Best practice operative per FFIEC - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice operative per FFIEC

I pacchetti di conformità forniscono un framework di conformità generico progettato per consentire di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando gestiti o personalizzatiAWS Configregole eAWS Configazioni di risanamento. I Conformance Pack, come modelli di esempio, non sono progettati per garantire la piena conformità con uno standard di governance o conformità specifico. L'utente è responsabile di valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.

Di seguito viene fornito un esempio di mappatura tra i domini del Federal Financial Institutions Examination Council (FFIEC) Cyber Security Assessment ToolAWSRegole Config gestite. Ciascuna regola di Config si applica a uno specificoAWSrisorsa e si riferisce a uno o più controlli FFIEC Cyber Security Assessment Tool. Un controllo FFIEC Cyber Security Assessment Tool può essere correlato a più regole di Config. Fare riferimento alla tabella sottostante per ulteriori dettagli e indicazioni relative a queste mappature.

Regione AWS:Tutto supportatoRegioni AWStranne il Medio Oriente (Bahrain)

ID controllo Descrizione del controllo Regola AWS Config Linee guida di
D1.G.IT.B.1 Viene mantenuto un inventario delle risorse organizzative (ad esempio hardware, software, dati e sistemi ospitati esternamente).

ec2-instance-managed-by-systems-manager

Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
D1.G.IT.B.1 Viene mantenuto un inventario delle risorse organizzative (ad esempio hardware, software, dati e sistemi ospitati esternamente).

ec2-stopped-instance

Attiva questa regola per aiutare con la configurazione di base delle istanze Amazon Elastic Compute Cloud (Amazon EC2) verificando se le istanze Amazon EC2 sono state arrestate per più del numero consentito di giorni, in base agli standard dell'organizzazione.
D1.G.IT.B.1 Viene mantenuto un inventario delle risorse organizzative (ad esempio hardware, software, dati e sistemi ospitati esternamente).

ec2-volume-inuse-check

Questa regola garantisce che i volumi Amazon Elastic Block Store collegati alle istanze Amazon Elastic Compute Cloud (Amazon EC2) siano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegata è terminata, potrebbe violare il concetto di funzionalità minima.
D1.G.IT.B.1 Viene mantenuto un inventario delle risorse organizzative (ad esempio hardware, software, dati e sistemi ospitati esternamente).

eip-attached

Questa regola garantisce che gli IP Elastic allocati a un Amazon Virtual Private Cloud (Amazon VPC) siano collegati alle istanze Amazon Elastic Compute Cloud (Amazon EC2) o alle interfacce Elastic Network in uso. Questa regola aiuta a monitorare gli EIP inutilizzati nel tuo ambiente.
D1.g.rm.rm.1 All'interno dell'istituzione esiste una funzione di gestione del rischio per la sicurezza delle informazioni e la continuità aziendale.

autoscaling-group-elb-healthcheck-required

I controlli di integrità Elastic Load Balancer (ELB) per i gruppi Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) supportano il mantenimento di capacità e disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ping, effettua tentativi di connessione o invia richieste per testare l'integrità delle istanze Amazon EC2 in un gruppo di auto-scaling. Se un'istanza non viene segnalata, il traffico viene inviato a una nuova istanza Amazon EC2.
D1.g.rm.rm.1 All'interno dell'istituzione esiste una funzione di gestione del rischio per la sicurezza delle informazioni e la continuità aziendale.

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
D1.g.rm.rm.1 All'interno dell'istituzione esiste una funzione di gestione del rischio per la sicurezza delle informazioni e la continuità aziendale.

rds-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le istanze Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
D1.g.rm.rm.1 All'interno dell'istituzione esiste una funzione di gestione del rischio per la sicurezza delle informazioni e la continuità aziendale.

efs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
D1.g.rm.rm.1 All'interno dell'istituzione esiste una funzione di gestione del rischio per la sicurezza delle informazioni e la continuità aziendale.

ebs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) siano parte integrante di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
D1.g.rm.rm.1 All'interno dell'istituzione esiste una funzione di gestione del rischio per la sicurezza delle informazioni e la continuità aziendale.

dynamic odb-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
D1.g.rm.rm.1 All'interno dell'istituzione esiste una funzione di gestione del rischio per la sicurezza delle informazioni e la continuità aziendale.

elasticache-redis-cluster-automatic-backup-check

Quando i backup automatici sono abilitati, AmazonElastiCachecrea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. In caso di esito negativo, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente.
D1.g.rm.rm.1 All'interno dell'istituzione esiste una funzione di gestione del rischio per la sicurezza delle informazioni e la continuità aziendale.

rds-multi-az-support

Il supporto multi-AZ in Amazon Relational Database Service (Amazon RDS) fornisce maggiore disponibilità e durata per le istanze di database. Quando esegui il provisioning di un'istanza di database Multi-AZ, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati in un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su un'infrastruttura fisica, distinta e indipendente ed è progettata in modo da essere altamente affidabili. In caso di guasto all'infrastruttura, Amazon RDS esegue un failover automatico sullo standby in modo da poter riprendere le operazioni del database non appena il failover è stato completato.
D1.g.rm.rm.1 All'interno dell'istituzione esiste una funzione di gestione del rischio per la sicurezza delle informazioni e la continuità aziendale.

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea automaticamente una snapshot dei volumi di storage dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
D1.g.rm.rm.1 All'interno dell'istituzione esiste una funzione di gestione del rischio per la sicurezza delle informazioni e la continuità aziendale.

aurora-risorse-protected-by-backup-plan

Per aiutarti con i processi di backup dei dati, assicurati che le tue risorse Amazon Aurora facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
D1.g.rm.rm.1 All'interno dell'istituzione esiste una funzione di gestione del rischio per la sicurezza delle informazioni e la continuità aziendale.

controllo di backup-plan-min-frequency-and-min-retention

Per aiutare con i processi di backup dei dati, assicurati che il piano AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup. Questa regola permette la configurazionerequiredFrequencyValue(impostazione predefinita di Config: 1),requiredRetentionDays(impostazione predefinita di Config: 35) erequiredFrequencyUnit(Config default: giorni) parametri. Il valore effettivo dovrebbe riflettere i requisiti della tua organizzazione.
D1.g.rm.rm.1 All'interno dell'istituzione esiste una funzione di gestione del rischio per la sicurezza delle informazioni e la continuità aziendale.

backup-recovery-point-manual-deletion-disabilitato

Assicurati che i punti di ripristino di AWS Backup dispongano di una policy basata sulle risorse che impedisce l'eliminazione dei punti di ripristino. L'utilizzo di un criterio basato sulle risorse per impedire l'eliminazione dei punti di ripristino può aiutare a prevenire l'eliminazione accidentale o intenzionale.
D1.g.rm.rm.1 All'interno dell'istituzione esiste una funzione di gestione del rischio per la sicurezza delle informazioni e la continuità aziendale.

backup-recovery-point-minimum-retention check

Per aiutare con i processi di backup dei dati, assicurati che i punti di ripristino di AWS Backup abbiano un periodo di conservazione minimo impostato. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup. Questa regola permette la configurazionerequiredRetentionDays(configurazione predefinita: 35) parametro. Il valore effettivo dovrebbe riflettere i requisiti della tua organizzazione.
D1.g.rm.rm.1 All'interno dell'istituzione esiste una funzione di gestione del rischio per la sicurezza delle informazioni e la continuità aziendale.

ec2-Resources-protectd-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le risorse Amazon Elastic Compute Cloud (Amazon EC2) siano parte integrante di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
D1.g.rm.rm.1 All'interno dell'istituzione esiste una funzione di gestione del rischio per la sicurezza delle informazioni e la continuità aziendale.

redshift-backup-enabled

Per aiutarti con i processi di backup dei dati, assicurati che i tuoi cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB di modifiche dei dati per nodo, a seconda della condizione che si verifica per prima.
D1.RM.RA.B.2 La valutazione del rischio identifica i sistemi basati su Internet e le transazioni ad alto rischio che garantiscono ulteriori controlli di autenticazione.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS.
D1.RM.RA.B.2 La valutazione del rischio identifica i sistemi basati su Internet e le transazioni ad alto rischio che garantiscono ulteriori controlli di autenticazione. annual-risk-assessment-eseguito (controllo del processo) Esegui una valutazione annuale del rischio sulla tua organizzazione. Le valutazioni dei rischi possono aiutare a determinare la probabilità e l'impatto dei rischi e/o delle vulnerabilità identificati che interessano un'organizzazione.
D1.tc.tr.b.2 La formazione annuale sulla sicurezza delle informazioni include la risposta agli incidenti, le attuali minacce informatiche (ad esempio, phishing, spear phishing, ingegneria sociale e sicurezza mobile) e problemi emergenti. security-awareness-program-exists (verifica del processo) Stabilisci e gestisci un programma di sensibilizzazione sulla sicurezza per la tua organizzazione I programmi di sensibilizzazione sulla sicurezza educano i dipendenti su come proteggere la propria organizzazione da varie violazioni o incidenti della sicurezza.
D2.is.is.b.1 Le minacce alla sicurezza delle informazioni vengono raccolte e condivise con i dipendenti interni applicabili.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS.
D2.is.is.b.1 Le minacce alla sicurezza delle informazioni vengono raccolte e condivise con i dipendenti interni applicabili.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTrailI dati offrono dettagli sull'attività delle chiamate API nell'account AWS.
D2.is.is.b.1 Le minacce alla sicurezza delle informazioni vengono raccolte e condivise con i dipendenti interni applicabili.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
D2.ma.ma.b.1 I record del registro di controllo e altri registri eventi di sicurezza vengono esaminati e conservati in modo sicuro.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
D2.ma.ma.b.1 I record del registro di controllo e altri registri eventi di sicurezza vengono esaminati e conservati in modo sicuro.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
D2.ma.ma.b.1 I record del registro di controllo e altri registri eventi di sicurezza vengono esaminati e conservati in modo sicuro.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
D2.ma.ma.b.1 I record del registro di controllo e altri registri eventi di sicurezza vengono esaminati e conservati in modo sicuro.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
D2.ma.ma.b.1 I record del registro di controllo e altri registri eventi di sicurezza vengono esaminati e conservati in modo sicuro.

s3-bucket-logging-enabled

La registrazione di accesso al server di Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
D2.ma.ma.b.1 I record del registro di controllo e altri registri eventi di sicurezza vengono esaminati e conservati in modo sicuro.

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP da e verso le interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
D2.ma.ma.b.1 I record del registro di controllo e altri registri eventi di sicurezza vengono esaminati e conservati in modo sicuro.

s3-bucket-default-lock-enabled

Assicurati che il bucket Amazon Simple Storage Service (Amazon Simple Storage Service (Amazon S3) sia abilitato per impostazione predefinita. Poiché i dati sensibili possono esistere a riposo nei bucket S3, applica i blocchi degli oggetti a riposo per proteggere tali dati.
D2.ma.ma.b.1 I record del registro di controllo e altri registri eventi di sicurezza vengono esaminati e conservati in modo sicuro.

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
D2.ma.ma.b.1 I record del registro di controllo e altri registri eventi di sicurezza vengono esaminati e conservati in modo sicuro.

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
D2.ma.ma.b.1 I record del registro di controllo e altri registri eventi di sicurezza vengono esaminati e conservati in modo sicuro.

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio nel tuo ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
D2.ma.ma.b.1 I record del registro di controllo e altri registri eventi di sicurezza vengono esaminati e conservati in modo sicuro.

wafv2-logging abilitato

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I registri di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta.
D2.ma.ma.b.1 I record del registro di controllo e altri registri eventi di sicurezza vengono esaminati e conservati in modo sicuro.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
D2.ma.ma.b.1 I record del registro di controllo e altri registri eventi di sicurezza vengono esaminati e conservati in modo sicuro.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTrailI dati offrono dettagli sull'attività delle chiamate API nell'account AWS.
D2.ma.ma.b.1 I record del registro di controllo e altri registri eventi di sicurezza vengono esaminati e conservati in modo sicuro.

ricerca elastica - logs-to-cloud watch

Verificare che AmazonOpenSearchI domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su AmazonCloudWatchRegistri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
D2.ma.ma.b.2 I log eventi del computer vengono utilizzati per indagini una volta che si è verificato un evento.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
D2.ma.ma.b.2 I log eventi del computer vengono utilizzati per indagini una volta che si è verificato un evento.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTrailI dati offrono dettagli sull'attività delle chiamate API nell'account AWS.
D2.ma.ma.b.2 I log eventi del computer vengono utilizzati per indagini una volta che si è verificato un evento.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
D2.ma.ma.b.2 I log eventi del computer vengono utilizzati per indagini una volta che si è verificato un evento.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
D2.ma.ma.b.2 I log eventi del computer vengono utilizzati per indagini una volta che si è verificato un evento.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
D2.ma.ma.b.2 I log eventi del computer vengono utilizzati per indagini una volta che si è verificato un evento.

s3-bucket-logging-enabled

La registrazione di accesso al server di Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
D2.ma.ma.b.2 I log eventi del computer vengono utilizzati per indagini una volta che si è verificato un evento.

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP da e verso le interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
D2.ma.ma.b.2 I log eventi del computer vengono utilizzati per indagini una volta che si è verificato un evento.

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
D2.ma.ma.b.2 I log eventi del computer vengono utilizzati per indagini una volta che si è verificato un evento.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
D2.ma.ma.b.2 I log eventi del computer vengono utilizzati per indagini una volta che si è verificato un evento.

ricerca elastica - logs-to-cloud watch

Verificare che AmazonOpenSearchI domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su AmazonCloudWatchRegistri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
D2.ti.ti.b.1 L'ente appartiene o sottoscrive una fonte di condivisione delle informazioni sulle minacce e sulle vulnerabilità che fornisce informazioni sulle minacce (ad esempio, FS-ISAC, US-CERT).

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
D2.ti.ti.b.1 L'ente appartiene o sottoscrive una fonte di condivisione delle informazioni sulle minacce e sulle vulnerabilità che fornisce informazioni sulle minacce (ad esempio, FS-ISAC, US-CERT).

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS.
D2.ti.ti.b.2 Le informazioni sulle minacce vengono utilizzate per monitorare minacce e vulnerabilità.

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutare con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
D2.ti.ti.b.2 Le informazioni sulle minacce vengono utilizzate per monitorare minacce e vulnerabilità.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS.
D2.ti.ti.b.2 Le informazioni sulle minacce vengono utilizzate per monitorare minacce e vulnerabilità.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
D2.ti.ti.b.3 Le informazioni sulle minacce vengono utilizzate per monitorare minacce e vulnerabilità.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
D2.ti.ti.b.3 Le informazioni sulle minacce vengono utilizzate per monitorare minacce e vulnerabilità.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS.
D3.CC.PM.B.1 Viene implementato un programma di gestione delle patch che assicura che le patch software e firmware vengano applicate tempestivamente.

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutare con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
D3.CC.PM.B.1 Viene implementato un programma di gestione delle patch che assicura che le patch software e firmware vengano applicate tempestivamente.

elastic-beanstalk-managed-updates-enabled

L'abilitazione degli aggiornamenti della piattaforma gestita per un ambiente Amazon Elastic Beanstalk garantisce l'installazione delle più recenti correzioni, aggiornamenti e funzionalità della piattaforma disponibili per l'ambiente. Mantenersi aggiornati con l'installazione delle patch è una buona pratica nella protezione dei sistemi.
D3.CC.PM.B.1 Viene implementato un programma di gestione delle patch che assicura che le patch software e firmware vengano applicate tempestivamente.

rds-automatic-minor-version-upgrade abilitato

Abilita gli aggiornamenti automatici delle versioni secondarie sulle istanze di Amazon Relational Database Service (RDS) per garantire che siano installati gli ultimi aggiornamenti della versione secondaria del Relational Database Management System (RDBMS), che possono includere patch di sicurezza e correzioni di bug.
D3.CC.PM.B.1 Viene implementato un programma di gestione delle patch che assicura che le patch software e firmware vengano applicate tempestivamente.

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. Nello specifico, hanno finestre di manutenzione preferite e periodi di conservazione automatica delle istantanee per il database. Questa regola richiede di impostare ilallowVersionUpgrade. Il valore predefinito è true. Consente inoltre di impostare facoltativamentepreferredMaintenanceWindow(il valore predefinito è sat: 16:00 -sab: 16:30) eautomatedSnapshotRetentionPeriodo (il valore predefinito è 1). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
D3.CC.PM.B.3 I report sulla gestione delle patch vengono esaminati e riflettono le patch di sicurezza mancanti.

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutare con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
D3.CC.PM.B.3 I report sulla gestione delle patch vengono esaminati e riflettono le patch di sicurezza mancanti.

elastic-beanstalk-managed-updates-enabled

L'abilitazione degli aggiornamenti della piattaforma gestita per un ambiente Amazon Elastic Beanstalk garantisce l'installazione delle più recenti correzioni, aggiornamenti e funzionalità della piattaforma disponibili per l'ambiente. Mantenersi aggiornati con l'installazione delle patch è una buona pratica nella protezione dei sistemi.
D3.CC.PM.B.3 I report sulla gestione delle patch vengono esaminati e riflettono le patch di sicurezza mancanti.

rds-automatic-minor-version-upgrade abilitato

Abilita gli aggiornamenti automatici delle versioni secondarie sulle istanze di Amazon Relational Database Service (RDS) per garantire che siano installati gli ultimi aggiornamenti della versione secondaria del Relational Database Management System (RDBMS), che possono includere patch di sicurezza e correzioni di bug.
D3.CC.PM.B.3 I report sulla gestione delle patch vengono esaminati e riflettono le patch di sicurezza mancanti.

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. Nello specifico, hanno finestre di manutenzione preferite e periodi di conservazione automatica delle istantanee per il database. Questa regola richiede di impostare ilallowVersionUpgrade. Il valore predefinito è true. Consente inoltre di impostare facoltativamentepreferredMaintenanceWindow(il valore predefinito è sat: 16:00 -sab: 16:30) eautomatedSnapshotRetentionPeriodo (il valore predefinito è 1). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
D3.dc.an.b.1 L'istituzione è in grado di rilevare attività anomale attraverso il monitoraggio in tutto l'ambiente.

guardduty-non-archived-findings

AmazonGuardDutyaiuta a comprendere l'impatto di un incidente classificando i risultati per gravità: bassa, media e alta. È possibile utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola permette l'impostazione facoltativadaysLowSev(Config Default: 30),daysMediumSev(Config Default: 7) edaysHighSev(Config Predefinito: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione.
D3.dc.an.b.1 L'istituzione è in grado di rilevare attività anomale attraverso il monitoraggio in tutto l'ambiente.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
D3.dc.an.b.1 L'istituzione è in grado di rilevare attività anomale attraverso il monitoraggio in tutto l'ambiente.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS.
D3.dc.an.b.2 Le transazioni dei clienti che generano avvisi di attività anomale vengono monitorate e revisionate.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS.
D3.dc.an.b.2 Le transazioni dei clienti che generano avvisi di attività anomale vengono monitorate e revisionate.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
D3.dc.an.b.3 I registri di accesso fisico e/o logico vengono esaminati dopo gli eventi.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
D3.dc.an.b.3 I registri di accesso fisico e/o logico vengono esaminati dopo gli eventi.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
D3.dc.an.b.3 I registri di accesso fisico e/o logico vengono esaminati dopo gli eventi.

s3-bucket-logging-enabled

La registrazione di accesso al server di Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
D3.dc.an.b.3 I registri di accesso fisico e/o logico vengono esaminati dopo gli eventi.

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio nel tuo ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
D3.dc.an.b.3 I registri di accesso fisico e/o logico vengono esaminati dopo gli eventi.

wafv2-logging abilitato

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I registri di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta.
D3.dc.an.b.3 I registri di accesso fisico e/o logico vengono esaminati dopo gli eventi.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTrailI dati offrono dettagli sull'attività delle chiamate API nell'account AWS.
D3.dc.an.b.3 I registri di accesso fisico e/o logico vengono esaminati dopo gli eventi.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
D3.dc.an.b.3 I registri di accesso fisico e/o logico vengono esaminati dopo gli eventi.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
D3.dc.an.b.3 I registri di accesso fisico e/o logico vengono esaminati dopo gli eventi.

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP da e verso le interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
D3.dc.an.b.3 I registri di accesso fisico e/o logico vengono esaminati dopo gli eventi.

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
D3.dc.an.b.3 I registri di accesso fisico e/o logico vengono esaminati dopo gli eventi.

ricerca elastica - logs-to-cloud watch

Verificare che AmazonOpenSearchI domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su AmazonCloudWatchRegistri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
D3.dc.an.b.4 L'accesso a sistemi critici da parte di terzi è monitorato per attività non autorizzate o insolite

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
D3.dc.an.b.4 L'accesso a sistemi critici da parte di terzi è monitorato per attività non autorizzate o insolite

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio nel tuo ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
D3.dc.an.b.4 L'accesso a sistemi critici da parte di terzi è monitorato per attività non autorizzate o insolite

wafv2-logging abilitato

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I registri di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta.
D3.dc.an.b.4 L'accesso a sistemi critici da parte di terzi è monitorato per attività non autorizzate o insolite

s3-bucket-logging-enabled

La registrazione di accesso al server di Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
D3.dc.an.b.4 L'accesso a sistemi critici da parte di terzi è monitorato per attività non autorizzate o insolite

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
D3.dc.an.b.4 L'accesso a sistemi critici da parte di terzi è monitorato per attività non autorizzate o insolite

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
D3.dc.an.b.4 L'accesso a sistemi critici da parte di terzi è monitorato per attività non autorizzate o insolite

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP da e verso le interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
D3.dc.an.b.4 L'accesso a sistemi critici da parte di terzi è monitorato per attività non autorizzate o insolite

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTrailI dati offrono dettagli sull'attività delle chiamate API nell'account AWS.
D3.dc.an.b.4 L'accesso a sistemi critici da parte di terzi è monitorato per attività non autorizzate o insolite

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
D3.dc.an.b.4 L'accesso a sistemi critici da parte di terzi è monitorato per attività non autorizzate o insolite

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
D3.dc.an.b.4 L'accesso a sistemi critici da parte di terzi è monitorato per attività non autorizzate o insolite

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
D3.dc.an.b.4 L'accesso a sistemi critici da parte di terzi è monitorato per attività non autorizzate o insolite

ricerca elastica - logs-to-cloud watch

Verificare che AmazonOpenSearchI domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su AmazonCloudWatchRegistri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
D3.dc.an.b.5 I privilegi elevati sono monitorati.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
D3.dc.an.b.5 I privilegi elevati sono monitorati.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTrailI dati offrono dettagli sull'attività delle chiamate API nell'account AWS.
D3.dc.ev.b.1 Viene stabilita una normale baseline dell'attività di rete.

lambda-concurrency-check

Questa regola assicura che vengano stabiliti i limiti alti e bassi di concorrenza di una funzione Lambda. Ciò può aiutare a baseline del numero di richieste che la funzione sta elaborando in un dato momento.
D3.dc.ev.b.1 Viene stabilita una normale baseline dell'attività di rete.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
D3.dc.ev.b.1 Viene stabilita una normale baseline dell'attività di rete.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTrailI dati offrono dettagli sull'attività delle chiamate API nell'account AWS.
D3.dc.ev.b.1 Viene stabilita una normale baseline dell'attività di rete.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
D3.dc.ev.b.1 Viene stabilita una normale baseline dell'attività di rete.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
D3.dc.ev.b.1 Viene stabilita una normale baseline dell'attività di rete.

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
D3.dc.ev.b.1 Viene stabilita una normale baseline dell'attività di rete.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
D3.dc.ev.b.1 Viene stabilita una normale baseline dell'attività di rete.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
D3.dc.ev.b.1 Viene stabilita una normale baseline dell'attività di rete.

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP da e verso le interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
D3.dc.ev.b.2 Sono in atto meccanismi (ad esempio avvisi antivirus, avvisi eventi di log) per la gestione degli avvisi a potenziali attacchi.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS.
D3.dc.ev.b.3 Sono in atto processi per monitorare la presenza di utenti, dispositivi, connessioni e software non autorizzati.

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP da e verso le interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
D3.dc.ev.b.3 Sono in atto processi per monitorare la presenza di utenti, dispositivi, connessioni e software non autorizzati.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS.
D3.dc.ev.b.3 Sono in atto processi per monitorare la presenza di utenti, dispositivi, connessioni e software non autorizzati.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
D3.dc.ev.b.3 Sono in atto processi per monitorare la presenza di utenti, dispositivi, connessioni e software non autorizzati.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
d3.dc.th.b.1 I test indipendenti (inclusi i test di penetrazione e la scansione delle vulnerabilità) vengono condotti in base alla valutazione del rischio per i sistemi esterni e la rete interna.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS.
d3.dc.th.b.1 I test indipendenti (inclusi i test di penetrazione e la scansione delle vulnerabilità) vengono condotti in base alla valutazione del rischio per i sistemi esterni e la rete interna.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
d3.dc.th.b.1 I test indipendenti (inclusi i test di penetrazione e la scansione delle vulnerabilità) vengono condotti in base alla valutazione del rischio per i sistemi esterni e la rete interna.

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutare con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
D3.pc.am.b.1 L'accesso dei dipendenti è concesso ai sistemi e ai dati riservati in base alle responsabilità lavorative e ai principi del minimo privilegio.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Action»: «*» over «Resource»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
D3.pc.am.b.1 L'accesso dei dipendenti è concesso ai sistemi e ai dati riservati in base alle responsabilità lavorative e ai principi del minimo privilegio.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
D3.pc.am.b.1 L'accesso dei dipendenti è concesso ai sistemi e ai dati riservati in base alle responsabilità lavorative e ai principi del minimo privilegio.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
D3.pc.am.b.1 L'accesso dei dipendenti è concesso ai sistemi e ai dati riservati in base alle responsabilità lavorative e ai principi del minimo privilegio.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
D3.pc.am.b.1 L'accesso dei dipendenti è concesso ai sistemi e ai dati riservati in base alle responsabilità lavorative e ai principi del minimo privilegio.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
D3.pc.am.b.1 L'accesso dei dipendenti è concesso ai sistemi e ai dati riservati in base alle responsabilità lavorative e ai principi del minimo privilegio.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
D3.pc.am.b.1 L'accesso dei dipendenti è concesso ai sistemi e ai dati riservati in base alle responsabilità lavorative e ai principi del minimo privilegio.

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può aiutare con la gestione dei privilegi e delle autorizzazioni minimi.
D3.pc.am.b.1 L'accesso dei dipendenti è concesso ai sistemi e ai dati riservati in base alle responsabilità lavorative e ai principi del minimo privilegio.

ecs-task-definition-user-per-host-mode check

Se una definizione di attività ha privilegi elevati, è perché il cliente ha specificamente optato per tali configurazioni. Questo controllo verifica la presenza di un'escalation imprevista dei privilegi quando una definizione di attività ha abilitato la rete host ma il cliente non ha optato per privilegi elevati.
D3.pc.am.b.1 L'accesso dei dipendenti è concesso ai sistemi e ai dati riservati in base alle responsabilità lavorative e ai principi del minimo privilegio.

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e separazione dei doveri. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione
D3.pc.am.b.1 L'accesso dei dipendenti è concesso ai sistemi e ai dati riservati in base alle responsabilità lavorative e ai principi del minimo privilegio.

azioni iam-inline-policy-blocked-kms-actions

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
D3.pc.am.b.1 L'accesso dei dipendenti è concesso ai sistemi e ai dati riservati in base alle responsabilità lavorative e ai principi del minimo privilegio.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
D3.pc.am.b.10 Gli ambienti di produzione e non di produzione sono separati per impedire l'accesso non autorizzato o le modifiche alle risorse informative. (*N/A se non esiste un ambiente di produzione presso l'ente o il terzo dell'ente.)

ec2-instances-in-vpc

Distribuisci istanze Amazon Elastic Compute Cloud (Amazon EC2) in un Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
D3.pc.am.b.10 Gli ambienti di produzione e non di produzione sono separati per impedire l'accesso non autorizzato o le modifiche alle risorse informative. (*N/A se non esiste un ambiente di produzione presso l'ente o il terzo dell'ente.)

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel AWS assicurando che le porte comuni siano limitate nei Gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
D3.pc.am.b.10 Gli ambienti di produzione e non di produzione sono separati per impedire l'accesso non autorizzato o le modifiche alle risorse informative. (*N/A se non esiste un ambiente di produzione presso l'ente o il terzo dell'ente.)

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non permettere l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse consente di limitare l'accesso remoto.
D3.pc.am.b.10 Gli ambienti di produzione e non di produzione sono separati per impedire l'accesso non autorizzato o le modifiche alle risorse informative. (*N/A se non esiste un ambiente di produzione presso l'ente o il terzo dell'ente.)

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud di AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
D3.pc.am.b.12 Tutte le password sono crittografate nello storage e in transito.

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono eseguire l'autenticazione sono denominati principali. I principali si trovano all'interno di un regno Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC si autentica emettendo ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
D3.pc.am.b.12 Tutte le password sono crittografate nello storage e in transito.

ec2-ebs-encryption-by-default

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati.
D3.pc.am.b.12 Tutte le password sono crittografate nello storage e in transito.

S3-bucket-server-side-encryption-enabled

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati.
D3.pc.am.b.12 Tutte le password sono crittografate nello storage e in transito.

s3-bucket-ssl-requests-only

Per proteggere i dati durante il trasporto, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste per usare Secure Socket Layer (SSL). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
D3.pc.am.b.12 Tutte le password sono crittografate nello storage e in transito.

rds-storage-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati.
D3.pc.am.b.12 Tutte le password sono crittografate nello storage e in transito.

encrypted-volumes

Poiché possono esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS).
D3.pc.am.b.12 Tutte le password sono crittografate nello storage e in transito.

efs-encrypted-check

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo Amazon Elastic File System (EFS).
D3.pc.am.b.12 Tutte le password sono crittografate nello storage e in transito.

elasticsearch-encrypted-at-rest

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per AmazonOpenSearchService (Servizio)OpenSearchDomini Service).
D3.pc.am.b.12 Tutte le password sono crittografate nello storage e in transito.

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantirenode-to-nodecrittografia per AmazonOpenSearchIl servizio è abilitato. Node-to-nodeLa crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
D3.pc.am.b.12 Tutte le password sono crittografate nello storage e in transito.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
D3.pc.am.b.12 Tutte le password sono crittografate nello storage e in transito.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
D3.pc.am.b.12 Tutte le password sono crittografate nello storage e in transito.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
D3.pc.am.b.12 Tutte le password sono crittografate nello storage e in transito.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
D3.pc.am.b.12 Tutte le password sono crittografate nello storage e in transito.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
D3.pc.am.b.12 Tutte le password sono crittografate nello storage e in transito.

backup-recovery-point crittografato

Assicurati che la crittografia sia abilitata per i punti di ripristino di AWS Backup. Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
D3.pc.am.b.12 Tutte le password sono crittografate nello storage e in transito.

redshift-cluster-kms-enabled

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il cluster Amazon Redshift. Poiché i dati sensibili possono esistere a riposo nei cluster Redshift, abilitare la crittografia a riposo per proteggere tali dati.
D3.pc.am.b.12 Tutte le password sono crittografate nello storage e in transito.

s3-default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo in un bucket Amazon S3, abilitare la crittografia a riposo per proteggere tali dati.
D3.pc.am.b.13 I dati riservati vengono crittografati quando vengono trasmessi su reti pubbliche o non attendibili (ad esempio Internet).

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
D3.pc.am.b.13 I dati riservati vengono crittografati quando vengono trasmessi su reti pubbliche o non attendibili (ad esempio Internet).

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
D3.pc.am.b.13 I dati riservati vengono crittografati quando vengono trasmessi su reti pubbliche o non attendibili (ad esempio Internet).

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
D3.pc.am.b.13 I dati riservati vengono crittografati quando vengono trasmessi su reti pubbliche o non attendibili (ad esempio Internet).

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
D3.pc.am.b.13 I dati riservati vengono crittografati quando vengono trasmessi su reti pubbliche o non attendibili (ad esempio Internet).

s3-bucket-ssl-requests-only

Per proteggere i dati durante il trasporto, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste per usare Secure Socket Layer (SSL). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
D3.pc.am.b.13 I dati riservati vengono crittografati quando vengono trasmessi su reti pubbliche o non attendibili (ad esempio Internet).

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
D3.pc.am.b.13 I dati riservati vengono crittografati quando vengono trasmessi su reti pubbliche o non attendibili (ad esempio Internet).

elbv2-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
D3.pc.am.b.15 L'accesso remoto ai sistemi critici da parte di dipendenti, appaltatori e terze parti utilizza connessioni crittografate e autenticazione multifattore.

s3-bucket-ssl-requests-only

Per proteggere i dati durante il trasporto, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste per usare Secure Socket Layer (SSL). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
D3.pc.am.b.15 L'accesso remoto ai sistemi critici da parte di dipendenti, appaltatori e terze parti utilizza connessioni crittografate e autenticazione multifattore.

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
D3.pc.am.b.15 L'accesso remoto ai sistemi critici da parte di dipendenti, appaltatori e terze parti utilizza connessioni crittografate e autenticazione multifattore.

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
D3.pc.am.b.15 L'accesso remoto ai sistemi critici da parte di dipendenti, appaltatori e terze parti utilizza connessioni crittografate e autenticazione multifattore.

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
D3.pc.am.b.15 L'accesso remoto ai sistemi critici da parte di dipendenti, appaltatori e terze parti utilizza connessioni crittografate e autenticazione multifattore.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
D3.pc.am.b.15 L'accesso remoto ai sistemi critici da parte di dipendenti, appaltatori e terze parti utilizza connessioni crittografate e autenticazione multifattore.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
D3.pc.am.b.15 L'accesso remoto ai sistemi critici da parte di dipendenti, appaltatori e terze parti utilizza connessioni crittografate e autenticazione multifattore.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
D3.pc.am.b.16 Sono in atto controlli amministrativi, fisici o tecnici per impedire agli utenti senza responsabilità amministrative di installare software non autorizzato.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Action»: «*» over «Resource»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
D3.pc.am.b.16 Sono in atto controlli amministrativi, fisici o tecnici per impedire agli utenti senza responsabilità amministrative di installare software non autorizzato.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
D3.pc.am.b.16 Sono in atto controlli amministrativi, fisici o tecnici per impedire agli utenti senza responsabilità amministrative di installare software non autorizzato.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
D3.pc.am.b.16 Sono in atto controlli amministrativi, fisici o tecnici per impedire agli utenti senza responsabilità amministrative di installare software non autorizzato.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
D3.pc.am.b.2 L'accesso dei dipendenti ai sistemi e ai dati riservati prevede la separazione dei compiti.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Action»: «*» over «Resource»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
D3.pc.am.b.2 L'accesso dei dipendenti ai sistemi e ai dati riservati prevede la separazione dei compiti.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
D3.pc.am.b.2 L'accesso dei dipendenti ai sistemi e ai dati riservati prevede la separazione dei compiti.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
D3.pc.am.b.3 I privilegi elevati (ad esempio, i privilegi di amministratore) sono limitati e strettamente controllati (ad esempio, assegnati a individui, non condivisi e richiedono controlli password più potenti)

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
D3.pc.am.b.3 I privilegi elevati (ad esempio, i privilegi di amministratore) sono limitati e strettamente controllati (ad esempio, assegnati a individui, non condivisi e richiedono controlli password più potenti)

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
D3.pc.am.b.3 I privilegi elevati (ad esempio, i privilegi di amministratore) sono limitati e strettamente controllati (ad esempio, assegnati a individui, non condivisi e richiedono controlli password più potenti).

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
D3.pc.am.b.3 I privilegi elevati (ad esempio, i privilegi di amministratore) sono limitati e strettamente controllati (ad esempio, assegnati a individui, non condivisi e richiedono controlli password più potenti)

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
D3.pc.am.b.3 I privilegi elevati (ad esempio, i privilegi di amministratore) sono limitati e strettamente controllati (ad esempio, assegnati a individui, non condivisi e richiedono controlli password più potenti)

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Action»: «*» over «Resource»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
D3.pc.am.b.3 I privilegi elevati (ad esempio, i privilegi di amministratore) sono limitati e strettamente controllati (ad esempio, assegnati a individui, non condivisi e richiedono controlli password più potenti)

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
D3.pc.am.b.6 L'identificazione e l'autenticazione sono richieste e gestite per l'accesso a sistemi, applicazioni e hardware.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede l'impostazione di un valore permaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
D3.pc.am.b.6 L'identificazione e l'autenticazione sono richieste e gestite per l'accesso a sistemi, applicazioni e hardware.

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(valore delle best practice AWS Foundational Security Best Practices: true),RequireNumbers(valore delle best practice AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
D3.pc.am.b.6 L'identificazione e l'autenticazione sono richieste e gestite per l'accesso a sistemi, applicazioni e hardware.

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce l'abilitazione a più fattori (MFA) per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
D3.pc.am.b.6 L'identificazione e l'autenticazione sono richieste e gestite per l'accesso a sistemi, applicazioni e hardware.

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
D3.pc.am.b.6 L'identificazione e l'autenticazione sono richieste e gestite per l'accesso a sistemi, applicazioni e hardware.

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
D3.pc.am.b.6 L'identificazione e l'autenticazione sono richieste e gestite per l'accesso a sistemi, applicazioni e hardware.

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
D3.pc.am.b.6 L'identificazione e l'autenticazione sono richieste e gestite per l'accesso a sistemi, applicazioni e hardware.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
D3.pc.am.b.6 L'identificazione e l'autenticazione sono richieste e gestite per l'accesso a sistemi, applicazioni e hardware.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
D3.pc.am.b.6 L'identificazione e l'autenticazione sono richieste e gestite per l'accesso a sistemi, applicazioni e hardware.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Action»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
D3.pc.am.b.6 L'identificazione e l'autenticazione sono richieste e gestite per l'accesso a sistemi, applicazioni e hardware.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
D3.pc.am.b.6 L'identificazione e l'autenticazione sono richieste e gestite per l'accesso a sistemi, applicazioni e hardware.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
D3.pc.am.b.7 I controlli di accesso includono complessità delle password e limiti ai tentativi e al riutilizzo delle password.

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(valore delle best practice AWS Foundational Security Best Practices: true),RequireNumbers(valore delle best practice AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
D3.pc.am.b.8 Tutte le password predefinite e gli account predefiniti non necessari vengono modificati prima dell'implementazione del sistema.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
D3.pc.im.b.1 Vengono utilizzati strumenti di difesa perimetrale di rete (ad esempio, router di confine e firewall).

acm-certificate-expiration-check

Assicurati che l'integrità della rete sia protetta assicurando che i certificati X509 vengano emessi da AWS ACM. Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore perdaysToExpiration(Valore AWS Foundational Security Best Practices: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
D3.pc.im.b.1 Vengono utilizzati strumenti di difesa perimetrale di rete (ad esempio, router di confine e firewall).

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
D3.pc.im.b.1 Vengono utilizzati strumenti di difesa perimetrale di rete (ad esempio, router di confine e firewall).

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
D3.pc.im.b.1 Vengono utilizzati strumenti di difesa perimetrale di rete (ad esempio, router di confine e firewall).

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
D3.pc.im.b.1 Vengono utilizzati strumenti di difesa perimetrale di rete (ad esempio, router di confine e firewall).

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (Servizio)OpenSearchI domini Service) si trovano all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizi e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
D3.pc.im.b.1 Vengono utilizzati strumenti di difesa perimetrale di rete (ad esempio, router di confine e firewall).

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
D3.pc.im.b.1 Vengono utilizzati strumenti di difesa perimetrale di rete (ad esempio, router di confine e firewall).

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non permettere l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse consente di limitare l'accesso remoto.
D3.pc.im.b.1 Vengono utilizzati strumenti di difesa perimetrale di rete (ad esempio, router di confine e firewall).

ec2-instances-in-vpc

Distribuisci istanze Amazon Elastic Compute Cloud (Amazon EC2) in un Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
D3.pc.im.b.1 Vengono utilizzati strumenti di difesa perimetrale di rete (ad esempio, router di confine e firewall).

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non possano essere accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
D3.pc.im.b.1 Vengono utilizzati strumenti di difesa perimetrale di rete (ad esempio, router di confine e firewall).

lambda-inside-vpc

Distribuisci le funzioni AWS Lambda in un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non è necessario disporre di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
D3.pc.im.b.1 Vengono utilizzati strumenti di difesa perimetrale di rete (ad esempio, router di confine e firewall).

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
D3.pc.im.b.1 Vengono utilizzati strumenti di difesa perimetrale di rete (ad esempio, router di confine e firewall).

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
D3.pc.im.b.1 Vengono utilizzati strumenti di difesa perimetrale di rete (ad esempio, router di confine e firewall).

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
D3.pc.im.b.1 Vengono utilizzati strumenti di difesa perimetrale di rete (ad esempio, router di confine e firewall).

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud di AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
D3.pc.im.b.1 Vengono utilizzati strumenti di difesa perimetrale di rete (ad esempio, router di confine e firewall).

s3-bucket-public-read-prohibited

Gestisci l'accesso alle risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
D3.pc.im.b.1 Vengono utilizzati strumenti di difesa perimetrale di rete (ad esempio, router di confine e firewall).

s3-bucket-public-write-prohibited

Gestisci l'accesso alle risorse nel cloud AWS consentendo solo a utenti autorizzati, processi e dispositivi l'accesso ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
D3.pc.im.b.1 Vengono utilizzati strumenti di difesa perimetrale di rete (ad esempio, router di confine e firewall).

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
D3.pc.im.b.1 Vengono utilizzati strumenti di difesa perimetrale di rete (ad esempio, router di confine e firewall).

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita alle risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
D3.pc.im.b.1 Vengono utilizzati strumenti di difesa perimetrale di rete (ad esempio, router di confine e firewall).

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive nell'ambiente.
D3.pc.im.b.1 Vengono utilizzati strumenti di difesa perimetrale di rete (ad esempio, router di confine e firewall).

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel AWS assicurando che le porte comuni siano limitate nei Gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
D3.pc.im.b.1 Vengono utilizzati strumenti di difesa perimetrale di rete (ad esempio, router di confine e firewall).

api-gw-associato-con-waf

AWS WAF consente di configurare un set di regole (chiamato lista di controllo accessi Web (Web ACL)) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi
D3.pc.im.b.1 Vengono utilizzati strumenti di difesa perimetrale di rete (ad esempio, router di confine e firewall).

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
D3.pc.im.b.1 Vengono utilizzati strumenti di difesa perimetrale di rete (ad esempio, router di confine e firewall).

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
D3.pc.im.b.1 Vengono utilizzati strumenti di difesa perimetrale di rete (ad esempio, router di confine e firewall).

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud di AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
D3.pc.im.b.1 Vengono utilizzati strumenti di difesa perimetrale di rete (ad esempio, router di confine e firewall).

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud di AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
D3.pc.im.b.1 Vengono utilizzati strumenti di difesa perimetrale di rete (ad esempio, router di confine e firewall).

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
D3.pc.im.b.1 Vengono utilizzati strumenti di difesa perimetrale di rete (ad esempio, router di confine e firewall).

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
D3.pc.im.b.1 Vengono utilizzati strumenti di difesa perimetrale di rete (ad esempio, router di confine e firewall).

redshift-enhanced-vpc-routing-enabled

Il routing VPC avanzato forza il passaggio di tutto il traffico dei comandi COPY e UNLOAD tra il cluster e i repository di dati a passare attraverso Amazon VPC. È quindi possibile utilizzare funzionalità VPC come gruppi di sicurezza e elenchi di controllo dell'accesso alla rete per proteggere il traffico di rete. È inoltre possibile utilizzare i registri di flusso VPC per monitorare il traffico di rete.
D3.PC.IM.B.2 I sistemi a cui si accede da Internet o da parti esterne sono protetti da firewall o altri dispositivi simili.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita alle risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
D3.PC.IM.B.2 I sistemi a cui si accede da Internet o da parti esterne sono protetti da firewall o altri dispositivi simili.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel AWS assicurando che le porte comuni siano limitate nei Gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
D3.PC.IM.B.2 I sistemi a cui si accede da Internet o da parti esterne sono protetti da firewall o altri dispositivi simili.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non permettere l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse consente di limitare l'accesso remoto.
D3.PC.IM.B.2 I sistemi a cui si accede da Internet o da parti esterne sono protetti da firewall o altri dispositivi simili.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud di AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
D3.PC.IM.B.2 I sistemi a cui si accede da Internet o da parti esterne sono protetti da firewall o altri dispositivi simili.

api-gw-associato-con-waf

AWS WAF consente di configurare un set di regole (chiamato lista di controllo accessi Web (Web ACL)) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi
D3.PC.IM.B.2 I sistemi a cui si accede da Internet o da parti esterne sono protetti da firewall o altri dispositivi simili.

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive nell'ambiente.
D3.PC.IM.B.3 Tutte le porte sono monitorate.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
D3.PC.IM.B.3 Tutte le porte sono monitorate.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTrailI dati offrono dettagli sull'attività delle chiamate API nell'account AWS.
D3.PC.IM.B.3 Tutte le porte sono monitorate.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
D3.PC.IM.B.3 Tutte le porte sono monitorate.

wafv2-logging abilitato

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I registri di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta.
D3.PC.IM.B.3 Tutte le porte sono monitorate.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
D3.PC.IM.B.3 Tutte le porte sono monitorate.

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP da e verso le interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
D3.pc.im.b.5 Le configurazioni dei sistemi (per server, desktop, router, ecc.) seguono gli standard del settore e vengono applicate

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
D3.pc.im.b.5 Le configurazioni dei sistemi (per server, desktop, router, ecc.) seguono gli standard del settore e vengono applicate

ec2-instance-managed-by-systems-manager

Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
D3.pc.im.b.5 Le configurazioni dei sistemi (per server, desktop, router, ecc.) seguono gli standard del settore e vengono applicate

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutare con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
D3.PC.IM.B.6 Porte, funzioni, protocolli e servizi sono vietati se non più necessari per scopi aziendali.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel AWS assicurando che le porte comuni siano limitate nei Gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
D3.PC.IM.B.6 Porte, funzioni, protocolli e servizi sono vietati se non più necessari per scopi aziendali.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita alle risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
D3.PC.IM.B.6 Porte, funzioni, protocolli e servizi sono vietati se non più necessari per scopi aziendali.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non permettere l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse consente di limitare l'accesso remoto.
D3.PC.IM.B.6 Porte, funzioni, protocolli e servizi sono vietati se non più necessari per scopi aziendali.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud di AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
D3.pc.im.b.7 L'accesso per apportare modifiche alle configurazioni di sistema (incluse macchine virtuali e hypervisor) è controllato e monitorato.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
D3.pc.im.b.7 L'accesso per apportare modifiche alle configurazioni di sistema (incluse macchine virtuali e hypervisor) è controllato e monitorato.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
D3.pc.im.b.7 L'accesso per apportare modifiche alle configurazioni di sistema (incluse macchine virtuali e hypervisor) è controllato e monitorato.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
D3.pc.im.b.7 L'accesso per apportare modifiche alle configurazioni di sistema (incluse macchine virtuali e hypervisor) è controllato e monitorato.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Action»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
D3.pc.im.b.7 L'accesso per apportare modifiche alle configurazioni di sistema (incluse macchine virtuali e hypervisor) è controllato e monitorato.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
D3.pc.im.b.7 L'accesso per apportare modifiche alle configurazioni di sistema (incluse macchine virtuali e hypervisor) è controllato e monitorato.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTrailI dati offrono dettagli sull'attività delle chiamate API nell'account AWS.
D3.pc.im.b.7 L'accesso per apportare modifiche alle configurazioni di sistema (incluse macchine virtuali e hypervisor) è controllato e monitorato.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
D3.pc.se.b.1 Gli sviluppatori che lavorano per l'istituzione seguono pratiche di codifica sicura dei programmi, nell'ambito di un ciclo di vita di sviluppo del sistema (SDLC), che soddisfano gli standard del settore.

codebuild-project-envvar-awscred-check

Assicurati che le credenziali di autenticazione AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY non esistano negli ambienti di progetto AWS Codebuild. Non memorizzare queste variabili in testo chiaro. La memorizzazione di queste variabili in testo non crittografato comporta l'esposizione non intenzionale dei dati e l'accesso non autorizzato.
D3.pc.se.b.1 Gli sviluppatori che lavorano per l'istituzione seguono pratiche di codifica sicura dei programmi, nell'ambito di un ciclo di vita di sviluppo del sistema (SDLC), che soddisfano gli standard del settore.

codebuild-project-source-repo-url-check

Garantire laGitHubo l'URL del repository di origine Bitbucket non contiene token di accesso personali, nome utente e password nell'ambiente di progetto AWS Codebuild. Utilizzare OAuth anziché token di accesso personali o un nome utente e una password per concedere l'autorizzazione per accedereGitHubo repository Bitbucket.
D4.C.Co.B.2 L'istituzione garantisce che le connessioni di terze parti siano autorizzate.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel AWS assicurando che le porte comuni siano limitate nei Gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
D4.C.Co.B.2 L'istituzione garantisce che le connessioni di terze parti siano autorizzate.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita alle risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
D4.C.Co.B.2 L'istituzione garantisce che le connessioni di terze parti siano autorizzate.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non permettere l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse consente di limitare l'accesso remoto.
D4.C.Co.B.2 L'istituzione garantisce che le connessioni di terze parti siano autorizzate.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud di AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
D5.dr.de.b.1 I parametri di avviso sono impostati per rilevare gli incidenti di sicurezza delle informazioni che richiedono azioni di attenuazione.

cloudwatch-alarm-action-check

AmazonCloudWatchavvisa quando una metrica supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionObbligatorio Config impostazione predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
D5.dr.de.b.1 I parametri di avviso sono impostati per rilevare gli incidenti di sicurezza delle informazioni che richiedono azioni di attenuazione.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
D5.dr.de.b.1 I parametri di avviso sono impostati per rilevare gli incidenti di sicurezza delle informazioni che richiedono azioni di attenuazione.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS.
D5.dr.de.b.2 I report sulle prestazioni del sistema contengono informazioni che possono essere utilizzate come indicatore di rischio per rilevare incidenti sulla sicurezza delle informazioni

lambda-dlq-check

Abilita questa regola per informare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione non è riuscita.
D5.dr.de.b.2 I report sulle prestazioni del sistema contengono informazioni che possono essere utilizzate come indicatore di rischio per rilevare incidenti sulla sicurezza delle informazioni

dynamodb-throughput-limit-check

Attiva questa regola per garantire che la capacità di throughput di provisioning sia controllata sulle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura/scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando il throughput si avvicina al limite massimo per l'account di un cliente. Questa regola consente di impostare facoltativamente AccountRCUThresholdPercentage(Config Default: 80) e accountWCUThresholdPercentage(Config Default: 80) parametri. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
D5.dr.de.b.3 Sono in atto strumenti e processi per rilevare, avvisare e attivare il programma di risposta agli incidenti.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
D5.dr.de.b.3 Sono in atto strumenti e processi per rilevare, avvisare e attivare il programma di risposta agli incidenti.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
D5.dr.de.b.3 Sono in atto strumenti e processi per rilevare, avvisare e attivare il programma di risposta agli incidenti.

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
D5.dr.de.b.3 Sono in atto strumenti e processi per rilevare, avvisare e attivare il programma di risposta agli incidenti.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
D5.dr.de.b.3 Sono in atto strumenti e processi per rilevare, avvisare e attivare il programma di risposta agli incidenti.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
D5.dr.de.b.3 Sono in atto strumenti e processi per rilevare, avvisare e attivare il programma di risposta agli incidenti.

s3-bucket-logging-enabled

La registrazione di accesso al server di Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
D5.dr.de.b.3 Sono in atto strumenti e processi per rilevare, avvisare e attivare il programma di risposta agli incidenti.

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio nel tuo ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
D5.dr.de.b.3 Sono in atto strumenti e processi per rilevare, avvisare e attivare il programma di risposta agli incidenti.

wafv2-logging abilitato

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I registri di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta.
D5.dr.de.b.3 Sono in atto strumenti e processi per rilevare, avvisare e attivare il programma di risposta agli incidenti.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTrailI dati offrono dettagli sull'attività delle chiamate API nell'account AWS.
D5.dr.de.b.3 Sono in atto strumenti e processi per rilevare, avvisare e attivare il programma di risposta agli incidenti.

cloudwatch-alarm-action-check

AmazonCloudWatchavvisa quando una metrica supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionObbligatorio Config impostazione predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
D5.dr.de.b.3 Sono in atto strumenti e processi per rilevare, avvisare e attivare il programma di risposta agli incidenti.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS.
D5.dr.de.b.3 Sono in atto strumenti e processi per rilevare, avvisare e attivare il programma di risposta agli incidenti.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
d5.er.es.b.4 Gli incidenti sono classificati, registrati e monitorati.

guardduty-non-archived-findings

AmazonGuardDutyaiuta a comprendere l'impatto di un incidente classificando i risultati per gravità: bassa, media e alta. È possibile utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola permette l'impostazione facoltativadaysLowSev(Config Default: 30),daysMediumSev(Config Default: 7) edaysHighSev(Config Predefinito: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione.
D5.ir.pl.b.1 L'istituzione ha documentato come reagirà e risponderà agli incidenti informatici. response-plan-exists-mantenuto (controllo del processo) Assicurarsi che i piani di risposta agli incidenti siano stabiliti, mantenuti e distribuiti al personale responsabile.
D5.ir.pl.b.6 L'istituto prevede di utilizzare i programmi di business continuity, disaster recovery e backup dei dati per recuperare le operazioni in seguito a un incidente.

s3-bucket-versioning-enabled

Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa questa funzione per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni ti aiuta a eseguire facilmente il ripristino dopo operazioni involontarie dell'utente e guasti dell'applicazione.
D5.ir.pl.b.6 L'istituto prevede di utilizzare i programmi di business continuity, disaster recovery e backup dei dati per recuperare le operazioni in seguito a un incidente.

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling utilizza il servizio AWS Application Auto Scaling per regolare la capacità di throughput fornita che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura/scrittura assegnata per gestire improvvisi aumenti di traffico, senza alcuna limitazione.
D5.ir.pl.b.6 L'istituto prevede di utilizzare i programmi di business continuity, disaster recovery e backup dei dati per recuperare le operazioni in seguito a un incidente.

dynamodb-pitr-enabled

Abilitare questa regola per verificare che le informazioni siano state sottoposte a backup. Inoltre, mantiene i backup garantendo chepoint-in-timeIl ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
D5.ir.pl.b.6 L'istituto prevede di utilizzare i programmi di business continuity, disaster recovery e backup dei dati per recuperare le operazioni in seguito a un incidente.

vpc-vpn-2-tunnels-up

I tunnel Site-to-Site VPN ridondanti possono essere implementati per ottenere i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso una delle connessioni Site-to-Site VPN non sia disponibile. Per evitare la perdita di connettività, nel caso in cui il gateway del cliente non sia disponibile, puoi configurare una seconda connessione Site-to-Site VPN al tuo Amazon Virtual Private Cloud (Amazon VPC) e al gateway virtuale privato utilizzando un secondo gateway del cliente.
D5.ir.pl.b.6 L'istituto prevede di utilizzare i programmi di business continuity, disaster recovery e backup dei dati per recuperare le operazioni in seguito a un incidente.

dynamodb-throughput-limit-check

Attiva questa regola per garantire che la capacità di throughput di provisioning sia controllata sulle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura/scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando il throughput si avvicina al limite massimo per l'account di un cliente. Questa regola consente di impostare facoltativamente AccountRCUThresholdPercentage(Config Default: 80) e accountWCUThresholdPercentage(Config Default: 80) parametri. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
D5.ir.pl.b.6 L'istituto prevede di utilizzare i programmi di business continuity, disaster recovery e backup dei dati per recuperare le operazioni in seguito a un incidente.

rds-enhanced-monitoring-enabled

È possibile attivare Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità Amazon RDS. Ciò fornisce una visibilità dettagliata dello stato delle istanze di database Amazon RDS. Quando lo storage Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ciascun dispositivo. Inoltre, quando l'istanza del database Amazon RDS è in esecuzione in una distribuzione Multi-AZ, vengono raccolti i dati per ciascun dispositivo sull'host secondario e le metriche dell'host secondario.
D5.ir.pl.b.6 L'istituto prevede di utilizzare i programmi di business continuity, disaster recovery e backup dei dati per recuperare le operazioni in seguito a un incidente.

elb-cross-zone-load-balancing-abilitato

Abilita il bilanciamento del carico tra zone per i tuoi Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere un numero equivalente di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze.
D5.ir.pl.b.6 L'istituto prevede di utilizzare i programmi di business continuity, disaster recovery e backup dei dati per recuperare le operazioni in seguito a un incidente.

rds-instance-deletion-protection-enabled

Assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) abbiano abilitata la protezione dall'eliminazione. Utilizza la protezione dall'eliminazione per evitare che le tue istanze Amazon RDS vengano cancellate accidentalmente o dannosamente, il che può comportare una perdita di disponibilità per le tue applicazioni.
D5.ir.pl.b.6 L'istituto prevede di utilizzare i programmi di business continuity, disaster recovery e backup dei dati per recuperare le operazioni in seguito a un incidente.

elb-deletion-protection-enabled

Questa regola assicura che Elastic Load Balancing abbia la protezione da eliminazione abilitata. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni.
D5.ir.pl.b.6 L'istituto prevede di utilizzare i programmi di business continuity, disaster recovery e backup dei dati per recuperare le operazioni in seguito a un incidente.

autoscaling-group-elb-healthcheck-required

I controlli di integrità Elastic Load Balancer (ELB) per i gruppi Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) supportano il mantenimento di capacità e disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ping, effettua tentativi di connessione o invia richieste per testare l'integrità delle istanze Amazon EC2 in un gruppo di auto-scaling. Se un'istanza non viene segnalata, il traffico viene inviato a una nuova istanza Amazon EC2.
D5.ir.pl.b.6 L'istituto prevede di utilizzare i programmi di business continuity, disaster recovery e backup dei dati per recuperare le operazioni in seguito a un incidente.

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
D5.ir.pl.b.6 L'istituto prevede di utilizzare i programmi di business continuity, disaster recovery e backup dei dati per recuperare le operazioni in seguito a un incidente.

rds-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le istanze Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
D5.ir.pl.b.6 L'istituto prevede di utilizzare i programmi di business continuity, disaster recovery e backup dei dati per recuperare le operazioni in seguito a un incidente.

efs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
D5.ir.pl.b.6 L'istituto prevede di utilizzare i programmi di business continuity, disaster recovery e backup dei dati per recuperare le operazioni in seguito a un incidente.

ebs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) siano parte integrante di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
D5.ir.pl.b.6 L'istituto prevede di utilizzare i programmi di business continuity, disaster recovery e backup dei dati per recuperare le operazioni in seguito a un incidente.

dynamic odb-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
D5.ir.pl.b.6 L'istituto prevede di utilizzare i programmi di business continuity, disaster recovery e backup dei dati per recuperare le operazioni in seguito a un incidente.

elasticache-redis-cluster-automatic-backup-check

Quando i backup automatici sono abilitati, AmazonElastiCachecrea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. In caso di esito negativo, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente.
D5.ir.pl.b.6 L'istituto prevede di utilizzare i programmi di business continuity, disaster recovery e backup dei dati per recuperare le operazioni in seguito a un incidente.

rds-multi-az-support

Il supporto multi-AZ in Amazon Relational Database Service (Amazon RDS) fornisce maggiore disponibilità e durata per le istanze di database. Quando esegui il provisioning di un'istanza di database Multi-AZ, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati in un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su un'infrastruttura fisica, distinta e indipendente ed è progettata in modo da essere altamente affidabili. In caso di guasto all'infrastruttura, Amazon RDS esegue un failover automatico sullo standby in modo da poter riprendere le operazioni del database non appena il failover è stato completato.
D5.ir.pl.b.6 L'istituto prevede di utilizzare i programmi di business continuity, disaster recovery e backup dei dati per recuperare le operazioni in seguito a un incidente.

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea automaticamente una snapshot dei volumi di storage dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
D5.ir.pl.b.6 L'istituto prevede di utilizzare i programmi di business continuity, disaster recovery e backup dei dati per recuperare le operazioni in seguito a un incidente.

lambda-concurrency-check

Questa regola assicura che vengano stabiliti i limiti alti e bassi di concorrenza di una funzione Lambda. Ciò può aiutare a baseline del numero di richieste che la funzione sta elaborando in un dato momento.
D5.ir.pl.b.6 L'istituto prevede di utilizzare i programmi di business continuity, disaster recovery e backup dei dati per recuperare le operazioni in seguito a un incidente.

aurora-risorse-protected-by-backup-plan

Per aiutarti con i processi di backup dei dati, assicurati che le tue risorse Amazon Aurora facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
D5.ir.pl.b.6 L'istituto prevede di utilizzare i programmi di business continuity, disaster recovery e backup dei dati per recuperare le operazioni in seguito a un incidente.

controllo di backup-plan-min-frequency-and-min-retention

Per aiutare con i processi di backup dei dati, assicurati che il piano AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup. Questa regola permette la configurazionerequiredFrequencyValue(impostazione predefinita di Config: 1),requiredRetentionDays(impostazione predefinita di Config: 35) erequiredFrequencyUnit(Config default: giorni) parametri. Il valore effettivo dovrebbe riflettere i requisiti della tua organizzazione.
D5.ir.pl.b.6 L'istituto prevede di utilizzare i programmi di business continuity, disaster recovery e backup dei dati per recuperare le operazioni in seguito a un incidente.

backup-recovery-point-minimum-retention check

Per aiutare con i processi di backup dei dati, assicurati che i punti di ripristino di AWS Backup abbiano un periodo di conservazione minimo impostato. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup. Questa regola permette la configurazionerequiredRetentionDays(configurazione predefinita: 35) parametro. Il valore effettivo dovrebbe riflettere i requisiti della tua organizzazione.
D5.ir.pl.b.6 L'istituto prevede di utilizzare i programmi di business continuity, disaster recovery e backup dei dati per recuperare le operazioni in seguito a un incidente.

ec2-Resources-protectd-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le risorse Amazon Elastic Compute Cloud (Amazon EC2) siano parte integrante di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.

Modello

Il modello è disponibile suGitHub: Best practice operative per FFIEC.