativo implementa meccanismi crittografici per proteggere la riservatezza e l'integrità delle sessioni di accesso remoto.

acm-certificate-expiration-check

Assicurati che l'integrità della rete sia protetta assicurando che i certificati X509 vengano emessi da AWS ACM. Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore perdaysToExpiration(Valore AWS Foundational Security Best Practices: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
AC-17 (2) Il sistema informativo implementa meccanismi crittografici per proteggere la riservatezza e l'integrità delle sessioni di accesso remoto.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
AC-17 (2) Il sistema informativo implementa meccanismi crittografici per proteggere la riservatezza e l'integrità delle sessioni di accesso remoto.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
AC-17 (2) Il sistema informativo implementa meccanismi crittografici per proteggere la riservatezza e l'integrità delle sessioni di accesso remoto.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
AC-17 (2) Il sistema informativo implementa meccanismi crittografici per proteggere la riservatezza e l'integrità delle sessioni di accesso remoto.

s3-bucket-ssl-requests-only

Per proteggere i dati durante il trasporto, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
AC-21 (b) L'organizzazione: b. Utilizza [Assegnazione: meccanismi automatizzati o processi manuali definiti dall'organizzazione] per aiutare gli utenti a prendere decisioni di condivisione delle informazioni e collaborazione.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
AC-21 (b) L'organizzazione: b. Utilizza [Assegnazione: meccanismi automatizzati o processi manuali definiti dall'organizzazione] per aiutare gli utenti a prendere decisioni di condivisione delle informazioni e collaborazione.

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
AC-21 (b) L'organizzazione: b. Utilizza [Assegnazione: meccanismi automatizzati o processi manuali definiti dall'organizzazione] per aiutare gli utenti a prendere decisioni di condivisione delle informazioni e collaborazione.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-21 (b) L'organizzazione: b. Utilizza [Assegnazione: meccanismi automatizzati o processi manuali definiti dall'organizzazione] per aiutare gli utenti a prendere decisioni di condivisione delle informazioni e collaborazione.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-21 (b) L'organizzazione: b. Utilizza [Assegnazione: meccanismi automatizzati o processi manuali definiti dall'organizzazione] per aiutare gli utenti a prendere decisioni di condivisione delle informazioni e collaborazione.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita alle risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
AC-21 (b) L'organizzazione: b. Utilizza [Assegnazione: meccanismi automatizzati o processi manuali definiti dall'organizzazione] per aiutare gli utenti a prendere decisioni di condivisione delle informazioni e collaborazione.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i Gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
AC-21 (b) L'organizzazione: b. Utilizza [Assegnazione: meccanismi automatizzati o processi manuali definiti dall'organizzazione] per aiutare gli utenti a prendere decisioni di condivisione delle informazioni e collaborazione.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC-21 (b) L'organizzazione: b. Utilizza [Assegnazione: meccanismi automatizzati o processi manuali definiti dall'organizzazione] per aiutare gli utenti a prendere decisioni di condivisione delle informazioni e collaborazione.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
AC-21 (b) L'organizzazione: b. Utilizza [Assegnazione: meccanismi automatizzati o processi manuali definiti dall'organizzazione] per aiutare gli utenti a prendere decisioni di condivisione delle informazioni e collaborazione.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
AC-21 (b) L'organizzazione: b. Utilizza [Assegnazione: meccanismi automatizzati o processi manuali definiti dall'organizzazione] per aiutare gli utenti a prendere decisioni di condivisione delle informazioni e collaborazione.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC-21 (b) L'organizzazione: b. Utilizza [Assegnazione: meccanismi automatizzati o processi manuali definiti dall'organizzazione] per aiutare gli utenti a prendere decisioni di condivisione delle informazioni e collaborazione.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
AC-21 (b) L'organizzazione: b. Utilizza [Assegnazione: meccanismi automatizzati o processi manuali definiti dall'organizzazione] per aiutare gli utenti a prendere decisioni di condivisione delle informazioni e collaborazione.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
AC-21 (b) L'organizzazione: b. Utilizza [Assegnazione: meccanismi automatizzati o processi manuali definiti dall'organizzazione] per aiutare gli utenti a prendere decisioni di condivisione delle informazioni e collaborazione.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
AC-21 (b) L'organizzazione: b. Utilizza [Assegnazione: meccanismi automatizzati o processi manuali definiti dall'organizzazione] per aiutare gli utenti a prendere decisioni di condivisione delle informazioni e collaborazione.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
AC-21 (b) L'organizzazione: b. Utilizza [Assegnazione: meccanismi automatizzati o processi manuali definiti dall'organizzazione] per aiutare gli utenti a prendere decisioni di condivisione delle informazioni e collaborazione.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
AC-21 (b) L'organizzazione: b. Utilizza [Assegnazione: meccanismi automatizzati o processi manuali definiti dall'organizzazione] per aiutare gli utenti a prendere decisioni di condivisione delle informazioni e collaborazione.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo l'accesso a bucket Amazon Simple Storage Service (Amazon S3) solo a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC-21 (b) L'organizzazione: b. Utilizza [Assegnazione: meccanismi automatizzati o processi manuali definiti dall'organizzazione] per aiutare gli utenti a prendere decisioni di condivisione delle informazioni e collaborazione.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo l'accesso a bucket Amazon Simple Storage Service (Amazon S3) solo a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC-21 (b) L'organizzazione: b. Utilizza [Assegnazione: meccanismi automatizzati o processi manuali definiti dall'organizzazione] per aiutare gli utenti a prendere decisioni di condivisione delle informazioni e collaborazione.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
AC-21 (b) L'organizzazione: b. Utilizza [Assegnazione: meccanismi automatizzati o processi manuali definiti dall'organizzazione] per aiutare gli utenti a prendere decisioni di condivisione delle informazioni e collaborazione.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
AT-2 L'organizzazione fornisce una formazione di base sulla sicurezza agli utenti del sistema informativo (inclusi manager, dirigenti senior e appaltatori): a. Nell'ambito della formazione iniziale per i nuovi utenti; b. Quando richiesto dalle modifiche al sistema informativo; e c. [Assegnazione: frequenza definita dall'organizzazione] successivamente. security-awareness-program-exists (verifica del processo) Stabilisci e gestisci un programma di sensibilizzazione sulla sicurezza per la tua organizzazione I programmi di sensibilizzazione sulla sicurezza educano i dipendenti su come proteggere la propria organizzazione da varie violazioni o incidenti della sicurezza.
AU-2 (a) (d) L'organizzazione: a. Determina che il sistema informativo è in grado di controllare i seguenti eventi: Eventi di accesso agli account riusciti e non riusciti, eventi di gestione degli account, accesso agli oggetti, modifica dei criteri, funzioni di privilegi, monitoraggio dei processi ed eventi di sistema. Per le applicazioni Web: tutte le attività dell'amministratore, i controlli di autenticazione, i controlli di autorizzazione, l'eliminazione dei dati, l'accesso ai dati, le modifiche ai dati e le modifiche alle autorizzazioni. d. Determina che i seguenti eventi devono essere controllati all'interno del sistema informativo: [sottoinsieme definito dall'organizzazione degli eventi verificabili definiti in AU-2 a da sottoporre a controllo continuo per ogni evento identificato].

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
AU-2 (a) (d) L'organizzazione: a. Determina che il sistema informativo è in grado di controllare i seguenti eventi: Eventi di accesso agli account riusciti e non riusciti, eventi di gestione degli account, accesso agli oggetti, modifica dei criteri, funzioni di privilegi, monitoraggio dei processi ed eventi di sistema. Per le applicazioni Web: tutte le attività dell'amministratore, i controlli di autenticazione, i controlli di autorizzazione, l'eliminazione dei dati, l'accesso ai dati, le modifiche ai dati e le modifiche alle autorizzazioni. d. Determina che i seguenti eventi devono essere controllati all'interno del sistema informativo: [sottoinsieme definito dall'organizzazione degli eventi verificabili definiti in AU-2 a da sottoporre a controllo continuo per ogni evento identificato].

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
AU-2 (a) (d) L'organizzazione: a. Determina che il sistema informativo è in grado di controllare i seguenti eventi: Eventi di accesso agli account riusciti e non riusciti, eventi di gestione degli account, accesso agli oggetti, modifica dei criteri, funzioni di privilegi, monitoraggio dei processi ed eventi di sistema. Per le applicazioni Web: tutte le attività dell'amministratore, i controlli di autenticazione, i controlli di autorizzazione, l'eliminazione dei dati, l'accesso ai dati, le modifiche ai dati e le modifiche alle autorizzazioni. d. Determina che i seguenti eventi devono essere controllati all'interno del sistema informativo: [sottoinsieme definito dall'organizzazione degli eventi verificabili definiti in AU-2 a da sottoporre a controllo continuo per ogni evento identificato].

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I registri registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per la regola corrispondente a ogni richiesta.
AU-2 (a) (d) L'organizzazione: a. Determina che il sistema informativo è in grado di controllare i seguenti eventi: Eventi di accesso agli account riusciti e non riusciti, eventi di gestione degli account, accesso agli oggetti, modifica dei criteri, funzioni di privilegi, monitoraggio dei processi ed eventi di sistema. Per le applicazioni Web: tutte le attività dell'amministratore, i controlli di autenticazione, i controlli di autorizzazione, l'eliminazione dei dati, l'accesso ai dati, le modifiche ai dati e le modifiche alle autorizzazioni. d. Determina che i seguenti eventi devono essere controllati all'interno del sistema informativo: [sottoinsieme definito dall'organizzazione degli eventi verificabili definiti in AU-2 a da sottoporre a controllo continuo per ogni evento identificato].

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
AU-2 (a) (d) L'organizzazione: a. Determina che il sistema informativo è in grado di controllare i seguenti eventi: Eventi di accesso agli account riusciti e non riusciti, eventi di gestione degli account, accesso agli oggetti, modifica dei criteri, funzioni di privilegi, monitoraggio dei processi ed eventi di sistema. Per le applicazioni Web: tutte le attività dell'amministratore, i controlli di autenticazione, i controlli di autorizzazione, l'eliminazione dei dati, l'accesso ai dati, le modifiche ai dati e le modifiche alle autorizzazioni. d. Determina che i seguenti eventi devono essere controllati all'interno del sistema informativo: [sottoinsieme definito dall'organizzazione degli eventi verificabili definiti in AU-2 a da sottoporre a controllo continuo per ogni evento identificato].

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono dettagli sull'attività delle chiamate API nell'account AWS.
AU-2 (a) (d) L'organizzazione: a. Determina che il sistema informativo è in grado di controllare i seguenti eventi: Eventi di accesso agli account riusciti e non riusciti, eventi di gestione degli account, accesso agli oggetti, modifica dei criteri, funzioni di privilegi, monitoraggio dei processi ed eventi di sistema. Per le applicazioni Web: tutte le attività dell'amministratore, i controlli di autenticazione, i controlli di autorizzazione, l'eliminazione dei dati, l'accesso ai dati, le modifiche ai dati e le modifiche alle autorizzazioni. d. Determina che i seguenti eventi devono essere controllati all'interno del sistema informativo: [sottoinsieme definito dall'organizzazione degli eventi verificabili definiti in AU-2 a da sottoporre a controllo continuo per ogni evento identificato].

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
AU-2 (a) (d) L'organizzazione: a. Determina che il sistema informativo è in grado di controllare i seguenti eventi: Eventi di accesso agli account riusciti e non riusciti, eventi di gestione degli account, accesso agli oggetti, modifica dei criteri, funzioni di privilegi, monitoraggio dei processi ed eventi di sistema. Per le applicazioni Web: tutte le attività dell'amministratore, i controlli di autenticazione, i controlli di autorizzazione, l'eliminazione dei dati, l'accesso ai dati, le modifiche ai dati e le modifiche alle autorizzazioni. d. Determina che i seguenti eventi devono essere controllati all'interno del sistema informativo: [sottoinsieme definito dall'organizzazione degli eventi verificabili definiti in AU-2 a da sottoporre a controllo continuo per ogni evento identificato].

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
AU-2 (a) (d) L'organizzazione: a. Determina che il sistema informativo è in grado di controllare i seguenti eventi: Eventi di accesso agli account riusciti e non riusciti, eventi di gestione degli account, accesso agli oggetti, modifica dei criteri, funzioni di privilegi, monitoraggio dei processi ed eventi di sistema. Per le applicazioni Web: tutte le attività dell'amministratore, i controlli di autenticazione, i controlli di autorizzazione, l'eliminazione dei dati, l'accesso ai dati, le modifiche ai dati e le modifiche alle autorizzazioni. d. Determina che i seguenti eventi devono essere controllati all'interno del sistema informativo: [sottoinsieme definito dall'organizzazione degli eventi verificabili definiti in AU-2 a da sottoporre a controllo continuo per ogni evento identificato].

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
AU-2 (a) (d) L'organizzazione: a. Determina che il sistema informativo è in grado di controllare i seguenti eventi: Eventi di accesso agli account riusciti e non riusciti, eventi di gestione degli account, accesso agli oggetti, modifica dei criteri, funzioni di privilegi, monitoraggio dei processi ed eventi di sistema. Per le applicazioni Web: tutte le attività dell'amministratore, i controlli di autenticazione, i controlli di autorizzazione, l'eliminazione dei dati, l'accesso ai dati, le modifiche ai dati e le modifiche alle autorizzazioni. d. Determina che i seguenti eventi devono essere controllati all'interno del sistema informativo: [sottoinsieme definito dall'organizzazione degli eventi verificabili definiti in AU-2 a da sottoporre a controllo continuo per ogni evento identificato].

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AU-2 (a) (d) L'organizzazione: a. Determina che il sistema informativo è in grado di controllare i seguenti eventi: Eventi di accesso agli account riusciti e non riusciti, eventi di gestione degli account, accesso agli oggetti, modifica dei criteri, funzioni di privilegi, monitoraggio dei processi ed eventi di sistema. Per le applicazioni Web: tutte le attività dell'amministratore, i controlli di autenticazione, i controlli di autorizzazione, l'eliminazione dei dati, l'accesso ai dati, le modifiche ai dati e le modifiche alle autorizzazioni. d. Determina che i seguenti eventi devono essere controllati all'interno del sistema informativo: [sottoinsieme definito dall'organizzazione degli eventi verificabili definiti in AU-2 a da sottoporre a controllo continuo per ogni evento identificato].

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
AU-2 (a) (d) L'organizzazione: a. Determina che il sistema informativo è in grado di controllare i seguenti eventi: Eventi di accesso agli account riusciti e non riusciti, eventi di gestione degli account, accesso agli oggetti, modifica dei criteri, funzioni di privilegi, monitoraggio dei processi ed eventi di sistema. Per le applicazioni Web: tutte le attività dell'amministratore, i controlli di autenticazione, i controlli di autorizzazione, l'eliminazione dei dati, l'accesso ai dati, le modifiche ai dati e le modifiche alle autorizzazioni. d. Determina che i seguenti eventi devono essere controllati all'interno del sistema informativo: [sottoinsieme definito dall'organizzazione degli eventi verificabili definiti in AU-2 a da sottoporre a controllo continuo per ogni evento identificato].

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP da e verso le interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita, il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
AU-3 Il sistema informativo genera record di audit contenenti informazioni che stabiliscono quale tipo di evento si è verificato, quando si è verificato l'evento, dove si è verificato l'evento, l'origine dell'evento, l'esito dell'evento e l'identità di qualsiasi individuo o soggetto associato all'evento.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
AU-3 Il sistema informativo genera record di audit contenenti informazioni che stabiliscono quale tipo di evento si è verificato, quando si è verificato l'evento, dove si è verificato l'evento, l'origine dell'evento, l'esito dell'evento e l'identità di qualsiasi individuo o soggetto associato all'evento.

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
AU-3 Il sistema informativo genera record di audit contenenti informazioni che stabiliscono quale tipo di evento si è verificato, quando si è verificato l'evento, dove si è verificato l'evento, l'origine dell'evento, l'esito dell'evento e l'identità di qualsiasi individuo o soggetto associato all'evento.

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta.
AU-3 Il sistema informativo genera record di audit contenenti informazioni che stabiliscono quale tipo di evento si è verificato, quando si è verificato l'evento, dove si è verificato l'evento, l'origine dell'evento, l'esito dell'evento e l'identità di qualsiasi individuo o soggetto associato all'evento.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
AU-3 Il sistema informativo genera record di audit contenenti informazioni che stabiliscono quale tipo di evento si è verificato, quando si è verificato l'evento, dove si è verificato l'evento, l'origine dell'evento, l'esito dell'evento e l'identità di qualsiasi individuo o soggetto associato all'evento.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono dettagli sull'attività delle chiamate API nell'account AWS.
AU-3 Il sistema informativo genera record di audit contenenti informazioni che stabiliscono quale tipo di evento si è verificato, quando si è verificato l'evento, dove si è verificato l'evento, l'origine dell'evento, l'esito dell'evento e l'identità di qualsiasi individuo o soggetto associato all'evento.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
AU-3 Il sistema informativo genera record di audit contenenti informazioni che stabiliscono quale tipo di evento si è verificato, quando si è verificato l'evento, dove si è verificato l'evento, l'origine dell'evento, l'esito dell'evento e l'identità di qualsiasi individuo o soggetto associato all'evento.

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
AU-3 Il sistema informativo genera record di audit contenenti informazioni che stabiliscono quale tipo di evento si è verificato, quando si è verificato l'evento, dove si è verificato l'evento, l'origine dell'evento, l'esito dell'evento e l'identità di qualsiasi individuo o soggetto associato all'evento.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
AU-3 Il sistema informativo genera record di audit contenenti informazioni che stabiliscono quale tipo di evento si è verificato, quando si è verificato l'evento, dove si è verificato l'evento, l'origine dell'evento, l'esito dell'evento e l'identità di qualsiasi individuo o soggetto associato all'evento.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AU-3 Il sistema informativo genera record di audit contenenti informazioni che stabiliscono quale tipo di evento si è verificato, quando si è verificato l'evento, dove si è verificato l'evento, l'origine dell'evento, l'esito dell'evento e l'identità di qualsiasi individuo o soggetto associato all'evento.

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
AU-3 Il sistema informativo genera record di audit contenenti informazioni che stabiliscono quale tipo di evento si è verificato, quando si è verificato l'evento, dove si è verificato l'evento, l'origine dell'evento, l'esito dell'evento e l'identità di qualsiasi individuo o soggetto associato all'evento.

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP da e verso le interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita, il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
AU-6 (1) (3) (1) L'organizzazione utilizza meccanismi automatizzati per integrare i processi di revisione, analisi e reporting degli audit per supportare i processi organizzativi per indagini e risposte a attività sospette. (3) L'organizzazione analizza e mette in correlazione i record di audit tra diversi repository per acquisire consapevolezza situazionale a livello di organizzazione.

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
AU-6 (1) (3) (1) L'organizzazione utilizza meccanismi automatizzati per integrare i processi di revisione, analisi e reporting degli audit per supportare i processi organizzativi per indagini e risposte a attività sospette. (3) L'organizzazione analizza e mette in correlazione i record di audit tra diversi repository per acquisire consapevolezza situazionale a livello di organizzazione.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
AU-6 (1) (3) (1) L'organizzazione utilizza meccanismi automatizzati per integrare i processi di revisione, analisi e reporting degli audit per supportare i processi organizzativi per indagini e risposte a attività sospette. (3) L'organizzazione analizza e mette in correlazione i record di audit tra diversi repository per acquisire consapevolezza situazionale a livello di organizzazione.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
AU-6 (1) (3) (1) L'organizzazione utilizza meccanismi automatizzati per integrare i processi di revisione, analisi e reporting degli audit per supportare i processi organizzativi per indagini e risposte a attività sospette. (3) L'organizzazione analizza e mette in correlazione i record di audit tra diversi repository per acquisire consapevolezza situazionale a livello di organizzazione.

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta.
AU-6 (1) (3) (1) L'organizzazione utilizza meccanismi automatizzati per integrare i processi di revisione, analisi e reporting degli audit per supportare i processi organizzativi per indagini e risposte a attività sospette. (3) L'organizzazione analizza e mette in correlazione i record di audit tra diversi repository per acquisire consapevolezza situazionale a livello di organizzazione.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
AU-6 (1) (3) (1) L'organizzazione utilizza meccanismi automatizzati per integrare i processi di revisione, analisi e reporting degli audit per supportare i processi organizzativi per indagini e risposte a attività sospette. (3) L'organizzazione analizza e mette in correlazione i record di audit tra diversi repository per acquisire consapevolezza situazionale a livello di organizzazione.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono dettagli sull'attività delle chiamate API nell'account AWS.
AU-6 (1) (3) (1) L'organizzazione utilizza meccanismi automatizzati per integrare i processi di revisione, analisi e reporting degli audit per supportare i processi organizzativi per indagini e risposte a attività sospette. (3) L'organizzazione analizza e mette in correlazione i record di audit tra diversi repository per acquisire consapevolezza situazionale a livello di organizzazione.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
AU-6 (1) (3) (1) L'organizzazione utilizza meccanismi automatizzati per integrare i processi di revisione, analisi e reporting degli audit per supportare i processi organizzativi per indagini e risposte a attività sospette. (3) L'organizzazione analizza e mette in correlazione i record di audit tra diversi repository per acquisire consapevolezza situazionale a livello di organizzazione.

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
AU-6 (1) (3) (1) L'organizzazione utilizza meccanismi automatizzati per integrare i processi di revisione, analisi e reporting degli audit per supportare i processi organizzativi per indagini e risposte a attività sospette. (3) L'organizzazione analizza e mette in correlazione i record di audit tra diversi repository per acquisire consapevolezza situazionale a livello di organizzazione.

cloudwatch-alarm-action-check

AmazonCloudWatchallarmi avvisi quando una parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionObbligatorio Config impostazione predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
AU-6 (1) (3) (1) L'organizzazione utilizza meccanismi automatizzati per integrare i processi di revisione, analisi e reporting degli audit per supportare i processi organizzativi per indagini e risposte a attività sospette. (3) L'organizzazione analizza e mette in correlazione i record di audit tra diversi repository per acquisire consapevolezza situazionale a livello di organizzazione.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
AU-6 (1) (3) (1) L'organizzazione utilizza meccanismi automatizzati per integrare i processi di revisione, analisi e reporting degli audit per supportare i processi organizzativi per indagini e risposte a attività sospette. (3) L'organizzazione analizza e mette in correlazione i record di audit tra diversi repository per acquisire consapevolezza situazionale a livello di organizzazione.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
AU-6 (1) (3) (1) L'organizzazione utilizza meccanismi automatizzati per integrare i processi di revisione, analisi e reporting degli audit per supportare i processi organizzativi per indagini e risposte a attività sospette. (3) L'organizzazione analizza e mette in correlazione i record di audit tra diversi repository per acquisire consapevolezza situazionale a livello di organizzazione.

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
AU-6 (1) (3) (1) L'organizzazione utilizza meccanismi automatizzati per integrare i processi di revisione, analisi e reporting degli audit per supportare i processi organizzativi per indagini e risposte a attività sospette. (3) L'organizzazione analizza e mette in correlazione i record di audit tra diversi repository per acquisire consapevolezza situazionale a livello di organizzazione.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AU-6 (1) (3) (1) L'organizzazione utilizza meccanismi automatizzati per integrare i processi di revisione, analisi e reporting degli audit per supportare i processi organizzativi per indagini e risposte a attività sospette. (3) L'organizzazione analizza e mette in correlazione i record di audit tra diversi repository per acquisire consapevolezza situazionale a livello di organizzazione.

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
AU-6 (1) (3) (1) L'organizzazione utilizza meccanismi automatizzati per integrare i processi di revisione, analisi e reporting degli audit per supportare i processi organizzativi per indagini e risposte a attività sospette. (3) L'organizzazione analizza e mette in correlazione i record di audit tra diversi repository per acquisire consapevolezza situazionale a livello di organizzazione.

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP da e verso le interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita, il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
AU-7 (1) Il sistema informativo fornisce la capacità di elaborare i record di audit per eventi di interesse in base a [Assegnazione: campi di controllo definiti dall'organizzazione all'interno dei record di audit].

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono dettagli sull'attività delle chiamate API nell'account AWS.
AU-7 (1) Il sistema informativo fornisce la capacità di elaborare i record di audit per eventi di interesse in base a [Assegnazione: campi di controllo definiti dall'organizzazione all'interno dei record di audit].

cloudwatch-alarm-action-check

AmazonCloudWatchallarmi avvisi quando una parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionObbligatorio Config impostazione predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
AU-9 Il sistema informativo protegge le informazioni di audit e gli strumenti di audit da accessi, modifiche e cancellazioni non autorizzati.

cloud-trail-encryption-enabled

Poiché potrebbero esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo AWSCloudTrailsentieri.
AU-9 Il sistema informativo protegge le informazioni di audit e gli strumenti di audit da accessi, modifiche e cancellazioni non autorizzati.

cloud-trail-log-file-validation-enabled

Utilizzo di AWSCloudTrailconvalida del file di log per verificare l'integrità diCloudTrailregistri. La convalida del file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o invariato dopoCloudTrailL'ha consegnato. Questa funzione è costruita utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende impossibile, a livello di programmazione, qualsiasi operazione di modifica, eliminazione o contraffazione dei file di log di CloudTrail senza che tale operazione venga rilevata.
AU-9 Il sistema informativo protegge le informazioni di audit e gli strumenti di audit da accessi, modifiche e cancellazioni non autorizzati.

cloudwatch-log-group-encrypted

Per proteggere i dati sensibili a riposo, assicurati che la crittografia sia abilitata per il tuo AmazonCloudWatchGruppi di log di.
AU-9 (2) Il sistema informativo esegue il backup dei record di audit almeno settimanalmente su un sistema o componente di sistema fisicamente diverso da quello del sistema o del componente sottoposto a controllo.

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire la disponibilità dei dati.
AU-9 (2) Il sistema informativo esegue il backup dei record di audit almeno settimanalmente su un sistema o componente di sistema fisicamente diverso da quello del sistema o del componente sottoposto a controllo.

s3-bucket-versioning-enabled

Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon Simple Storage Service (Amazon S3). Usa questa funzione per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni consente il semplice recupero dopo operazioni involontarie dell'utente e guasti dell'applicazione.
AU-11 L'organizzazione conserva i record di audit per almeno 90 giorni per fornire supportoafter-the-factindagini sugli incidenti di sicurezza e per soddisfare i requisiti normativi e organizzativi di conservazione delle informazioni.

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
AU-12 (a) (c) Il sistema informativo: a. Fornisce funzionalità di generazione di record di audit per gli eventi verificabili definiti in AU-2 a. in tutti i componenti del sistema informativo e della rete in cui è distribuita/disponibile la funzionalità di audit c. Genera i record di audit per gli eventi definiti in AU-2 d. con il contenuto definito in AU-3.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
AU-12 (a) (c) Il sistema informativo: a. Fornisce funzionalità di generazione di record di audit per gli eventi verificabili definiti in AU-2 a. in tutti i componenti del sistema informativo e della rete in cui è distribuita/disponibile la funzionalità di audit c. Genera i record di audit per gli eventi definiti in AU-2 d. con il contenuto definito in AU-3.

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
AU-12 (a) (c) Il sistema informativo: a. Fornisce funzionalità di generazione di record di audit per gli eventi verificabili definiti in AU-2 a. in tutti i componenti del sistema informativo e della rete in cui è distribuita/disponibile la funzionalità di audit c. Genera i record di audit per gli eventi definiti in AU-2 d. con il contenuto definito in AU-3.

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta.
AU-12 (a) (c) Il sistema informativo: a. Fornisce funzionalità di generazione di record di audit per gli eventi verificabili definiti in AU-2 a. in tutti i componenti del sistema informativo e della rete in cui è distribuita/disponibile la funzionalità di audit c. Genera i record di audit per gli eventi definiti in AU-2 d. con il contenuto definito in AU-3.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
AU-12 (a) (c) Il sistema informativo: a. Fornisce funzionalità di generazione di record di audit per gli eventi verificabili definiti in AU-2 a. in tutti i componenti del sistema informativo e della rete in cui è distribuita/disponibile la funzionalità di audit c. Genera i record di audit per gli eventi definiti in AU-2 d. con il contenuto definito in AU-3.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono dettagli sull'attività delle chiamate API nell'account AWS.
AU-12 (a) (c) Il sistema informativo: a. Fornisce funzionalità di generazione di record di audit per gli eventi verificabili definiti in AU-2 a. in tutti i componenti del sistema informativo e della rete in cui è distribuita/disponibile la funzionalità di audit c. Genera i record di audit per gli eventi definiti in AU-2 d. con il contenuto definito in AU-3.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
AU-12 (a) (c) Il sistema informativo: a. Fornisce funzionalità di generazione di record di audit per gli eventi verificabili definiti in AU-2 a. in tutti i componenti del sistema informativo e della rete in cui è distribuita/disponibile la funzionalità di audit c. Genera i record di audit per gli eventi definiti in AU-2 d. con il contenuto definito in AU-3.

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
AU-12 (a) (c) Il sistema informativo: a. Fornisce funzionalità di generazione di record di audit per gli eventi verificabili definiti in AU-2 a. in tutti i componenti del sistema informativo e della rete in cui è distribuita/disponibile la funzionalità di audit c. Genera i record di audit per gli eventi definiti in AU-2 d. con il contenuto definito in AU-3.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
AU-12 (a) (c) Il sistema informativo: a. Fornisce funzionalità di generazione di record di audit per gli eventi verificabili definiti in AU-2 a. in tutti i componenti del sistema informativo e della rete in cui è distribuita/disponibile la funzionalità di audit c. Genera i record di audit per gli eventi definiti in AU-2 d. con il contenuto definito in AU-3.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AU-12 (a) (c) Il sistema informativo: a. Fornisce funzionalità di generazione di record di audit per gli eventi verificabili definiti in AU-2 a. in tutti i componenti del sistema informativo e della rete in cui è distribuita/disponibile la funzionalità di audit c. Genera i record di audit per gli eventi definiti in AU-2 d. con il contenuto definito in AU-3.

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
AU-12 (a) (c) Il sistema informativo: a. Fornisce funzionalità di generazione di record di audit per gli eventi verificabili definiti in AU-2 a. in tutti i componenti del sistema informativo e della rete in cui è distribuita/disponibile la funzionalità di audit c. Genera i record di audit per gli eventi definiti in AU-2 d. con il contenuto definito in AU-3.

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP da e verso le interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita, il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
CA-7 (a) (b) L'organizzazione sviluppa una strategia di monitoraggio continuo e implementa un programma di monitoraggio continuo che include: a. Istituzione di [Assegnazione: metriche definite dall'organizzazione] da monitorare; b. Istituzione di [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per le valutazioni a supporto di tale monitoraggio

lambda-concurrency-check

Questa regola assicura che vengano stabiliti i limiti alti e bassi di concorrenza di una funzione Lambda. Ciò può aiutare a baseline il numero di richieste che la funzione sta elaborando in un dato momento.
CA-7 (a) (b) L'organizzazione sviluppa una strategia di monitoraggio continuo e implementa un programma di monitoraggio continuo che include: a. Istituzione di [Assegnazione: metriche definite dall'organizzazione] da monitorare; b. Istituzione di [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per le valutazioni a supporto di tale monitoraggio

lambda-dlq-check

Abilita questa regola per informare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione non è riuscita.
CA-7 (a) (b) L'organizzazione sviluppa una strategia di monitoraggio continuo e implementa un programma di monitoraggio continuo che include: a. Istituzione di [Assegnazione: metriche definite dall'organizzazione] da monitorare; b. Istituzione di [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per le valutazioni a supporto di tale monitoraggio

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
CA-7 (a) (b) L'organizzazione sviluppa una strategia di monitoraggio continuo e implementa un programma di monitoraggio continuo che include: a. Istituzione di [Assegnazione: metriche definite dall'organizzazione] da monitorare; b. Istituzione di [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per le valutazioni a supporto di tale monitoraggio

rds-enhanced-monitoring-enabled

È possibile attivare Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità di Amazon RDS. Ciò fornisce una visibilità dettagliata dello stato delle istanze di database Amazon RDS. Quando lo storage Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ciascun dispositivo. Inoltre, quando l'istanza del database Amazon RDS è in esecuzione in una distribuzione Multi-AZ, vengono raccolti i dati per ciascun dispositivo sull'host secondario e le metriche dell'host secondario.
CA-7 (a) (b) L'organizzazione sviluppa una strategia di monitoraggio continuo e implementa un programma di monitoraggio continuo che include: a. Istituzione di [Assegnazione: metriche definite dall'organizzazione] da monitorare; b. Istituzione di [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per le valutazioni a supporto di tale monitoraggio

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
CA-7 (a) (b) L'organizzazione sviluppa una strategia di monitoraggio continuo e implementa un programma di monitoraggio continuo che include: a. Istituzione di [Assegnazione: metriche definite dall'organizzazione] da monitorare; b. Istituzione di [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per le valutazioni a supporto di tale monitoraggio

autoscaling-group-elb-healthcheck-required

I controlli di integrità Elastic Load Balancer (ELB) per i gruppi Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) supportano il mantenimento di capacità e disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ping, effettua tentativi di connessione o invia richieste per testare l'integrità delle istanze Amazon EC2 in un gruppo di auto-scaling. Se un'istanza non viene segnalata, il traffico viene inviato a una nuova istanza Amazon EC2.
CA-7 (a) (b) L'organizzazione sviluppa una strategia di monitoraggio continuo e implementa un programma di monitoraggio continuo che include: a. Istituzione di [Assegnazione: metriche definite dall'organizzazione] da monitorare; b. Istituzione di [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per le valutazioni a supporto di tale monitoraggio

beanstalk-potenziato-health reporting-abilitato

AWS Elastic Beanstalk, il reporting dello stato avanzato consente una risposta più rapida ai cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione. Elastic Beanstalk migliorata segnalazione dello stato fornisce un descrittore di stato per valutare la gravità dei problemi identificati e identificare le possibili cause da indagare.
CA-7 (a) (b) L'organizzazione sviluppa una strategia di monitoraggio continuo e implementa un programma di monitoraggio continuo che include: a. Istituzione di [Assegnazione: metriche definite dall'organizzazione] da monitorare; b. Istituzione di [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per le valutazioni a supporto di tale monitoraggio

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
CA-7 (a) (b) L'organizzazione sviluppa una strategia di monitoraggio continuo e implementa un programma di monitoraggio continuo che include: a. Istituzione di [Assegnazione: metriche definite dall'organizzazione] da monitorare; b. Istituzione di [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per le valutazioni a supporto di tale monitoraggio

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
CA-7 (a) (b) L'organizzazione sviluppa una strategia di monitoraggio continuo e implementa un programma di monitoraggio continuo che include: a. Istituzione di [Assegnazione: metriche definite dall'organizzazione] da monitorare; b. Istituzione di [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per le valutazioni a supporto di tale monitoraggio

cloudwatch-alarm-action-check

AmazonCloudWatchallarmi avvisi quando una parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionObbligatorio Config impostazione predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
CA-7 (a) (b) L'organizzazione sviluppa una strategia di monitoraggio continuo e implementa un programma di monitoraggio continuo che include: a. Istituzione di [Assegnazione: metriche definite dall'organizzazione] da monitorare; b. Istituzione di [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per le valutazioni a supporto di tale monitoraggio

dynamodb-throughput-limit-check

Attiva questa regola per garantire che la capacità di throughput di provisioning sia controllata sulle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura/scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando il throughput si avvicina al limite massimo per l'account di un cliente. Questa regola permette l'impostazione facoltativa AccountRCU.ThresholdPercentage(Config Default: 80) e accountWCUThresholdPercentage(Config Default: 80) parametri. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
CA-7 (a) (b) L'organizzazione sviluppa una strategia di monitoraggio continuo e implementa un programma di monitoraggio continuo che include: a. Istituzione di [Assegnazione: metriche definite dall'organizzazione] da monitorare; b. Istituzione di [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per le valutazioni a supporto di tale monitoraggio

ec2-instance-detailed-monitoring-enabled

Abilita questa regola per migliorare il monitoraggio delle istanze Amazon Elastic Compute Cloud (Amazon EC2) sulla console Amazon EC2, che visualizza grafici di monitoraggio relativi all'istanza a intervalli di 1 minuto.
CA-7 (a) (b) L'organizzazione sviluppa una strategia di monitoraggio continuo e implementa un programma di monitoraggio continuo che include: a. Istituzione di [Assegnazione: metriche definite dall'organizzazione] da monitorare; b. Istituzione di [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per le valutazioni a supporto di tale monitoraggio

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
CA-7 (a) (b) L'organizzazione sviluppa una strategia di monitoraggio continuo e implementa un programma di monitoraggio continuo che include: a. Istituzione di [Assegnazione: metriche definite dall'organizzazione] da monitorare; b. Istituzione di [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per le valutazioni a supporto di tale monitoraggio

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
CM-2 L'organizzazione sviluppa, documenta e mantiene sotto controllo di configurazione, una configurazione di base corrente del sistema informativo.

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive nell'ambiente.
CM-2 L'organizzazione sviluppa, documenta e mantiene sotto controllo di configurazione, una configurazione di base corrente del sistema informativo.

api-gw-associato-con-waf

AWS WAF consente di configurare un set di regole (denominato lista di controllo accessi Web (Web ACL)) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite da te. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi
CM-2 L'organizzazione sviluppa, documenta e mantiene sotto controllo di configurazione, una configurazione di base corrente del sistema informativo.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
CM-2 L'organizzazione sviluppa, documenta e mantiene sotto controllo di configurazione, una configurazione di base corrente del sistema informativo.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
CM-2 L'organizzazione sviluppa, documenta e mantiene sotto controllo di configurazione, una configurazione di base corrente del sistema informativo.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
CM-2 L'organizzazione sviluppa, documenta e mantiene sotto controllo di configurazione, una configurazione di base corrente del sistema informativo.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
CM-2 L'organizzazione sviluppa, documenta e mantiene sotto controllo di configurazione, una configurazione di base corrente del sistema informativo.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchServizio (OpenSearchI domini di servizio) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizi e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
CM-2 L'organizzazione sviluppa, documenta e mantiene sotto controllo di configurazione, una configurazione di base corrente del sistema informativo.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
CM-2 L'organizzazione sviluppa, documenta e mantiene sotto controllo di configurazione, una configurazione di base corrente del sistema informativo.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Impedendo l'ingresso (o in remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle tue risorse aiuta a limitare l'accesso remoto.
CM-2 L'organizzazione sviluppa, documenta e mantiene sotto controllo di configurazione, una configurazione di base corrente del sistema informativo.

ec2-instances-in-vpc

Distribuisci le istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
CM-2 L'organizzazione sviluppa, documenta e mantiene sotto controllo di configurazione, una configurazione di base corrente del sistema informativo.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
CM-2 L'organizzazione sviluppa, documenta e mantiene sotto controllo di configurazione, una configurazione di base corrente del sistema informativo.

lambda-inside-vpc

Distribuisci le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi nel VPC Amazon. Con questa configurazione, non hai bisogno di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
CM-2 L'organizzazione sviluppa, documenta e mantiene sotto controllo di configurazione, una configurazione di base corrente del sistema informativo.

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
CM-2 L'organizzazione sviluppa, documenta e mantiene sotto controllo di configurazione, una configurazione di base corrente del sistema informativo.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
CM-2 L'organizzazione sviluppa, documenta e mantiene sotto controllo di configurazione, una configurazione di base corrente del sistema informativo.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
CM-2 L'organizzazione sviluppa, documenta e mantiene sotto controllo di configurazione, una configurazione di base corrente del sistema informativo.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
CM-2 L'organizzazione sviluppa, documenta e mantiene sotto controllo di configurazione, una configurazione di base corrente del sistema informativo.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
CM-2 L'organizzazione sviluppa, documenta e mantiene sotto controllo di configurazione, una configurazione di base corrente del sistema informativo.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo l'accesso a bucket Amazon Simple Storage Service (Amazon S3) solo a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
CM-2 L'organizzazione sviluppa, documenta e mantiene sotto controllo di configurazione, una configurazione di base corrente del sistema informativo.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo l'accesso a bucket Amazon Simple Storage Service (Amazon S3) solo a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
CM-2 L'organizzazione sviluppa, documenta e mantiene sotto controllo di configurazione, una configurazione di base corrente del sistema informativo.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
CM-2 L'organizzazione sviluppa, documenta e mantiene sotto controllo di configurazione, una configurazione di base corrente del sistema informativo.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita alle risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
CM-2 L'organizzazione sviluppa, documenta e mantiene sotto controllo di configurazione, una configurazione di base corrente del sistema informativo.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i Gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
CM-2 L'organizzazione sviluppa, documenta e mantiene sotto controllo di configurazione, una configurazione di base corrente del sistema informativo.

ec2-instance-managed-by-systems-manager

Puoi inventare le piattaforme software e le applicazioni nell'organizzazione gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
CM-2 L'organizzazione sviluppa, documenta e mantiene sotto controllo di configurazione, una configurazione di base corrente del sistema informativo.

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
CM-2 L'organizzazione sviluppa, documenta e mantiene sotto controllo di configurazione, una configurazione di base corrente del sistema informativo.

ec2-stopped-instance

Attiva questa regola per aiutare con la configurazione di base delle istanze Amazon Elastic Compute Cloud (Amazon EC2) verificando se le istanze Amazon EC2 sono state arrestate per più del numero consentito di giorni, in base agli standard dell'organizzazione.
CM-2 L'organizzazione sviluppa, documenta e mantiene sotto controllo di configurazione, una configurazione di base corrente del sistema informativo.

ec2-volume-inuse-check

Questa regola garantisce che i volumi Amazon Elastic Block Store collegati alle istanze Amazon Elastic Compute Cloud (Amazon EC2) siano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegata è terminata, potrebbe violare il concetto di funzionalità minima.
CM-2 L'organizzazione sviluppa, documenta e mantiene sotto controllo di configurazione, una configurazione di base corrente del sistema informativo.

elb-deletion-protection-enabled

Questa regola garantisce che Elastic Load Balancing abbia la protezione da eliminazione abilitata. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni.
CM-2 L'organizzazione sviluppa, documenta e mantiene sotto controllo di configurazione, una configurazione di base corrente del sistema informativo.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
CM-2 L'organizzazione sviluppa, documenta e mantiene sotto controllo di configurazione, una configurazione di base corrente del sistema informativo.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
CM-2 L'organizzazione sviluppa, documenta e mantiene sotto controllo di configurazione, una configurazione di base corrente del sistema informativo.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
CM-7 (a) L'organizzazione: a. Configura il sistema informativo per fornire solo funzionalità essenziali.

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può aiutare nella gestione dei privilegi e delle autorizzazioni minimi.
CM-7 (a) L'organizzazione: a. Configura il sistema informativo per fornire solo funzionalità essenziali.

ec2-instance-managed-by-systems-manager

Puoi inventare le piattaforme software e le applicazioni nell'organizzazione gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
CM-7 (a) L'organizzazione: a. Configura il sistema informativo per fornire solo funzionalità essenziali.

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
CM-8 (1) L'organizzazione aggiorna l'inventario dei componenti del sistema informativo come parte integrante delle installazioni dei componenti, delle rimozioni e degli aggiornamenti del sistema informativo.

ec2-instance-managed-by-systems-manager

Puoi inventare le piattaforme software e le applicazioni nell'organizzazione gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
CM-8 (1) L'organizzazione aggiorna l'inventario dei componenti del sistema informativo come parte integrante delle installazioni dei componenti, delle rimozioni e degli aggiornamenti del sistema informativo.

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
CM-8 (3) (a) L'organizzazione: a. Utilizza meccanismi automatizzati in modo continuo, utilizzando meccanismi automatizzati con un ritardo massimo di cinque minuti nel rilevamento, per rilevare la presenza di componenti hardware, software e firmware non autorizzati all'interno del sistema informativo

ec2-instance-managed-by-systems-manager

Puoi inventare le piattaforme software e le applicazioni nell'organizzazione gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
CM-8 (3) (a) L'organizzazione: a. Utilizza meccanismi automatizzati in modo continuo, utilizzando meccanismi automatizzati con un ritardo massimo di cinque minuti nel rilevamento, per rilevare la presenza di componenti hardware, software e firmware non autorizzati all'interno del sistema informativo

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
CM-8 (3) (a) L'organizzazione: a. Utilizza meccanismi automatizzati in modo continuo, utilizzando meccanismi automatizzati con un ritardo massimo di cinque minuti nel rilevamento, per rilevare la presenza di componenti hardware, software e firmware non autorizzati all'interno del sistema informativo

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutare con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
CM-8 (3) (a) L'organizzazione: a. Utilizza meccanismi automatizzati in modo continuo, utilizzando meccanismi automatizzati con un ritardo massimo di cinque minuti nel rilevamento, per rilevare la presenza di componenti hardware, software e firmware non autorizzati all'interno del sistema informativo

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
CP-2 L'organizzazione: a. Sviluppa un piano di emergenza per il sistema informativo che: 1. Identifica le missioni essenziali e le funzioni aziendali e i requisiti di emergenza associati; 2. Fornisce obiettivi di ripristino, priorità di ripristino e metriche; 3. Affronta ruoli di emergenza, responsabilità, persone assegnate con informazioni di contatto; 4. Affronta il mantenimento di missioni essenziali e funzioni aziendali nonostante interruzioni, compromessi o guasti del sistema informativo; 5. Affronta l'eventuale ripristino completo del sistema informativo senza deterioramento delle garanzie di sicurezza originariamente pianificate e implementate; e 6. È esaminato e approvato da [Assegnazione: personale o ruoli definiti dall'organizzazione]; b. Distribuisce copie del piano di emergenza a [Assegnazione: personale di emergenza chiave definito dall'organizzazione (identificato per nome e/o ruolo) ed elementi organizzativi]; c. Coordina le attività di pianificazione di emergenza con le attività di gestione degli incidenti; d. Rivede il piano di emergenza per il sistema informativo [Assegnazione: frequenza definita dall'organizzazione]; e. Aggiorna il piano di emergenza per affrontare le modifiche all'organizzazione, al sistema informativo o all'ambiente di funzionamento e i problemi riscontrati durante l'implementazione, l'esecuzione o il test del piano di emergenza; f. Comunica le modifiche del piano di emergenza a [Assegnazione: personale di emergenza chiave definito dall'organizzazione (identificato per nome e/o ruolo) e elementi organizzativi]; e g. Protegge il piano di emergenza da divulgazioni e modifiche non autorizzate. response-plan-exists-mantenuto (controllo del processo) Assicurarsi che i piani di risposta agli incidenti siano stabiliti, mantenuti e distribuiti al personale responsabile.
CP-4 L'organizzazione: a. Verifica il piano di emergenza per il sistema informativo [Assegnazione: frequenza definita dall'organizzazione] utilizzando [Assegnazione: test definiti dall'organizzazione] per determinare l'efficacia del piano e la disponibilità organizzativa per l'esecuzione del piano; b. Esame dei risultati dei test del piano di emergenza; e c. Avvia azioni correttive, se necessario. response-plan-tested(verifica del processo) Assicurati che i piani di risposta agli incidenti e ripristino siano testati. Ciò può aiutare a capire se il piano sarà efficace durante un incidente e se è necessario risolvere eventuali lacune o aggiornamenti.
CP-9 (b) L'organizzazione: b. Esegue backup delle informazioni a livello di sistema contenute nel sistema informativo (incrementale giornaliero; completo settimanale).

aurora-risorse-protected-by-backup-plan

Per aiutarti con i processi di backup dei dati, assicurati che le tue risorse Amazon Aurora facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
CP-9 (b) L'organizzazione: b. Esegue backup delle informazioni a livello di sistema contenute nel sistema informativo (incrementale giornaliero; completo settimanale).

controllo di backup-plan-min-frequency-and-min-retention

Per aiutare con i processi di backup dei dati, assicurati che il piano AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi di conformità dei backup. Questa regola permette l'impostazionerequiredFrequencyValue(impostazione predefinita di Config: 1),requiredRetentionDays(impostazione predefinita di Config: 35) erequiredFrequencyUnit(Config default: giorni) parametri. Il valore effettivo dovrebbe riflettere i requisiti della tua organizzazione.
CP-9 (b) L'organizzazione: b. Esegue backup delle informazioni a livello di sistema contenute nel sistema informativo (incrementale giornaliero; completo settimanale).

dynamodb-risorse-protected-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le risorse Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi di conformità dei backup.
CP-9 (b) L'organizzazione: b. Esegue backup delle informazioni a livello di sistema contenute nel sistema informativo (incrementale giornaliero; completo settimanale).

ebs-resources-protected-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le risorse Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi di conformità dei backup.
CP-9 (b) L'organizzazione: b. Esegue backup delle informazioni a livello di sistema contenute nel sistema informativo (incrementale giornaliero; completo settimanale).

ec2-Resources-protectd-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le risorse Amazon Elastic Compute Cloud (Amazon EC2) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi di conformità dei backup.
CP-9 (b) L'organizzazione: b. Esegue backup delle informazioni a livello di sistema contenute nel sistema informativo (incrementale giornaliero; completo settimanale).

efs-resources-protected-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi di conformità dei backup.
CP-9 (b) L'organizzazione: b. Esegue backup delle informazioni a livello di sistema contenute nel sistema informativo (incrementale giornaliero; completo settimanale).

fsx-resources-protected-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon FSx facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi di conformità dei backup.
CP-9 (b) L'organizzazione: b. Esegue backup delle informazioni a livello di sistema contenute nel sistema informativo (incrementale giornaliero; completo settimanale).

rds-resources-protected-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le risorse Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi di conformità dei backup.
CP-9 (b) L'organizzazione: b. Esegue backup delle informazioni a livello di sistema contenute nel sistema informativo (incrementale giornaliero; completo settimanale).

redshift-backup-enabled

Per aiutare con i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB di modifiche dei dati per nodo, a seconda della condizione che si verifica per prima.
CP-9 (b) L'organizzazione: b. Esegue backup delle informazioni a livello di sistema contenute nel sistema informativo (incrementale giornaliero; completo settimanale).

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea automaticamente una snapshot dei volumi di storage dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
CP-9 (b) L'organizzazione: b. Esegue backup delle informazioni a livello di sistema contenute nel sistema informativo (incrementale giornaliero; completo settimanale).

dynamodb-pitr-enabled

Abilitare questa regola per verificare che le informazioni siano state eseguite il backup. Mantiene inoltre i backup garantendo chepoint-in-timeIl ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
CP-9 (b) L'organizzazione: b. Esegue backup delle informazioni a livello di sistema contenute nel sistema informativo (incrementale giornaliero; completo settimanale).

elasticache-redis-cluster-automatic-backup-check

Quando i backup automatici sono abilitati, AmazonElastiCachecrea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. In caso di esito negativo, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente.
CP-9 (b) L'organizzazione: b. Esegue backup delle informazioni a livello di sistema contenute nel sistema informativo (incrementale giornaliero; completo settimanale).

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
CP-9 (b) L'organizzazione: b. Esegue backup delle informazioni a livello di sistema contenute nel sistema informativo (incrementale giornaliero; completo settimanale).

s3-bucket-versioning-enabled

Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon Simple Storage Service (Amazon S3). Usa questa funzione per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni consente il semplice recupero dopo operazioni involontarie dell'utente e guasti dell'applicazione.
CP-10 L'organizzazione prevede il recupero e la ricostituzione del sistema informativo in uno stato noto dopo un'interruzione, un compromesso o un fallimento.

aurora-risorse-protected-by-backup-plan

Per aiutarti con i processi di backup dei dati, assicurati che le tue risorse Amazon Aurora facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi di conformità dei backup.
CP-10 L'organizzazione prevede il recupero e la ricostituzione del sistema informativo in uno stato noto dopo un'interruzione, un compromesso o un fallimento.

controllo di backup-plan-min-frequency-and-min-retention

Per aiutare con i processi di backup dei dati, assicurati che il piano AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi di conformità dei backup. Questa regola permette l'impostazionerequiredFrequencyValue(impostazione predefinita di Config: 1),requiredRetentionDays(impostazione predefinita di Config: 35) erequiredFrequencyUnit(Config default: giorni) parametri. Il valore effettivo dovrebbe riflettere i requisiti della tua organizzazione.
CP-10 L'organizzazione prevede il recupero e la ricostituzione del sistema informativo in uno stato noto dopo un'interruzione, un compromesso o un fallimento.

dynamodb-risorse-protected-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le risorse Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi di conformità dei backup.
CP-10 L'organizzazione prevede il recupero e la ricostituzione del sistema informativo in uno stato noto dopo un'interruzione, un compromesso o un fallimento.

ebs-resources-protected-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le risorse Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi di conformità dei backup.
CP-10 L'organizzazione prevede il recupero e la ricostituzione del sistema informativo in uno stato noto dopo un'interruzione, un compromesso o un fallimento.

ec2-Resources-protectd-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le risorse Amazon Elastic Compute Cloud (Amazon EC2) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi di conformità dei backup.
CP-10 L'organizzazione prevede il recupero e la ricostituzione del sistema informativo in uno stato noto dopo un'interruzione, un compromesso o un fallimento.

efs-resources-protected-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi di conformità dei backup.
CP-10 L'organizzazione prevede il recupero e la ricostituzione del sistema informativo in uno stato noto dopo un'interruzione, un compromesso o un fallimento.

elb-cross-zone-load-balancing-abilitato

Abilita il bilanciamento del carico tra zone per i tuoi Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il sistema di bilanciamento del carico tra zone riduce la necessità di mantenere un numero equivalente di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora la capacità dell'applicazione di gestire la perdita di una o più istanze.
CP-10 L'organizzazione prevede il recupero e la ricostituzione del sistema informativo in uno stato noto dopo un'interruzione, un compromesso o un fallimento.

fsx-resources-protected-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon FSx facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi di conformità dei backup.
CP-10 L'organizzazione prevede il recupero e la ricostituzione del sistema informativo in uno stato noto dopo un'interruzione, un compromesso o un fallimento.

rds-resources-protected-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le risorse Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi di conformità dei backup.
CP-10 L'organizzazione prevede il recupero e la ricostituzione del sistema informativo in uno stato noto dopo un'interruzione, un compromesso o un fallimento.

redshift-backup-enabled

Per aiutare con i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB di modifiche dei dati per nodo, a seconda della condizione che si verifica per prima.
CP-10 L'organizzazione prevede il recupero e la ricostituzione del sistema informativo in uno stato noto dopo un'interruzione, un compromesso o un fallimento.

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea automaticamente una snapshot dei volumi di storage dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
CP-10 L'organizzazione prevede il recupero e la ricostituzione del sistema informativo in uno stato noto dopo un'interruzione, un compromesso o un fallimento.

dynamodb-autoscaling-enabled

La scalabilità automatica di Amazon DynamoDB utilizza il servizio AWS Application Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In questo modo una tabella o un indice secondario globale può aumentare la capacità di lettura/scrittura assegnata per gestire improvvisi aumenti di traffico, senza throttling.
CP-10 L'organizzazione prevede il recupero e la ricostituzione del sistema informativo in uno stato noto dopo un'interruzione, un compromesso o un fallimento.

dynamodb-pitr-enabled

Abilitare questa regola per verificare che le informazioni siano state eseguite il backup. Mantiene inoltre i backup garantendo chepoint-in-timeIl ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
CP-10 L'organizzazione prevede il recupero e la ricostituzione del sistema informativo in uno stato noto dopo un'interruzione, un compromesso o un fallimento.

ebs-optimized-instance

Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) fornisce capacità aggiuntiva dedicata per le operazioni di I/O Amazon EBS. Questa ottimizzazione offre le prestazioni più efficienti per i volumi EBS, riducendo al minimo i conflitti tra le operazioni di I/O Amazon EBS e l'altro traffico proveniente dall'istanza.
CP-10 L'organizzazione prevede il recupero e la ricostituzione del sistema informativo in uno stato noto dopo un'interruzione, un compromesso o un fallimento.

elasticache-redis-cluster-automatic-backup-check

Quando i backup automatici sono abilitati, AmazonElastiCachecrea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. In caso di esito negativo, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente.
CP-10 L'organizzazione prevede il recupero e la ricostituzione del sistema informativo in uno stato noto dopo un'interruzione, un compromesso o un fallimento.

elb-deletion-protection-enabled

Questa regola garantisce che Elastic Load Balancing abbia la protezione da eliminazione abilitata. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni.
CP-10 L'organizzazione prevede il recupero e la ricostituzione del sistema informativo in uno stato noto dopo un'interruzione, un compromesso o un fallimento.

rds-multi-az-support

Il supporto Multi-AZ in Amazon Relational Database Service (Amazon RDS) fornisce una maggiore disponibilità e durata per le istanze di database. Quando esegui il provisioning di un'istanza di database Multi-AZ, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati in un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura fisica, distinta e indipendente ed è progettata in modo da essere altamente affidabili. In caso di guasto all'infrastruttura, Amazon RDS esegue un failover automatico sullo standby in modo da poter riprendere le operazioni del database non appena il failover è stato completato.
CP-10 L'organizzazione prevede il recupero e la ricostituzione del sistema informativo in uno stato noto dopo un'interruzione, un compromesso o un fallimento.

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
CP-10 L'organizzazione prevede il recupero e la ricostituzione del sistema informativo in uno stato noto dopo un'interruzione, un compromesso o un fallimento.

s3-bucket-versioning-enabled

Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon Simple Storage Service (Amazon S3). Usa questa funzione per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni consente il semplice recupero dopo operazioni involontarie dell'utente e guasti dell'applicazione.
CP-10 L'organizzazione prevede il recupero e la ricostituzione del sistema informativo in uno stato noto dopo un'interruzione, un compromesso o un fallimento.

vpc-vpn-2-tunnels-up

È possibile implementare tunnel Site-to-Site VPN per ottenere requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso una delle connessioni Site-to-Site VPN non sia disponibile. Per evitare la perdita di connettività, nel caso in cui il gateway del cliente non sia disponibile, puoi configurare una seconda connessione Site-to-Site VPN al gateway virtuale privato Amazon utilizzando un secondo gateway del cliente.
IA-2 Il sistema informativo identifica e autentica in modo univoco gli utenti organizzativi (o i processi che agiscono per conto degli utenti organizzativi).

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativa.RequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
IA-2 Il sistema informativo identifica e autentica in modo univoco gli utenti organizzativi (o i processi che agiscono per conto degli utenti organizzativi).

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
IA-2 (1) (1) Il sistema informativo implementa l'autenticazione multifattore per l'accesso alla rete agli account privilegiati.

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce l'abilitazione a più fattori (MFA) per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
IA-2 (1) (1) Il sistema informativo implementa l'autenticazione multifattore per l'accesso alla rete agli account privilegiati.

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
IA-2 (1) (1) Il sistema informativo implementa l'autenticazione multifattore per l'accesso alla rete agli account privilegiati.

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
IA-2 (1) (1) Il sistema informativo implementa l'autenticazione multifattore per l'accesso alla rete agli account privilegiati.

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
IA-2 (1) (2) (1) Il sistema informativo implementa l'autenticazione multifattore per l'accesso alla rete agli account privilegiati. (2) Il sistema informativo implementa l'autenticazione multifattore per l'accesso alla rete agli account non privilegiati.

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
IA-2 (1) (2) (1) Il sistema informativo implementa l'autenticazione multifattore per l'accesso alla rete agli account privilegiati. (2) Il sistema informativo implementa l'autenticazione multifattore per l'accesso alla rete agli account non privilegiati.

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce l'abilitazione a più fattori (MFA) per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
IA-2 (1) (2) (1) Il sistema informativo implementa l'autenticazione multifattore per l'accesso alla rete agli account privilegiati. (2) Il sistema informativo implementa l'autenticazione multifattore per l'accesso alla rete agli account non privilegiati.

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
IA-2 (1) (2) (1) Il sistema informativo implementa l'autenticazione multifattore per l'accesso alla rete agli account privilegiati. (2) Il sistema informativo implementa l'autenticazione multifattore per l'accesso alla rete agli account non privilegiati.

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
IA-5, paragrafo 1, lettera a) d) (e) Il sistema informativo, per l'autenticazione basata su password: a. Applica la complessità minima della password di [Assegnazione: requisiti definiti dall'organizzazione per la distinzione tra maiuscole e minuscole, numero di caratteri, combinazione di lettere maiuscole, lettere minuscole, numeri e caratteri speciali, inclusi i requisiti minimi per ogni tipo]; d. Applica restrizioni minime e massime della password di [Assegnazione: numeri definiti dall'organizzazione per la durata minima, durata massima]; e. Proibisce il riutilizzo della password per 24 generazioni

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativa.RequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
IA-5 (4) L'organizzazione utilizza strumenti automatizzati per determinare se gli autenticatori di password sono sufficientemente affidabili da soddisfare [Assegnazione: requisiti definiti dall'organizzazione].

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativa.RequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
IA-5 (7) L'organizzazione garantisce che gli autenticatori statici non crittografati non siano incorporati in applicazioni o script di accesso o memorizzati nei tasti funzione.

codebuild-project-envvar-awscred-check

Assicurati che le credenziali di autenticazione AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY non siano presenti negli ambienti di progetto AWS Codebuild. Non memorizzare queste variabili in testo chiaro. L'archiviazione di queste variabili in testo non crittografato comporta l'esposizione non intenzionale dei dati e l'accesso non autorizzato.
IR-4 (1) L'organizzazione utilizza meccanismi automatizzati per supportare il processo di gestione degli incidenti.

autoscaling-group-elb-healthcheck-required

I controlli di integrità Elastic Load Balancer (ELB) per i gruppi Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) supportano il mantenimento di capacità e disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ping, effettua tentativi di connessione o invia richieste per testare l'integrità delle istanze Amazon EC2 in un gruppo di auto-scaling. Se un'istanza non viene segnalata, il traffico viene inviato a una nuova istanza Amazon EC2.
IR-4 (1) L'organizzazione utilizza meccanismi automatizzati per supportare il processo di gestione degli incidenti.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
IR-4 (1) L'organizzazione utilizza meccanismi automatizzati per supportare il processo di gestione degli incidenti.

guardduty-non-archived-findings

AmazonGuardDutyaiuta a comprendere l'impatto di un incidente classificando i risultati per gravità: bassa, media e alta. È possibile utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola permette l'impostazione facoltativadaysLowSev(Config Default: 30),daysMediumSev(Config Default: 7) edaysHighSev(Config Predefinito: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione.
IR-4 (1) L'organizzazione utilizza meccanismi automatizzati per supportare il processo di gestione degli incidenti.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
IR-4 (1) L'organizzazione utilizza meccanismi automatizzati per supportare il processo di gestione degli incidenti.

cloudwatch-alarm-action-check

AmazonCloudWatchallarmi avvisi quando una parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionObbligatorio Config impostazione predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
IR-6 (1) L'organizzazione utilizza meccanismi automatizzati per assistere nella segnalazione di incidenti di sicurezza.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
IR-6 (1) L'organizzazione utilizza meccanismi automatizzati per assistere nella segnalazione di incidenti di sicurezza.

guardduty-non-archived-findings

AmazonGuardDutyaiuta a comprendere l'impatto di un incidente classificando i risultati per gravità: bassa, media e alta. È possibile utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola permette l'impostazione facoltativadaysLowSev(Config Default: 30),daysMediumSev(Config Default: 7) edaysHighSev(Config Predefinito: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione.
IR-6 (1) L'organizzazione utilizza meccanismi automatizzati per assistere nella segnalazione di incidenti di sicurezza.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
IR-7 (1) L'organizzazione utilizza meccanismi automatizzati per aumentare la disponibilità di informazioni e supporto relativi alle risposte agli incidenti.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
IR-7 (1) L'organizzazione utilizza meccanismi automatizzati per aumentare la disponibilità di informazioni e supporto relativi alle risposte agli incidenti.

guardduty-non-archived-findings

AmazonGuardDutyaiuta a comprendere l'impatto di un incidente classificando i risultati per gravità: bassa, media e alta. È possibile utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola permette l'impostazione facoltativadaysLowSev(Config Default: 30),daysMediumSev(Config Default: 7) edaysHighSev(Config Predefinito: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione.
IR-7 (1) L'organizzazione utilizza meccanismi automatizzati per aumentare la disponibilità di informazioni e supporto relativi alle risposte agli incidenti.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
RA-3 L'organizzazione: a. Conduce una valutazione del rischio, compresa la probabilità e l'entità del danno, derivanti dall'accesso non autorizzato, dall'uso, dalla divulgazione, dall'interruzione, dalla modifica o dalla distruzione del sistema informativo e delle informazioni che elabora, memorizza o trasmette; b. Documenta i risultati della valutazione del rischio in [Selezione: piano di sicurezza; rapporto di valutazione del rischio; [Assegnazione: documento definito dall'organizzazione]]; c. Revisione dei risultati della valutazione del rischio [Assegnazione: frequenza definita dall'organizzazione]; d. Diffonde i risultati della valutazione del rischio a [Assegnazione: personale o ruoli definiti dall'organizzazione]; ed e. Aggiorna la valutazione del rischio [Assegnazione: frequenza definita dall'organizzazione] o ogni volta che vi siano modifiche significative al sistema informativo o all'ambiente operativo (compresa l'identificazione di nuove minacce e vulnerabilità) o altre condizioni che possono influire sullo stato di sicurezza del sistema. annual-risk-assessment-eseguito (controllo del processo) Esegui una valutazione annuale del rischio sulla tua organizzazione. Le valutazioni dei rischi possono aiutare a determinare la probabilità e l'impatto dei rischi e/o delle vulnerabilità identificati che interessano un'organizzazione.
RA-5 L'organizzazione: a. Esegue la ricerca di vulnerabilità nel sistema informativo e nelle applicazioni ospitate mensilmente [sistema operativo/infrastruttura; applicazioni Web mensili e database] e quando vengono identificate e segnalate nuove vulnerabilità che potenzialmente influenzano il sistema/le applicazioni; b. Utilizza strumenti e tecniche di scansione delle vulnerabilità che facilitano l'interoperabilità tra gli strumenti e automatizzano parti del processo di gestione delle vulnerabilità utilizzando standard per: 1. Enumerazione di piattaforme, difetti software e configurazioni improprie; 2. Formattazione di liste di controllo e procedure di test e 3. Misurazione dell'impatto sulla vulnerabilità; c. Analizza i report di scansione delle vulnerabilità e i risultati delle valutazioni del controllo di sicurezza; d. Risolve le vulnerabilità legittime: vulnerabilità ad alto rischio mitigate entro trenta (30) giorni dalla data di scoperta; vulnerabilità a rischio moderato mitigate entro novanta (90) giorni dalla data di scoperta; vulnerabilità a basso rischio mitigate entro centottanta (180) giorni dalla data di scoperta, in conformità con una valutazione organizzativa del rischio; e. Condivide le informazioni ottenute dal processo di scansione delle vulnerabilità e dalle valutazioni del controllo della sicurezza con [Assegnazione: personale o ruoli definiti dall'organizzazione] per aiutare a eliminare vulnerabilità simili in altri sistemi informativi (ad esempio, debolezze o carenze sistemiche).

guardduty-non-archived-findings

AmazonGuardDutyaiuta a comprendere l'impatto di un incidente classificando i risultati per gravità: bassa, media e alta. È possibile utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola permette l'impostazione facoltativadaysLowSev(Config Default: 30),daysMediumSev(Config Default: 7) edaysHighSev(Config Predefinito: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione.
RA-5 L'organizzazione: a. Scansione alla ricerca di vulnerabilità nel sistema informativo e nelle applicazioni ospitate [Assegnazione: frequenza definita dall'organizzazione e/o in modo casuale secondo il processo definito dall'organizzazione] e quando vengono identificate e segnalate nuove vulnerabilità che potenzialmente influenzano il sistema/le applicazioni; b. Utilizza strumenti e tecniche di scansione delle vulnerabilità che facilitano l'interoperabilità tra gli strumenti e automatizzano parti del processo di gestione delle vulnerabilità utilizzando standard per: 1. Enumerazione di piattaforme, difetti software e configurazioni improprie; 2. Formattazione di liste di controllo e procedure di test e 3. Misurazione dell'impatto sulla vulnerabilità; c. Analizza i report di scansione delle vulnerabilità e i risultati delle valutazioni del controllo di sicurezza; d. Risolve le vulnerabilità legittime [Assegnazione: tempi di risposta definiti dall'organizzazione], in conformità con una valutazione organizzativa del rischio; ed e. Condivide le informazioni ottenute dal processo di scansione delle vulnerabilità e dalle valutazioni del controllo della sicurezza con [Assegnazione: personale o ruoli definiti dall'organizzazione] per aiutare a eliminare vulnerabilità simili in altri sistemi informativi (ad esempio, debolezze o carenze sistemiche).

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
SA-3 (a) L'organizzazione: a. Gestisce il sistema informativo utilizzando [Assignment: ciclo di vita di sviluppo del sistema definito dall'organizzazione] che incorpora considerazioni sulla sicurezza delle informazioni.

codebuild-project-envvar-awscred-check

Assicurati che le credenziali di autenticazione AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY non siano presenti negli ambienti di progetto AWS Codebuild. Non memorizzare queste variabili in testo chiaro. L'archiviazione di queste variabili in testo non crittografato comporta l'esposizione non intenzionale dei dati e l'accesso non autorizzato.
SA-3 (a) L'organizzazione: a. Gestisce il sistema informativo utilizzando [Assignment: ciclo di vita di sviluppo del sistema definito dall'organizzazione] che incorpora considerazioni sulla sicurezza delle informazioni.

codebuild-project-source-repo-url-check

Garantire ilGitHubo l'URL del repository sorgente Bitbucket non contiene token di accesso personali, nome utente e password negli ambienti di progetto AWS Codebuild. Utilizzare OAuth anziché token di accesso personali o un nome utente e una password per concedere l'autorizzazione per accedereGitHubo repository Bitbucket.
SA-3 (a) L'organizzazione: a. Gestisce il sistema informativo utilizzando [Assignment: ciclo di vita di sviluppo del sistema definito dall'organizzazione] che incorpora considerazioni sulla sicurezza delle informazioni.

ec2-instance-managed-by-systems-manager

Puoi inventare le piattaforme software e le applicazioni nell'organizzazione gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
SA-10 L'organizzazione richiede allo sviluppatore del sistema informativo, del componente di sistema o del servizio del sistema informativo: a. Eseguire la gestione della configurazione durante lo sviluppo, l'implementazione e il funzionamento di sistema, componenti o servizi; b. Documentare, gestire e controllare l'integrità delle modifiche apportate a [Assegnazione: elementi di configurazione definiti dall'organizzazione in gestione della configurazione]; c. Implementare solo le modifiche approvate dall'organizzazione al sistema, al componente o al servizio; d. Documentare le modifiche approvate al sistema, al componente o al servizio e ai potenziali impatti sulla sicurezza di tali modifiche; e. Monitora i difetti di sicurezza e la risoluzione dei difetti all'interno del sistema, del componente o del servizio e segnala i risultati a [Assegnazione: personale definito dall'organizzazione].

guardduty-non-archived-findings

AmazonGuardDutyaiuta a comprendere l'impatto di un incidente classificando i risultati per gravità: bassa, media e alta. È possibile utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola permette l'impostazione facoltativadaysLowSev(Config Default: 30),daysMediumSev(Config Default: 7) edaysHighSev(Config Predefinito: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione.
SA-10 L'organizzazione richiede allo sviluppatore del sistema informativo, del componente di sistema o del servizio del sistema informativo: a. Eseguire la gestione della configurazione durante lo sviluppo, l'implementazione e il funzionamento di sistema, componenti o servizi; b. Documentare, gestire e controllare l'integrità delle modifiche apportate a [Assegnazione: elementi di configurazione definiti dall'organizzazione in gestione della configurazione]; c. Implementare solo le modifiche approvate dall'organizzazione al sistema, al componente o al servizio; d. Documentare le modifiche approvate al sistema, al componente o al servizio e ai potenziali impatti sulla sicurezza di tali modifiche; e. Monitora i difetti di sicurezza e la risoluzione dei difetti all'interno del sistema, del componente o del servizio e segnala i risultati a [Assegnazione: personale definito dall'organizzazione].

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
SA-10 L'organizzazione richiede allo sviluppatore del sistema informativo, del componente di sistema o del servizio del sistema informativo: a. Eseguire la gestione della configurazione durante lo sviluppo, l'implementazione e il funzionamento di sistema, componenti o servizi; b. Documentare, gestire e controllare l'integrità delle modifiche apportate a [Assegnazione: elementi di configurazione definiti dall'organizzazione in gestione della configurazione]; c. Implementare solo le modifiche approvate dall'organizzazione al sistema, al componente o al servizio; d. Documentare le modifiche approvate al sistema, al componente o al servizio e ai potenziali impatti sulla sicurezza di tali modifiche; e. Monitora i difetti di sicurezza e la risoluzione dei difetti all'interno del sistema, del componente o del servizio e segnala i risultati a [Assegnazione: personale definito dall'organizzazione].

ec2-instance-managed-by-systems-manager

Puoi inventare le piattaforme software e le applicazioni nell'organizzazione gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
SA-10 L'organizzazione richiede allo sviluppatore del sistema informativo, del componente di sistema o del servizio del sistema informativo: a. Eseguire la gestione della configurazione durante lo sviluppo, l'implementazione e il funzionamento di sistema, componenti o servizi; b. Documentare, gestire e controllare l'integrità delle modifiche apportate a [Assegnazione: elementi di configurazione definiti dall'organizzazione in gestione della configurazione]; c. Implementare solo le modifiche approvate dall'organizzazione al sistema, al componente o al servizio; d. Documentare le modifiche approvate al sistema, al componente o al servizio e ai potenziali impatti sulla sicurezza di tali modifiche; e. Monitora i difetti di sicurezza e la risoluzione dei difetti all'interno del sistema, del componente o del servizio e segnala i risultati a [Assegnazione: personale definito dall'organizzazione].

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
SC--2 Il sistema informativo separa le funzionalità dell'utente (inclusi i servizi di interfaccia utente) dalla funzionalità di gestione del sistema informativo.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
SC-2 Il sistema informativo separa le funzionalità dell'utente (inclusi i servizi di interfaccia utente) dalla funzionalità di gestione del sistema informativo.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
SC--2 Il sistema informativo separa le funzionalità dell'utente (inclusi i servizi di interfaccia utente) dalla funzionalità di gestione del sistema informativo.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
SC--2 Il sistema informativo separa le funzionalità dell'utente (inclusi i servizi di interfaccia utente) dalla funzionalità di gestione del sistema informativo.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
SC--2 Il sistema informativo separa le funzionalità dell'utente (inclusi i servizi di interfaccia utente) dalla funzionalità di gestione del sistema informativo.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Operazione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
SC--4 Il sistema informativo impedisce il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
SC--4 Il sistema informativo impedisce il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
SC--4 Il sistema informativo impedisce il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Impedendo l'ingresso (o in remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle tue risorse aiuta a limitare l'accesso remoto.
SC--4 Il sistema informativo impedisce il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
SC--4 Il sistema informativo impedisce il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise.

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
SC--4 Il sistema informativo impedisce il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
SC--4 Il sistema informativo impedisce il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
SC--4 Il sistema informativo impedisce il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
SC--4 Il sistema informativo impedisce il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
SC--4 Il sistema informativo impedisce il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
SC--4 Il sistema informativo impedisce il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
SC--4 Il sistema informativo impedisce il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo l'accesso a bucket Amazon Simple Storage Service (Amazon S3) solo a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
SC--4 Il sistema informativo impedisce il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo l'accesso a bucket Amazon Simple Storage Service (Amazon S3) solo a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
SC--4 Il sistema informativo impedisce il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
SC--4 Il sistema informativo impedisce il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
SC--4 Il sistema informativo impedisce il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita alle risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
SC--4 Il sistema informativo impedisce il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i Gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
SC--4 Il sistema informativo impedisce il trasferimento di informazioni non autorizzato e non intenzionale tramite risorse di sistema condivise.

ec2-volume-inuse-check

Questa regola garantisce che i volumi Amazon Elastic Block Store collegati alle istanze Amazon Elastic Compute Cloud (Amazon EC2) siano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegata è terminata, potrebbe violare il concetto di funzionalità minima.
SC-5 Il sistema informativo protegge o limita gli effetti dei seguenti tipi di attacchi Denial of Service: [Assegnazione: tipi definiti dall'organizzazione di attacchi di denial of service o riferimenti a fonti per tali informazioni] utilizzando [Assegnazione: garanzie di sicurezza definite dall'organizzazione].

elb-cross-zone-load-balancing-abilitato

Abilita il bilanciamento del carico tra zone per i tuoi Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il sistema di bilanciamento del carico tra zone riduce la necessità di mantenere un numero equivalente di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora la capacità dell'applicazione di gestire la perdita di una o più istanze.
SC-5 Il sistema informativo protegge o limita gli effetti dei seguenti tipi di attacchi Denial of Service: [Assegnazione: tipi definiti dall'organizzazione di attacchi di denial of service o riferimenti a fonti per tali informazioni] utilizzando [Assegnazione: garanzie di sicurezza definite dall'organizzazione].

rds-instance-deletion-protection-enabled

Assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) abbiano la protezione per l'eliminazione abilitata. Utilizza la protezione dall'eliminazione per evitare che le tue istanze Amazon RDS vengano cancellate accidentalmente o dannosamente, il che può comportare una perdita di disponibilità per le tue applicazioni.
SC-5 Il sistema informativo protegge o limita gli effetti dei seguenti tipi di attacchi Denial of Service: [Assegnazione: tipi definiti dall'organizzazione di attacchi di denial of service o riferimenti a fonti per tali informazioni] utilizzando [Assegnazione: garanzie di sicurezza definite dall'organizzazione].

autoscaling-group-elb-healthcheck-required

I controlli di integrità Elastic Load Balancer (ELB) per i gruppi Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) supportano il mantenimento di capacità e disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ping, effettua tentativi di connessione o invia richieste per testare l'integrità delle istanze Amazon EC2 in un gruppo di auto-scaling. Se un'istanza non viene segnalata, il traffico viene inviato a una nuova istanza Amazon EC2.
SC-5 Il sistema informativo protegge o limita gli effetti dei seguenti tipi di attacchi Denial of Service: [Assegnazione: tipi definiti dall'organizzazione di attacchi di denial of service o riferimenti a fonti per tali informazioni] utilizzando [Assegnazione: garanzie di sicurezza definite dall'organizzazione].

dynamodb-autoscaling-enabled

La scalabilità automatica di Amazon DynamoDB utilizza il servizio AWS Application Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In questo modo una tabella o un indice secondario globale può aumentare la capacità di lettura/scrittura assegnata per gestire improvvisi aumenti di traffico, senza throttling.
SC-5 Il sistema informativo protegge o limita gli effetti dei seguenti tipi di attacchi Denial of Service: [Assegnazione: tipi definiti dall'organizzazione di attacchi di denial of service o riferimenti a fonti per tali informazioni] utilizzando [Assegnazione: garanzie di sicurezza definite dall'organizzazione].

dynamodb-pitr-enabled

Abilitare questa regola per verificare che le informazioni siano state eseguite il backup. Mantiene inoltre i backup garantendo chepoint-in-timeIl ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
SC-5 Il sistema informativo protegge o limita gli effetti dei seguenti tipi di attacchi Denial of Service: [Assegnazione: tipi definiti dall'organizzazione di attacchi di denial of service o riferimenti a fonti per tali informazioni] utilizzando [Assegnazione: garanzie di sicurezza definite dall'organizzazione].

ebs-optimized-instance

Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) fornisce capacità aggiuntiva dedicata per le operazioni di I/O Amazon EBS. Questa ottimizzazione offre le prestazioni più efficienti per i volumi EBS, riducendo al minimo i conflitti tra le operazioni di I/O Amazon EBS e l'altro traffico proveniente dall'istanza.
SC-5 Il sistema informativo protegge o limita gli effetti dei seguenti tipi di attacchi Denial of Service: [Assegnazione: tipi definiti dall'organizzazione di attacchi di denial of service o riferimenti a fonti per tali informazioni] utilizzando [Assegnazione: garanzie di sicurezza definite dall'organizzazione].

elasticache-redis-cluster-automatic-backup-check

Quando i backup automatici sono abilitati, AmazonElastiCachecrea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. In caso di esito negativo, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente.
SC-5 Il sistema informativo protegge o limita gli effetti dei seguenti tipi di attacchi Denial of Service: [Assegnazione: tipi definiti dall'organizzazione di attacchi di denial of service o riferimenti a fonti per tali informazioni] utilizzando [Assegnazione: garanzie di sicurezza definite dall'organizzazione].

elb-deletion-protection-enabled

Questa regola garantisce che Elastic Load Balancing abbia la protezione da eliminazione abilitata. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni.
SC-5 Il sistema informativo protegge o limita gli effetti dei seguenti tipi di attacchi Denial of Service: [Assegnazione: tipi definiti dall'organizzazione di attacchi di denial of service o riferimenti a fonti per tali informazioni] utilizzando [Assegnazione: garanzie di sicurezza definite dall'organizzazione].

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
SC-5 Il sistema informativo protegge o limita gli effetti dei seguenti tipi di attacchi Denial of Service: [Assegnazione: tipi definiti dall'organizzazione di attacchi di denial of service o riferimenti a fonti per tali informazioni] utilizzando [Assegnazione: garanzie di sicurezza definite dall'organizzazione].

rds-multi-az-support

Il supporto Multi-AZ in Amazon Relational Database Service (Amazon RDS) fornisce disponibilità e durata migliorate per le istanze di database. Quando esegui il provisioning di un'istanza di database Multi-AZ, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati in un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura fisica, distinta e indipendente ed è progettata in modo da essere altamente affidabili. In caso di guasto all'infrastruttura, Amazon RDS esegue un failover automatico sullo standby in modo da poter riprendere le operazioni del database non appena il failover è stato completato.
SC-5 Il sistema informativo protegge o limita gli effetti dei seguenti tipi di attacchi Denial of Service: [Assegnazione: tipi definiti dall'organizzazione di attacchi di denial of service o riferimenti a fonti per tali informazioni] utilizzando [Assegnazione: garanzie di sicurezza definite dall'organizzazione].

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
SC-5 Il sistema informativo protegge o limita gli effetti dei seguenti tipi di attacchi Denial of Service: [Assegnazione: tipi definiti dall'organizzazione di attacchi di denial of service o riferimenti a fonti per tali informazioni] utilizzando [Assegnazione: garanzie di sicurezza definite dall'organizzazione].

s3-bucket-versioning-enabled

Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon Simple Storage Service (Amazon S3). Usa questa funzione per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni consente il semplice recupero dopo operazioni involontarie dell'utente e guasti dell'applicazione.
SC-5 Il sistema informativo protegge o limita gli effetti dei seguenti tipi di attacchi Denial of Service: [Assegnazione: tipi definiti dall'organizzazione di attacchi di denial of service o riferimenti a fonti per tali informazioni] utilizzando [Assegnazione: garanzie di sicurezza definite dall'organizzazione].

vpc-vpn-2-tunnels-up

È possibile implementare tunnel Site-to-Site VPN per ottenere requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso una delle connessioni Site-to-Site VPN non sia disponibile. Per evitare la perdita di connettività, nel caso in cui il gateway del cliente non sia disponibile, puoi configurare una seconda connessione Site-to-Site VPN al gateway virtuale privato Amazon utilizzando un secondo gateway del cliente.
SC-7 Il sistema informativo: a. Monitora e controlla le comunicazioni al limite esterno del sistema e ai confini interni chiave all'interno del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti organizzative interne; e c. Si collega a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione ai confini disposti secondo un'architettura di sicurezza organizzativa.

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive nell'ambiente.
SC-7 Il sistema informativo: a. Monitora e controlla le comunicazioni al limite esterno del sistema e ai confini interni chiave all'interno del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti organizzative interne; e c. Si collega a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione ai confini disposti secondo un'architettura di sicurezza organizzativa.

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantirenode-to-nodeCrittografia per AmazonOpenSearchIl servizio è abilitato. Node-to-nodeLa crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC-7 Il sistema informativo: a. Monitora e controlla le comunicazioni al limite esterno del sistema e ai confini interni chiave all'interno del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti organizzative interne; e c. Si collega a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione ai confini disposti secondo un'architettura di sicurezza organizzativa.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC-7 Il sistema informativo: a. Monitora e controlla le comunicazioni al limite esterno del sistema e ai confini interni chiave all'interno del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti organizzative interne; e c. Si collega a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione ai confini disposti secondo un'architettura di sicurezza organizzativa.

ec2-instances-in-vpc

Distribuisci le istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
SC-7 Il sistema informativo: a. Monitora e controlla le comunicazioni al limite esterno del sistema e ai confini interni chiave all'interno del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti organizzative interne; e c. Si collega a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione ai confini disposti secondo un'architettura di sicurezza organizzativa.

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta.
SC-7 Il sistema informativo: a. Monitora e controlla le comunicazioni al limite esterno del sistema e ai confini interni chiave all'interno del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti organizzative interne; e c. Si collega a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione ai confini disposti secondo un'architettura di sicurezza organizzativa.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC-7 Il sistema informativo: a. Monitora e controlla le comunicazioni al limite esterno del sistema e ai confini interni chiave all'interno del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti organizzative interne; e c. Si collega a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione ai confini disposti secondo un'architettura di sicurezza organizzativa.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
SC-7 Il sistema informativo: a. Monitora e controlla le comunicazioni al limite esterno del sistema e ai confini interni chiave all'interno del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti organizzative interne; e c. Si collega a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione ai confini disposti secondo un'architettura di sicurezza organizzativa.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
SC-7 Il sistema informativo: a. Monitora e controlla le comunicazioni al limite esterno del sistema e ai confini interni chiave all'interno del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti organizzative interne; e c. Si collega a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione ai confini disposti secondo un'architettura di sicurezza organizzativa.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
SC-7 Il sistema informativo: a. Monitora e controlla le comunicazioni al limite esterno del sistema e ai confini interni chiave all'interno del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti organizzative interne; e c. Si collega a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione ai confini disposti secondo un'architettura di sicurezza organizzativa.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchServizio (OpenSearchI domini di servizio) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizi e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
SC-7 Il sistema informativo: a. Monitora e controlla le comunicazioni al limite esterno del sistema e ai confini interni chiave all'interno del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti organizzative interne; e c. Si collega a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione ai confini disposti secondo un'architettura di sicurezza organizzativa.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
SC-7 Il sistema informativo: a. Monitora e controlla le comunicazioni al limite esterno del sistema e ai confini interni chiave all'interno del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti organizzative interne; e c. Si collega a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione ai confini disposti secondo un'architettura di sicurezza organizzativa.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
SC-7 Il sistema informativo: a. Monitora e controlla le comunicazioni al limite esterno del sistema e ai confini interni chiave all'interno del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti organizzative interne; e c. Si collega a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione ai confini disposti secondo un'architettura di sicurezza organizzativa.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Impedendo l'ingresso (o in remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle tue risorse aiuta a limitare l'accesso remoto.
SC-7 Il sistema informativo: a. Monitora e controlla le comunicazioni al limite esterno del sistema e ai confini interni chiave all'interno del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti organizzative interne; e c. Si collega a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione ai confini disposti secondo un'architettura di sicurezza organizzativa.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
SC-7 Il sistema informativo: a. Monitora e controlla le comunicazioni al limite esterno del sistema e ai confini interni chiave all'interno del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti organizzative interne; e c. Si collega a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione ai confini disposti secondo un'architettura di sicurezza organizzativa.

lambda-inside-vpc

Distribuisci le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi nel VPC Amazon. Con questa configurazione, non hai bisogno di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
SC-7 Il sistema informativo: a. Monitora e controlla le comunicazioni al limite esterno del sistema e ai confini interni chiave all'interno del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti organizzative interne; e c. Si collega a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione ai confini disposti secondo un'architettura di sicurezza organizzativa.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
SC-7 Il sistema informativo: a. Monitora e controlla le comunicazioni al limite esterno del sistema e ai confini interni chiave all'interno del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti organizzative interne; e c. Si collega a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione ai confini disposti secondo un'architettura di sicurezza organizzativa.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
SC-7 Il sistema informativo: a. Monitora e controlla le comunicazioni al limite esterno del sistema e ai confini interni chiave all'interno del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti organizzative interne; e c. Si collega a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione ai confini disposti secondo un'architettura di sicurezza organizzativa.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
SC-7 Il sistema informativo: a. Monitora e controlla le comunicazioni al limite esterno del sistema e ai confini interni chiave all'interno del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti organizzative interne; e c. Si collega a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione ai confini disposti secondo un'architettura di sicurezza organizzativa.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC-7 Il sistema informativo: a. Monitora e controlla le comunicazioni al limite esterno del sistema e ai confini interni chiave all'interno del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti organizzative interne; e c. Si collega a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione ai confini disposti secondo un'architettura di sicurezza organizzativa.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
SC-7 Il sistema informativo: a. Monitora e controlla le comunicazioni al limite esterno del sistema e ai confini interni chiave all'interno del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti organizzative interne; e c. Si collega a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione ai confini disposti secondo un'architettura di sicurezza organizzativa.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativa della regolaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
SC-7 Il sistema informativo: a. Monitora e controlla le comunicazioni al limite esterno del sistema e ai confini interni chiave all'interno del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti organizzative interne; e c. Si collega a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione ai confini disposti secondo un'architettura di sicurezza organizzativa.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
SC-7 Il sistema informativo: a. Monitora e controlla le comunicazioni al limite esterno del sistema e ai confini interni chiave all'interno del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti organizzative interne; e c. Si collega a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione ai confini disposti secondo un'architettura di sicurezza organizzativa.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo l'accesso a bucket Amazon Simple Storage Service (Amazon S3) solo a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
SC-7 Il sistema informativo: a. Monitora e controlla le comunicazioni al limite esterno del sistema e ai confini interni chiave all'interno del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti organizzative interne; e c. Si collega a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione ai confini disposti secondo un'architettura di sicurezza organizzativa.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo l'accesso a bucket Amazon Simple Storage Service (Amazon S3) solo a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
SC-7 Il sistema informativo: a. Monitora e controlla le comunicazioni al limite esterno del sistema e ai confini interni chiave all'interno del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti organizzative interne; e c. Si collega a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione ai confini disposti secondo un'architettura di sicurezza organizzativa.

s3-bucket-ssl-requests-only

Per proteggere i dati durante il trasporto, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC-7 Il sistema informativo: a. Monitora e controlla le comunicazioni al limite esterno del sistema e ai confini interni chiave all'interno del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti organizzative interne; e c. Si collega a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione ai confini disposti secondo un'architettura di sicurezza organizzativa.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
SC-7 Il sistema informativo: a. Monitora e controlla le comunicazioni al limite esterno del sistema e ai confini interni chiave all'interno del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti organizzative interne; e c. Si collega a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione ai confini disposti secondo un'architettura di sicurezza organizzativa.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
SC-7 Il sistema informativo: a. Monitora e controlla le comunicazioni al limite esterno del sistema e ai confini interni chiave all'interno del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti organizzative interne; e c. Si collega a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione ai confini disposti secondo un'architettura di sicurezza organizzativa.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita alle risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
SC-7 Il sistema informativo: a. Monitora e controlla le comunicazioni al limite esterno del sistema e ai confini interni chiave all'interno del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti organizzative interne; e c. Si collega a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione ai confini disposti secondo un'architettura di sicurezza organizzativa.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i Gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
SC-7 (3) L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
SC-7 (3) L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo.

ec2-instances-in-vpc

Distribuisci le istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
SC-7 (3) L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
SC-7 (3) L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
SC-7 (3) L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
SC-7 (3) L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
SC-7 (3) L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchServizio (OpenSearchI domini di servizio) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizi e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
SC-7 (3) L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
SC-7 (3) L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Impedendo l'ingresso (o in remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle tue risorse aiuta a limitare l'accesso remoto.
SC-7 (3) L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
SC-7 (3) L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo.

lambda-inside-vpc

Distribuisci le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi nel VPC Amazon. Con questa configurazione, non hai bisogno di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
SC-7 (3) L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
SC-7 (3) L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
SC-7 (3) L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
SC-7 (3) L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
SC-7 (3) L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativa della regolaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
SC-7 (3) L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
SC-7 (3) L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo l'accesso a bucket Amazon Simple Storage Service (Amazon S3) solo a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
SC-7 (3) L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo l'accesso a bucket Amazon Simple Storage Service (Amazon S3) solo a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
SC-7 (3) L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
SC-7 (3) L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
SC-7 (3) L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita alle risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
SC-7 (3) L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i Gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
SC-8 Il sistema informativo protegge la riservatezza E l'integrità delle informazioni trasmesse.

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantirenode-to-nodeCrittografia per AmazonOpenSearchIl servizio è abilitato. Node-to-nodeLa crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC-8 Il sistema informativo protegge la riservatezza E l'integrità delle informazioni trasmesse.

elbv2-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
SC-8 Il sistema informativo protegge la riservatezza E l'integrità delle informazioni trasmesse.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC-8 Il sistema informativo protegge la riservatezza E l'integrità delle informazioni trasmesse.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC-8 Il sistema informativo protegge la riservatezza E l'integrità delle informazioni trasmesse.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
SC-8 Il sistema informativo protegge la riservatezza E l'integrità delle informazioni trasmesse.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
SC-8 Il sistema informativo protegge la riservatezza E l'integrità delle informazioni trasmesse.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC-8 Il sistema informativo protegge la riservatezza E l'integrità delle informazioni trasmesse.

s3-bucket-ssl-requests-only

Per proteggere i dati durante il trasporto, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC-8 (1) Il sistema informativo implementa meccanismi crittografici per [Selezione (una o più): impedire la divulgazione non autorizzata di informazioni; rilevare le modifiche alle informazioni] durante la trasmissione se non diversamente protetto da [Assegnazione: garanzie fisiche alternative definite dall'organizzazione].

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantirenode-to-nodeCrittografia per AmazonOpenSearchIl servizio è abilitato. Node-to-nodeLa crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC-8 (1) Il sistema informativo implementa meccanismi crittografici per [Selezione (una o più): impedire la divulgazione non autorizzata di informazioni; rilevare le modifiche alle informazioni] durante la trasmissione se non diversamente protetto da [Assegnazione: garanzie fisiche alternative definite dall'organizzazione].

elbv2-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
SC-8 (1) Il sistema informativo implementa meccanismi crittografici per [Selezione (una o più): impedire la divulgazione non autorizzata di informazioni; rilevare le modifiche alle informazioni] durante la trasmissione se non diversamente protetto da [Assegnazione: garanzie fisiche alternative definite dall'organizzazione].

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC-8 (1) Il sistema informativo implementa meccanismi crittografici per [Selezione (una o più): impedire la divulgazione non autorizzata di informazioni; rilevare le modifiche alle informazioni] durante la trasmissione se non diversamente protetto da [Assegnazione: garanzie fisiche alternative definite dall'organizzazione].

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC-8 (1) Il sistema informativo implementa meccanismi crittografici per [Selezione (una o più): impedire la divulgazione non autorizzata di informazioni; rilevare le modifiche alle informazioni] durante la trasmissione se non diversamente protetto da [Assegnazione: garanzie fisiche alternative definite dall'organizzazione].

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
SC-8 (1) Il sistema informativo implementa meccanismi crittografici per [Selezione (una o più): impedire la divulgazione non autorizzata di informazioni; rilevare le modifiche alle informazioni] durante la trasmissione se non diversamente protetto da [Assegnazione: garanzie fisiche alternative definite dall'organizzazione].

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
SC-8 (1) Il sistema informativo implementa meccanismi crittografici per [Selezione (una o più): impedire la divulgazione non autorizzata di informazioni; rilevare le modifiche alle informazioni] durante la trasmissione se non diversamente protetto da [Assegnazione: garanzie fisiche alternative definite dall'organizzazione].

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC-8 (1) Il sistema informativo implementa meccanismi crittografici per [Selezione (una o più): impedire la divulgazione non autorizzata di informazioni; rilevare le modifiche alle informazioni] durante la trasmissione se non diversamente protetto da [Assegnazione: garanzie fisiche alternative definite dall'organizzazione].

s3-bucket-ssl-requests-only

Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC-12 L'organizzazione stabilisce e gestisce chiavi crittografiche per la crittografia richiesta impiegata all'interno del sistema informativo in conformità con [Assegnazione: requisiti definiti dall'organizzazione per la generazione, la distribuzione, l'archiviazione, l'accesso e la distruzione delle chiavi].

cmk-backing-key-rotation-enabled

È possibile attivare la rotazione delle chiavi per garantire che le chiavi vengano ruotate una volta che hanno raggiunto la fine del periodo crittografico.
SC-12 L'organizzazione stabilisce e gestisce chiavi crittografiche per la crittografia richiesta impiegata all'interno del sistema informativo in conformità con [Assegnazione: requisiti definiti dall'organizzazione per la generazione, la distribuzione, l'archiviazione, l'accesso e la distruzione delle chiavi].

acm-certificate-expiration-check

Assicurati che l'integrità della rete sia protetta assicurando che i certificati X509 vengano emessi da AWS ACM. Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore perdaysToExpiration(Valore AWS Foundational Security Best Practices: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
SC-12 L'organizzazione stabilisce e gestisce chiavi crittografiche per la crittografia richiesta impiegata all'interno del sistema informativo in conformità con [Assegnazione: requisiti definiti dall'organizzazione per la generazione, la distribuzione, l'archiviazione, l'accesso e la distruzione delle chiavi].

kms-cmk-not-scheduled-for-deletion

Per proteggere i dati inattivi, assicurati che le chiavi master cliente (CMK) non siano pianificate per l'eliminazione in AWS Key Management Service (AWS KMS). Poiché a volte è necessaria l'eliminazione della chiave, questa regola può aiutare a controllare tutte le chiavi pianificate per l'eliminazione, nel caso in cui una chiave sia stata pianificata involontariamente.
SC-13 Il sistema informativo implementa la crittografia convalidata da FIPS o approvata dalla NSA in conformità alle leggi federali applicabili, agli ordini esecutivi, alle direttive, alle politiche, ai regolamenti e agli standard.

kms-cmk-not-scheduled-for-deletion

Per proteggere i dati inattivi, assicurati che le chiavi master cliente (CMK) non siano pianificate per l'eliminazione in AWS Key Management Service (AWS KMS). Poiché a volte è necessaria l'eliminazione della chiave, questa regola può aiutare a controllare tutte le chiavi pianificate per l'eliminazione, nel caso in cui una chiave sia stata pianificata involontariamente.
SC-13 Il sistema informativo implementa la crittografia convalidata da FIPS o approvata dalla NSA in conformità alle leggi federali applicabili, agli ordini esecutivi, alle direttive, alle politiche, ai regolamenti e agli standard.

s3-default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3)). Poiché i dati sensibili possono esistere a riposo in un bucket Amazon S3, abilitare la crittografia a riposo per proteggere tali dati.
SC-13 Il sistema informativo implementa la crittografia convalidata da FIPS o approvata dalla NSA in conformità alle leggi federali applicabili, agli ordini esecutivi, alle direttive, alle politiche, ai regolamenti e agli standard.

sagemaker-endpoint-configuration-kms-key-configured

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per ilSageMakerEndpoint. Perché i dati sensibili possono esistere a riposoSageMakerendpoint, abilita la crittografia a riposo per proteggere tali dati.
SC-13 Il sistema informativo implementa la crittografia convalidata da FIPS o approvata dalla NSA in conformità alle leggi federali applicabili, agli ordini esecutivi, alle direttive, alle politiche, ai regolamenti e agli standard.

sagemaker-notebook-instance-kms-key-configurato

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per ilSageMakernotebook. Perché i dati sensibili possono esistere a riposoSageMakernotebook, abilita la crittografia a riposo per proteggere tali dati.
SC-13 Il sistema informativo implementa la crittografia convalidata da FIPS o approvata dalla NSA in conformità alle leggi federali applicabili, agli ordini esecutivi, alle direttive, alle politiche, ai regolamenti e agli standard.

sns-encrypted-kms

Per proteggere i dati a riposo, assicurati che gli argomenti Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Poiché i dati sensibili possono esistere a riposo nei messaggi pubblicati, abilitare la crittografia a riposo per proteggere tali dati.
SC-13 Il sistema informativo implementa la crittografia convalidata da FIPS o approvata dalla NSA in conformità alle leggi federali applicabili, agli ordini esecutivi, alle direttive, alle politiche, ai regolamenti e agli standard.

redshift-cluster-kms-enabled

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il cluster Amazon Redshift. Poiché i dati sensibili possono esistere a riposo nei cluster Redshift, abilitare la crittografia a riposo per proteggere tali dati.
SC-23 Il sistema informativo protegge l'autenticità delle sessioni di comunicazione.

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantirenode-to-nodeCrittografia per AmazonOpenSearchIl servizio è abilitato. Node-to-nodeLa crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC-23 Il sistema informativo protegge l'autenticità delle sessioni di comunicazione.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC-23 Il sistema informativo protegge l'autenticità delle sessioni di comunicazione.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC-23 Il sistema informativo protegge l'autenticità delle sessioni di comunicazione.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
SC-23 Il sistema informativo protegge l'autenticità delle sessioni di comunicazione.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
SC-23 Il sistema informativo protegge l'autenticità delle sessioni di comunicazione.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC-23 Il sistema informativo protegge l'autenticità delle sessioni di comunicazione.

s3-bucket-ssl-requests-only

Per proteggere i dati durante il trasporto, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SC-28 Il sistema informativo protegge la riservatezza E l'integrità di [Assegnazione: informazioni definite dall'organizzazione a riposo].

s3-bucket-default-lock-enabled

Assicurati che il bucket Amazon Simple Storage Service (Amazon S3) abbia il blocco abilitato, per impostazione predefinita. Poiché i dati sensibili possono esistere a riposo nei bucket S3, applica i blocchi degli oggetti a riposo per proteggere tali dati.
SC-28 Il sistema informativo protegge la riservatezza E l'integrità di [Assegnazione: informazioni definite dall'organizzazione a riposo].

s3-default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3)). Poiché i dati sensibili possono esistere a riposo in un bucket Amazon S3, abilitare la crittografia a riposo per proteggere tali dati.
SC-28 Il sistema informativo protegge la riservatezza E l'integrità di [Assegnazione: informazioni definite dall'organizzazione a riposo].

sagemaker-notebook-instance-kms-key-configurato

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per ilSageMakernotebook. Perché i dati sensibili possono esistere a riposoSageMakernotebook, abilita la crittografia a riposo per proteggere tali dati.
SC-28 Il sistema informativo protegge la riservatezza E l'integrità di [Assegnazione: informazioni definite dall'organizzazione a riposo].

sns-encrypted-kms

Per proteggere i dati a riposo, assicurati che gli argomenti Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Poiché i dati sensibili possono esistere a riposo nei messaggi pubblicati, abilitare la crittografia a riposo per proteggere tali dati.
SC-28 Il sistema informativo protegge la riservatezza E l'integrità di [Assegnazione: informazioni definite dall'organizzazione a riposo].

api-gw-cache-enabled-and-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per la cache della fase API Gateway. Poiché i dati sensibili possono essere acquisiti per il metodo API, abilitare la crittografia a riposo per proteggere tali dati.
SC-28 Il sistema informativo protegge la riservatezza E l'integrità di [Assegnazione: informazioni definite dall'organizzazione a riposo].

cloud-trail-encryption-enabled

Poiché potrebbero esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo AWSCloudTrailsentieri.
SC-28 Il sistema informativo protegge la riservatezza E l'integrità di [Assegnazione: informazioni definite dall'organizzazione a riposo].

cloudwatch-log-group-encrypted

Per proteggere i dati sensibili a riposo, assicurati che la crittografia sia abilitata per il tuo AmazonCloudWatchGruppi di log di.
SC-28 Il sistema informativo protegge la riservatezza E l'integrità di [Assegnazione: informazioni definite dall'organizzazione a riposo].

ec2-ebs-encryption-by-default

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati.
SC-28 Il sistema informativo protegge la riservatezza E l'integrità di [Assegnazione: informazioni definite dall'organizzazione a riposo].

efs-encrypted-check

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo Amazon Elastic File System (EFS).
SC-28 Il sistema informativo protegge la riservatezza E l'integrità di [Assegnazione: informazioni definite dall'organizzazione a riposo].

elasticsearch-encrypted-at-rest

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per AmazonOpenSearchServizio (OpenSearchDomini Service).
SC-28 Il sistema informativo protegge la riservatezza E l'integrità di [Assegnazione: informazioni definite dall'organizzazione a riposo].

encrypted-volumes

Grazie all'esistenza di dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS).
SC-28 Il sistema informativo protegge la riservatezza E l'integrità di [Assegnazione: informazioni definite dall'organizzazione a riposo].

kms-cmk-not-scheduled-for-deletion

Per proteggere i dati inattivi, assicurati che le chiavi master cliente (CMK) non siano pianificate per l'eliminazione in AWS Key Management Service (AWS KMS). Poiché a volte è necessaria l'eliminazione della chiave, questa regola può aiutare a controllare tutte le chiavi pianificate per l'eliminazione, nel caso in cui una chiave sia stata pianificata involontariamente.
SC-28 Il sistema informativo protegge la riservatezza E l'integrità di [Assegnazione: informazioni definite dall'organizzazione a riposo].

rds-snapshot-encrypted

Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
SC-28 Il sistema informativo protegge la riservatezza E l'integrità di [Assegnazione: informazioni definite dall'organizzazione a riposo].

rds-storage-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati.
SC-28 Il sistema informativo protegge la riservatezza E l'integrità di [Assegnazione: informazioni definite dall'organizzazione a riposo].

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
SC-28 Il sistema informativo protegge la riservatezza E l'integrità di [Assegnazione: informazioni definite dall'organizzazione a riposo].

redshift-cluster-kms-enabled

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il cluster Amazon Redshift. Poiché i dati sensibili possono esistere a riposo nei cluster Redshift, abilitare la crittografia a riposo per proteggere tali dati.
SC-28 Il sistema informativo protegge la riservatezza E l'integrità di [Assegnazione: informazioni definite dall'organizzazione a riposo].

S3-bucket-server-side-encryption-enabled

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati.
SC-28 Il sistema informativo protegge la riservatezza E l'integrità di [Assegnazione: informazioni definite dall'organizzazione a riposo].

sagemaker-endpoint-configuration-kms-key-configured

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per ilSageMakerEndpoint. Perché i dati sensibili possono esistere a riposoSageMakerendpoint, abilita la crittografia a riposo per proteggere tali dati.
SI-2 (2) L'organizzazione utilizza meccanismi automatizzati almeno mensilmente per determinare lo stato dei componenti del sistema informativo per quanto riguarda la correzione dei difetti.

ec2-instance-managed-by-systems-manager

Puoi inventare le piattaforme software e le applicazioni nell'organizzazione gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
SI-2 (2) L'organizzazione utilizza meccanismi automatizzati almeno mensilmente per determinare lo stato dei componenti del sistema informativo per quanto riguarda la correzione dei difetti.

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
SI-2 (2) L'organizzazione utilizza meccanismi automatizzati almeno mensilmente per determinare lo stato dei componenti del sistema informativo per quanto riguarda la correzione dei difetti.

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutare con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
SI-2 (2) L'organizzazione utilizza meccanismi automatizzati almeno mensilmente per determinare lo stato dei componenti del sistema informativo per quanto riguarda la correzione dei difetti.

elastic-beanstalk-managed-updates-enabled

L'abilitazione degli aggiornamenti della piattaforma gestita per un ambiente Amazon Elastic Beanstalk garantisce l'installazione delle più recenti correzioni, aggiornamenti e funzionalità della piattaforma disponibili per l'ambiente. Mantenersi aggiornati con l'installazione delle patch è una buona pratica nella protezione dei sistemi.
SI-4 (a) b) (c) L'organizzazione: a. Monitora il sistema informativo per rilevare: 1. Attacchi e indicatori di potenziali attacchi in conformità con [Assegnazione: obiettivi di monitoraggio definiti dall'organizzazione]; e 2. Connessioni locali, di rete e remote non autorizzate; b. Identifica l'uso non autorizzato del sistema informativo tramite [Assegnazione: tecniche e metodi definiti dall'organizzazione]; c. Implementa dispositivi di monitoraggio: i. strategicamente all'interno del sistema informativo per raccogliere informazioni essenziali determinate dall'organizzazione; e (ii) in sedi ad hoc all'interno del sistema per tenere traccia di specifici tipi di transazioni di interesse per l'organizzazione.

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive nell'ambiente.
SI-4 (a) b) (c) L'organizzazione: a. Monitora il sistema informativo per rilevare: 1. Attacchi e indicatori di potenziali attacchi in conformità con [Assegnazione: obiettivi di monitoraggio definiti dall'organizzazione]; e 2. Connessioni locali, di rete e remote non autorizzate; b. Identifica l'uso non autorizzato del sistema informativo tramite [Assegnazione: tecniche e metodi definiti dall'organizzazione]; c. Implementa dispositivi di monitoraggio: i. strategicamente all'interno del sistema informativo per raccogliere informazioni essenziali determinate dall'organizzazione; e (ii) in sedi ad hoc all'interno del sistema per tenere traccia di specifici tipi di transazioni di interesse per l'organizzazione.

api-gw-associato-con-waf

AWS WAF consente di configurare un set di regole (denominato lista di controllo accessi Web (Web ACL)) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite da te. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi
SI-4 (a) b) (c) L'organizzazione: a. Monitora il sistema informativo per rilevare: 1. Attacchi e indicatori di potenziali attacchi in conformità con [Assegnazione: obiettivi di monitoraggio definiti dall'organizzazione]; e 2. Connessioni locali, di rete e remote non autorizzate; b. Identifica l'uso non autorizzato del sistema informativo tramite [Assegnazione: tecniche e metodi definiti dall'organizzazione]; c. Implementa dispositivi di monitoraggio: i. strategicamente all'interno del sistema informativo per raccogliere informazioni essenziali determinate dall'organizzazione; e (ii) in sedi ad hoc all'interno del sistema per tenere traccia di specifici tipi di transazioni di interesse per l'organizzazione.

guardduty-non-archived-findings

AmazonGuardDutyaiuta a comprendere l'impatto di un incidente classificando i risultati per gravità: bassa, media e alta. È possibile utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola permette l'impostazione facoltativadaysLowSev(Config Default: 30),daysMediumSev(Config Default: 7) edaysHighSev(Config Predefinito: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione.
SI-4 (a) b) (c) L'organizzazione: a. Monitora il sistema informativo per rilevare: 1. Attacchi e indicatori di potenziali attacchi in conformità con [Assegnazione: obiettivi di monitoraggio definiti dall'organizzazione]; e 2. Connessioni locali, di rete e remote non autorizzate; b. Identifica l'uso non autorizzato del sistema informativo tramite [Assegnazione: tecniche e metodi definiti dall'organizzazione]; c. Implementa dispositivi di monitoraggio: i. strategicamente all'interno del sistema informativo per raccogliere informazioni essenziali determinate dall'organizzazione; e (ii) in sedi ad hoc all'interno del sistema per tenere traccia di specifici tipi di transazioni di interesse per l'organizzazione.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
SI-4 (a) b) (c) L'organizzazione: a. Monitora il sistema informativo per rilevare: 1. Attacchi e indicatori di potenziali attacchi in conformità con [Assegnazione: obiettivi di monitoraggio definiti dall'organizzazione]; e 2. Connessioni locali, di rete e remote non autorizzate; b. Identifica l'uso non autorizzato del sistema informativo tramite [Assegnazione: tecniche e metodi definiti dall'organizzazione]; c. Implementa dispositivi di monitoraggio: i. strategicamente all'interno del sistema informativo per raccogliere informazioni essenziali determinate dall'organizzazione; e (ii) in sedi ad hoc all'interno del sistema per tenere traccia di specifici tipi di transazioni di interesse per l'organizzazione.

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I registri registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per la regola corrispondente a ogni richiesta.
SI-4 (a) b) (c) L'organizzazione: a. Monitora il sistema informativo per rilevare: 1. Attacchi e indicatori di potenziali attacchi in conformità con [Assegnazione: obiettivi di monitoraggio definiti dall'organizzazione]; e 2. Connessioni locali, di rete e remote non autorizzate; b. Identifica l'uso non autorizzato del sistema informativo tramite [Assegnazione: tecniche e metodi definiti dall'organizzazione]; c. Implementa dispositivi di monitoraggio: i. strategicamente all'interno del sistema informativo per raccogliere informazioni essenziali determinate dall'organizzazione; e (ii) in sedi ad hoc all'interno del sistema per tenere traccia di specifici tipi di transazioni di interesse per l'organizzazione.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono dettagli sull'attività delle chiamate API nell'account AWS.
SI-4 (a) b) (c) L'organizzazione: a. Monitora il sistema informativo per rilevare: 1. Attacchi e indicatori di potenziali attacchi in conformità con [Assegnazione: obiettivi di monitoraggio definiti dall'organizzazione]; e 2. Connessioni locali, di rete e remote non autorizzate; b. Identifica l'uso non autorizzato del sistema informativo tramite [Assegnazione: tecniche e metodi definiti dall'organizzazione]; c. Implementa dispositivi di monitoraggio: i. strategicamente all'interno del sistema informativo per raccogliere informazioni essenziali determinate dall'organizzazione; e (ii) in sedi ad hoc all'interno del sistema per tenere traccia di specifici tipi di transazioni di interesse per l'organizzazione.

cloudwatch-alarm-action-check

AmazonCloudWatchallarmi avvisi quando una parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionObbligatorio Config impostazione predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
SI-4 (a) b) (c) L'organizzazione: a. Monitora il sistema informativo per rilevare: 1. Attacchi e indicatori di potenziali attacchi in conformità con [Assegnazione: obiettivi di monitoraggio definiti dall'organizzazione]; e 2. Connessioni locali, di rete e remote non autorizzate; b. Identifica l'uso non autorizzato del sistema informativo tramite [Assegnazione: tecniche e metodi definiti dall'organizzazione]; c. Implementa dispositivi di monitoraggio: i. strategicamente all'interno del sistema informativo per raccogliere informazioni essenziali determinate dall'organizzazione; e (ii) in sedi ad hoc all'interno del sistema per tenere traccia di specifici tipi di transazioni di interesse per l'organizzazione.

ec2-instance-detailed-monitoring-enabled

Abilita questa regola per migliorare il monitoraggio delle istanze Amazon Elastic Compute Cloud (Amazon EC2) sulla console Amazon EC2, che visualizza grafici di monitoraggio relativi all'istanza a intervalli di 1 minuto.
SI-4 (a) b) (c) L'organizzazione: a. Monitora il sistema informativo per rilevare: 1. Attacchi e indicatori di potenziali attacchi in conformità con [Assegnazione: obiettivi di monitoraggio definiti dall'organizzazione]; e 2. Connessioni locali, di rete e remote non autorizzate; b. Identifica l'uso non autorizzato del sistema informativo tramite [Assegnazione: tecniche e metodi definiti dall'organizzazione]; c. Implementa dispositivi di monitoraggio: i. strategicamente all'interno del sistema informativo per raccogliere informazioni essenziali determinate dall'organizzazione; e (ii) in sedi ad hoc all'interno del sistema per tenere traccia di specifici tipi di transazioni di interesse per l'organizzazione.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
SI-4 (1) L'organizzazione collega e configura i singoli strumenti di rilevamento delle intrusioni in un sistema di rilevamento delle intrusioni a livello di sistema informativo.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
SI-4 (2) L'organizzazione utilizza strumenti automatizzati per supportare un'analisi quasi in tempo reale degli eventi.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
SI-4 (2) L'organizzazione utilizza strumenti automatizzati per supportare un'analisi quasi in tempo reale degli eventi.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
SI-4 (2) L'organizzazione utilizza strumenti automatizzati per supportare un'analisi quasi in tempo reale degli eventi.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
SI-4 (2) L'organizzazione utilizza strumenti automatizzati per supportare un'analisi quasi in tempo reale degli eventi.

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
SI-4 (2) L'organizzazione utilizza strumenti automatizzati per supportare un'analisi quasi in tempo reale degli eventi.

cloudwatch-alarm-action-check

AmazonCloudWatchallarmi avvisi quando una parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionObbligatorio Config impostazione predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
SI-4 (2) L'organizzazione utilizza strumenti automatizzati per supportare un'analisi quasi in tempo reale degli eventi.

ec2-instance-detailed-monitoring-enabled

Abilita questa regola per migliorare il monitoraggio delle istanze Amazon Elastic Compute Cloud (Amazon EC2) sulla console Amazon EC2, che visualizza grafici di monitoraggio relativi all'istanza a intervalli di 1 minuto.
SI-4 (2) L'organizzazione utilizza strumenti automatizzati per supportare un'analisi quasi in tempo reale degli eventi.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
SI-4 (2) L'organizzazione usa strumenti automatizzati per supportare l'analisi quasi in tempo reale degli eventi.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
SI-4 (4) Il sistema informativo monitora continuamente il traffico delle comunicazioni in entrata e in uscita per attività o condizioni insolite o non autorizzate.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
SI-4 (4) Il sistema informativo monitora continuamente il traffico delle comunicazioni in entrata e in uscita per attività o condizioni insolite o non autorizzate.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono dettagli sull'attività delle chiamate API nell'account AWS.
SI-4 (4) Il sistema informativo monitora continuamente il traffico delle comunicazioni in entrata e in uscita per attività o condizioni insolite o non autorizzate.

cloudwatch-alarm-action-check

AmazonCloudWatchallarmi avvisi quando una parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionObbligatorio Config impostazione predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
SI-4 (4) Il sistema informativo monitora continuamente il traffico delle comunicazioni in entrata e in uscita per attività o condizioni insolite o non autorizzate.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
SI-4 (5) Il sistema informativo avvisa [Assegnazione: personale o ruoli definiti dall'organizzazione] quando si verificano le seguenti indicazioni di compromesso o potenziale compromesso: [Assegnazione: indicatori di compromesso definiti dall'organizzazione].

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
SI-4 (5) Il sistema informativo avvisa [Assegnazione: personale o ruoli definiti dall'organizzazione] quando si verificano le seguenti indicazioni di compromesso o potenziale compromesso: [Assegnazione: indicatori di compromesso definiti dall'organizzazione].

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono dettagli sull'attività delle chiamate API nell'account AWS.
SI-4 (5) Il sistema informativo avvisa [Assegnazione: personale o ruoli definiti dall'organizzazione] quando si verificano le seguenti indicazioni di compromesso o potenziale compromesso: [Assegnazione: indicatori di compromesso definiti dall'organizzazione].

cloudwatch-alarm-action-check

AmazonCloudWatchallarmi avvisi quando una parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionObbligatorio Config impostazione predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
SI-4 (5) Il sistema informativo avvisa [Assegnazione: personale o ruoli definiti dall'organizzazione] quando si verificano le seguenti indicazioni di compromesso o potenziale compromesso: [Assegnazione: indicatori di compromesso definiti dall'organizzazione].

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
SI-4 (16) L'organizzazione mette in correlazione le informazioni provenienti dagli strumenti di monitoraggio utilizzati in tutto il sistema informativo.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
SI-4 (16) L'organizzazione mette in correlazione le informazioni provenienti dagli strumenti di monitoraggio utilizzati in tutto il sistema informativo.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
SI-4 (16) L'organizzazione mette in correlazione le informazioni provenienti dagli strumenti di monitoraggio utilizzati in tutto il sistema informativo.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
SI-4 (16) L'organizzazione mette in correlazione le informazioni provenienti dagli strumenti di monitoraggio utilizzati in tutto il sistema informativo.

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
SI-4 (16) L'organizzazione mette in correlazione le informazioni provenienti dagli strumenti di monitoraggio utilizzati in tutto il sistema informativo.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
SI-4 (16) L'organizzazione mette in correlazione le informazioni provenienti dagli strumenti di monitoraggio utilizzati in tutto il sistema informativo.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
SI-7 L'organizzazione utilizza strumenti di verifica dell'integrità per rilevare le modifiche non autorizzate a [Assegnazione: software, firmware e informazioni definite dall'organizzazione].

cloud-trail-log-file-validation-enabled

Utilizzo di AWSCloudTrailconvalida del file di log per verificare l'integrità diCloudTrailregistri. La convalida del file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o invariato dopoCloudTrailL'ha consegnato. Questa funzione è costruita utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende impossibile, a livello di programmazione, qualsiasi operazione di modifica, eliminazione o contraffazione dei file di log di CloudTrail senza che tale operazione venga rilevata.
SI-7 (1) Il sistema informativo esegue un controllo dell'integrità eventi rilevanti per la sicurezza almeno mensilmente.

cloud-trail-log-file-validation-enabled

Utilizzo di AWSCloudTrailconvalida del file di log per verificare l'integrità diCloudTrailregistri. La convalida del file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o invariato dopoCloudTrailL'ha consegnato. Questa funzione è costruita utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende impossibile, a livello di programmazione, qualsiasi operazione di modifica, eliminazione o contraffazione dei file di log di CloudTrail senza che tale operazione venga rilevata.
SI-7 (1) Il sistema informativo esegue un controllo dell'integrità eventi rilevanti per la sicurezza almeno mensilmente.

ec2-instance-managed-by-systems-manager

Puoi inventare le piattaforme software e le applicazioni nell'organizzazione gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
SI-7 (1) Il sistema informativo esegue un controllo dell'integrità eventi rilevanti per la sicurezza almeno mensilmente.

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutare con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
SI-12 L'organizzazione gestisce e conserva le informazioni all'interno del sistema informativo e le informazioni fornite dal sistema in conformità con le leggi federali applicabili, gli ordini esecutivi, le direttive, le politiche, i regolamenti, gli standard e i requisiti operativi.

aurora-risorse-protected-by-backup-plan

Per aiutarti con i processi di backup dei dati, assicurati che le tue risorse Amazon Aurora facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
SI-12 L'organizzazione gestisce e conserva le informazioni all'interno del sistema informativo e le informazioni fornite dal sistema in conformità con le leggi federali applicabili, gli ordini esecutivi, le direttive, le politiche, i regolamenti, gli standard e i requisiti operativi.

controllo di backup-plan-min-frequency-and-min-retention

Per aiutare con i processi di backup dei dati, assicurati che il piano AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità. Questa regola permette l'impostazionerequiredFrequencyValue(impostazione predefinita di Config: 1),requiredRetentionDays(impostazione predefinita di Config: 35) erequiredFrequencyUnit(Config default: giorni) parametri. Il valore effettivo dovrebbe riflettere i requisiti della tua organizzazione.
SI-12 L'organizzazione gestisce e conserva le informazioni all'interno del sistema informativo e le informazioni fornite dal sistema in conformità con le leggi federali applicabili, gli ordini esecutivi, le direttive, le politiche, i regolamenti, gli standard e i requisiti operativi.

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
SI-12 L'organizzazione gestisce e conserva le informazioni all'interno del sistema informativo e le informazioni fornite dal sistema in conformità con le leggi federali applicabili, gli ordini esecutivi, le direttive, le politiche, i regolamenti, gli standard e i requisiti operativi.

dynamodb-risorse-protected-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le risorse Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
SI-12 L'organizzazione gestisce e conserva le informazioni all'interno del sistema informativo e le informazioni fornite dal sistema in conformità con le leggi federali applicabili, gli ordini esecutivi, le direttive, le politiche, i regolamenti, gli standard e i requisiti operativi.

ebs-resources-protected-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le risorse Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
SI-12 L'organizzazione gestisce e conserva le informazioni all'interno del sistema informativo e le informazioni fornite dal sistema in conformità con le leggi federali applicabili, gli ordini esecutivi, le direttive, le politiche, i regolamenti, gli standard e i requisiti operativi.

ec2-Resources-protectd-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le risorse Amazon Elastic Compute Cloud (Amazon EC2) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
SI-12 L'organizzazione gestisce e conserva le informazioni all'interno del sistema informativo e le informazioni fornite dal sistema in conformità con le leggi federali applicabili, gli ordini esecutivi, le direttive, le politiche, i regolamenti, gli standard e i requisiti operativi.

efs-resources-protected-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
SI-12 L'organizzazione gestisce e conserva le informazioni all'interno del sistema informativo e le informazioni fornite dal sistema in conformità con le leggi federali applicabili, gli ordini esecutivi, le direttive, le politiche, i regolamenti, gli standard e i requisiti operativi.

fsx-resources-protected-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon FSx facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
SI-12 L'organizzazione gestisce e conserva le informazioni all'interno del sistema informativo e le informazioni fornite dal sistema in conformità con le leggi federali applicabili, gli ordini esecutivi, le direttive, le politiche, i regolamenti, gli standard e i requisiti operativi.

rds-resources-protected-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le risorse Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
SI-12 L'organizzazione gestisce e conserva le informazioni all'interno del sistema informativo e le informazioni fornite dal sistema in conformità con le leggi federali applicabili, gli ordini esecutivi, le direttive, le politiche, i regolamenti, gli standard e i requisiti operativi.

redshift-backup-enabled

Per aiutare con i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot del cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB di modifiche dei dati per nodo, a seconda della condizione che si verifica per prima.
SI-12 L'organizzazione gestisce e conserva le informazioni all'interno del sistema informativo e le informazioni fornite dal sistema in conformità con le leggi federali applicabili, gli ordini esecutivi, le direttive, le politiche, i regolamenti, gli standard e i requisiti operativi.

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea automaticamente una snapshot dei volumi di storage dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
SI-12 L'organizzazione gestisce e conserva le informazioni all'interno del sistema informativo e le informazioni fornite dal sistema in conformità con le leggi federali applicabili, gli ordini esecutivi, le direttive, le politiche, i regolamenti, gli standard e i requisiti operativi.

dynamodb-pitr-enabled

Abilitare questa regola per verificare che le informazioni siano state eseguite il backup. Mantiene inoltre i backup garantendo chepoint-in-timeIl ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
SI-12 L'organizzazione gestisce e conserva le informazioni all'interno del sistema informativo e le informazioni fornite dal sistema in conformità con le leggi federali applicabili, gli ordini esecutivi, le direttive, le politiche, i regolamenti, gli standard e i requisiti operativi.

elasticache-redis-cluster-automatic-backup-check

Quando i backup automatici sono abilitati, AmazonElastiCachecrea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. In caso di esito negativo, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente.
SI-12 L'organizzazione gestisce e conserva le informazioni all'interno del sistema informativo e le informazioni fornite dal sistema in conformità con le leggi federali applicabili, gli ordini esecutivi, le direttive, le politiche, i regolamenti, gli standard e i requisiti operativi.

s3-bucket-versioning-enabled

Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon Simple Storage Service (Amazon S3). Usa questa funzione per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni consente il semplice recupero dopo operazioni involontarie dell'utente e guasti dell'applicazione.

Modello

Il modello è disponibile suGitHub: Best practice operative per FedRAMP (Moderato).