Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Best practice operative per FFIEC
I Conformance Pack forniscono un framework di conformità generico progettato per consentire di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando regole gestite o personalizzate e azioni correttive. AWS Config AWS Config I Conformance Pack, in quanto modelli di esempio, non sono progettati per garantire la piena conformità a uno specifico standard di governance o conformità. È responsabilità dell'utente valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.
Di seguito viene fornito un esempio di mappatura tra i domini del Cyber Security Assessment Tool del Federal Financial Institutions Examination Council (FFIEC) e AWS le regole Config gestite. Ogni regola Config si applica a una AWS risorsa specifica e si riferisce a uno o più controlli FFIEC Cyber Security Assessment Tool. Un controllo FFIEC Cyber Security Assessment Tool può essere correlato a più regole di Config. Fai riferimento alla tabella seguente per maggiori dettagli e indicazioni relative a queste mappature.
| ID controllo | Descrizione del controllo | AWSRegola di Config | Guida |
|---|---|---|---|
| D1.G.IT.B.1 | Viene mantenuto un inventario delle risorse organizzative (ad esempio hardware, software, dati e sistemi ospitati esternamente). | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| D1.G.IT.B.1 | Viene mantenuto un inventario delle risorse organizzative (ad esempio hardware, software, dati e sistemi ospitati esternamente). | Abilita questa regola per facilitare la configurazione di base delle istanze Amazon Elastic Compute Cloud (Amazon EC2) controllando se le istanze Amazon EC2 sono state interrotte per più del numero di giorni consentito, in base agli standard della tua organizzazione. | |
| D1.G.IT.B.1 | Viene mantenuto un inventario delle risorse organizzative (ad esempio hardware, software, dati e sistemi ospitati esternamente). | Questa regola garantisce che i volumi Amazon Elastic Block Store collegati alle istanze Amazon Elastic Compute Cloud (Amazon EC2) siano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegato viene terminata, potrebbe violare il concetto di funzionalità minima. | |
| D1.G.IT.B.1 | Viene mantenuto un inventario delle risorse organizzative (ad esempio hardware, software, dati e sistemi ospitati esternamente). | Questa regola garantisce che gli IP elastici allocati a un Amazon Virtual Private Cloud (Amazon VPC) siano collegati a istanze Amazon Elastic Compute Cloud (Amazon EC2) o interfacce di rete elastiche in uso. Questa regola aiuta a monitorare gli EIP non utilizzati nel tuo ambiente. | |
| D1.rm.RM.b.1 | All'interno dell'ente esiste una o più funzioni di gestione del rischio per la sicurezza delle informazioni e la continuità operativa. | I controlli di integrità di Elastic Load Balancer (ELB) per i gruppi Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling supportano il mantenimento di capacità e disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ping, tenta connessioni o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo di auto-scaling. Se un'istanza non riporta i dati, il traffico viene inviato a una nuova istanza Amazon EC2. | |
| D1.rm.rm.b.1 | All'interno dell'ente esiste una o più funzioni di gestione del rischio per la sicurezza delle informazioni e la continuità operativa. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR consente la copia automatica e asincrona degli oggetti tra i bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati. | |
| D1.RM.RM.b.1 | All'interno dell'ente esiste una o più funzioni di gestione del rischio per la sicurezza delle informazioni e la continuità operativa. | Per facilitare i processi di backup dei dati, assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
| D1.RM.RM.b.1 | All'interno dell'ente esiste una o più funzioni di gestione del rischio per la sicurezza delle informazioni e la continuità operativa. | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
| D1.RM.RM.b.1 | All'interno dell'ente esiste una o più funzioni di gestione del rischio per la sicurezza delle informazioni e la continuità operativa. | Per facilitare i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
| D1.RM.RM.b.1 | All'interno dell'ente esiste una o più funzioni di gestione del rischio per la sicurezza delle informazioni e la continuità operativa. | Per facilitare i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
| D1.RM.RM.b.1 | All'interno dell'ente esiste una o più funzioni di gestione del rischio per la sicurezza delle informazioni e la continuità operativa. | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere conservato per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, è possibile creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
| D1.rm.rm.b.1 | All'interno dell'ente esiste una o più funzioni di gestione del rischio per la sicurezza delle informazioni e la continuità operativa. | Il supporto Multi-AZ in Amazon Relational Database Service (Amazon RDS) offre disponibilità e durabilità avanzate per le istanze di database. Quando effettui il provisioning di un'istanza di database Multi-AZ, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati su un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completo. | |
| D1.RM.RM.b.1 | All'interno dell'ente esiste una o più funzioni di gestione del rischio per la sicurezza delle informazioni e la continuità operativa. | La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot del volume di storage dell'istanza DB, eseguendo il backup dell'intera istanza DB. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| D1.RM.RM.b.1 | All'interno dell'ente esiste una o più funzioni di gestione del rischio per la sicurezza delle informazioni e la continuità operativa. | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon Aurora facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
| D1.RM.RM.b.1 | All'interno dell'ente esiste una o più funzioni di gestione del rischio per la sicurezza delle informazioni e la continuità operativa. | Per facilitare i processi di backup dei dati, assicurati che il piano di AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. Questa regola consente di impostare i parametri requiredFrequencyValue (Config default: 1), ( requiredRetentionDays Config default: 35) e ( requiredFrequencyUnit Config default: days). Il valore effettivo deve riflettere i requisiti dell'organizzazione. | |
| D1.rm.rm.b.1 | All'interno dell'ente esiste una o più funzioni di gestione del rischio per la sicurezza delle informazioni e la continuità operativa. | Assicurati che ai punti AWS di ripristino di Backup sia associata una policy basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. L'utilizzo di una policy basata sulle risorse per impedire l'eliminazione dei punti di ripristino può aiutare a prevenire l'eliminazione accidentale o intenzionale. | |
| D1.RM.RM.B.1 | All'interno dell'ente esiste una o più funzioni di gestione del rischio per la sicurezza delle informazioni e la continuità operativa. | backup-recovery-point-minimum- controllo della conservazione |
Per facilitare i processi di backup dei dati, assicurati che per i punti di ripristino di AWS Backup sia impostato un periodo minimo di conservazione. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. Questa regola consente di impostare il parametro requiredRetentionDays (configurazione predefinita: 35). Il valore effettivo dovrebbe riflettere i requisiti dell'organizzazione. |
| D1.rm.rm.b.1 | All'interno dell'ente esiste una o più funzioni di gestione del rischio per la sicurezza delle informazioni e la continuità operativa. | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon Elastic Compute Cloud (Amazon EC2) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
| D1.RM.RM.b.1 | All'interno dell'ente esiste una o più funzioni di gestione del rischio per la sicurezza delle informazioni e la continuità operativa. | Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando le istantanee automatiche sono abilitate per un cluster, Redshift scatta periodicamente istantanee di quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per nodo delle modifiche ai dati, o l'evento che si verifica per primo. | |
| D1.RM.RA.B.2 | La valutazione del rischio identifica i sistemi basati su Internet e le transazioni ad alto rischio che richiedono controlli di autenticazione aggiuntivi. | Amazon GuardDuty può contribuire a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| D1.RM.RA.B.2 | La valutazione del rischio identifica i sistemi basati su Internet e le transazioni ad alto rischio che richiedono controlli di autenticazione aggiuntivi. | annual-risk-assessment-performed (controllo del processo) | Eseguite una valutazione annuale del rischio sulla vostra organizzazione. Le valutazioni del rischio possono aiutare a determinare la probabilità e l'impatto dei rischi e/o delle vulnerabilità identificati che interessano un'organizzazione. |
| D1.tc.tr.B.2 | La formazione annuale sulla sicurezza delle informazioni include la risposta agli incidenti, le minacce informatiche attuali (ad esempio phishing, spear phishing, ingegneria sociale e sicurezza mobile) e i problemi emergenti. | security-awareness-program-exists (controllo del processo) | Stabilisci e mantieni un programma di sensibilizzazione alla sicurezza per la tua organizzazione. I programmi di sensibilizzazione alla sicurezza istruiscono i dipendenti su come proteggere la propria organizzazione da varie violazioni o incidenti di sicurezza. |
| D2.is.B.1 | Le minacce alla sicurezza delle informazioni vengono raccolte e condivise con i dipendenti interni competenti. | Amazon GuardDuty può aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| D2.is.IS.B.1 | Le minacce alla sicurezza delle informazioni vengono raccolte e condivise con i dipendenti interni competenti. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo AWS account. | |
| d2.is.IS.B.1 | Le minacce alla sicurezza delle informazioni vengono raccolte e condivise con i dipendenti interni competenti. | AWSSecurity Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| D2.ma.ma.b.1 | I registri dei registri di controllo e gli altri registri degli eventi di sicurezza vengono esaminati e conservati in modo sicuro. | La registrazione di API Gateway mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso all'API. Queste informazioni consentono la visibilità delle attività degli utenti. | |
| D2.ma.ma.b.1 | I registri dei registri di controllo e gli altri registri degli eventi di sicurezza vengono esaminati e conservati in modo sicuro. | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione e le chiamate API. AWS È possibile identificare gli utenti e gli AWS account che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| D2.ma.ma.b.1 | I registri dei registri di controllo e gli altri registri degli eventi di sicurezza vengono esaminati e conservati in modo sicuro. | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| D2.ma.ma.b.1 | I registri dei registri di controllo e gli altri registri degli eventi di sicurezza vengono esaminati e conservati in modo sicuro. | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamatiAWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di registro contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| D2.ma.ma.b.1 | I registri dei registri di controllo e gli altri registri degli eventi di sicurezza vengono esaminati e conservati in modo sicuro. | La registrazione degli accessi al server di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi vengono monitorati acquisendo record dettagliati per le richieste effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'azione della richiesta, lo stato della risposta e un codice di errore, se pertinente. | |
| D2.ma.ma.b.1 | I registri dei registri di controllo e gli altri registri degli eventi di sicurezza vengono esaminati e conservati in modo sicuro. | I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita, il record del log di flusso include i valori per i diversi componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| D2.ma.ma.b.1 | I registri dei registri di controllo e gli altri registri degli eventi di sicurezza vengono esaminati e conservati in modo sicuro. | Assicurati che il tuo bucket Amazon Simple Storage Service (Amazon S3) abbia il blocco abilitato, per impostazione predefinita. Poiché i dati sensibili possono esistere inattivi nei bucket S3, applica i blocchi degli oggetti quando sono inattivi per proteggere tali dati. | |
| D2.ma.ma.b.1 | I registri dei registri di controllo e gli altri registri degli eventi di sicurezza vengono esaminati e conservati in modo sicuro. | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni sull'AWSaccount che ha effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| D2.ma.ma.b.1 | I registri dei registri di controllo e gli altri registri degli eventi di sicurezza vengono esaminati e conservati in modo sicuro. | Assicurati che venga conservata una durata minima dei dati del registro degli eventi per i tuoi gruppi di registro per facilitare la risoluzione dei problemi e le indagini forensi. La mancanza di dati disponibili nei registri degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. | |
| D2.ma.ma.b.1 | I registri dei registri di controllo e gli altri registri degli eventi di sicurezza vengono esaminati e conservati in modo sicuro. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| D2.ma.ma.b.1 | I registri dei registri di controllo e gli altri registri degli eventi di sicurezza vengono esaminati e conservati in modo sicuro. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sugli ACL web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dal tuo ACL web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| D2.ma.ma.b.1 | I registri dei registri di controllo e gli altri registri degli eventi di sicurezza vengono esaminati e conservati in modo sicuro. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di controllo deve essere abilitata per fornire informazioni sulle connessioni e sulle attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| D2.ma.ma.b.1 | I registri dei registri di controllo e gli altri registri degli eventi di sicurezza vengono esaminati e conservati in modo sicuro. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo AWS account. | |
| D2.ma.ma.b.1 | I registri dei registri di controllo e gli altri registri degli eventi di sicurezza vengono esaminati e conservati in modo sicuro. | Assicurati che i registri degli errori nei domini Amazon OpenSearch Service siano abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| D2.ma.ma.b.2 | I registri degli eventi informatici vengono utilizzati per le indagini una volta che si è verificato un evento. | La registrazione di API Gateway mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso all'API. Queste informazioni consentono la visibilità delle attività degli utenti. | |
| D2.ma.ma.b.2 | I registri degli eventi informatici vengono utilizzati per le indagini una volta che si è verificato un evento. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo AWS account. | |
| D2.ma.ma.b.2 | I registri degli eventi informatici vengono utilizzati per le indagini una volta che si è verificato un evento. | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione e le chiamate API. AWS È possibile identificare gli utenti e gli AWS account che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| D2.ma.ma.b.2 | I registri degli eventi informatici vengono utilizzati per le indagini una volta che si è verificato un evento. | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| D2.ma.ma.b.2 | I registri degli eventi informatici vengono utilizzati per le indagini una volta che si è verificato un evento. | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamatiAWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di registro contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| D2.ma.ma.b.2 | I registri degli eventi informatici vengono utilizzati per le indagini una volta che si è verificato un evento. | La registrazione degli accessi al server di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi vengono monitorati acquisendo record dettagliati per le richieste effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'azione della richiesta, lo stato della risposta e un codice di errore, se pertinente. | |
| D2.ma.ma.b.2 | I registri degli eventi informatici vengono utilizzati per le indagini una volta che si è verificato un evento. | I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita, il record del log di flusso include i valori per i diversi componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| D2.ma.ma.b.2 | I registri degli eventi informatici vengono utilizzati per le indagini una volta che si è verificato un evento. | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni sull'AWSaccount che ha effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| D2.ma.ma.b.2 | I registri degli eventi informatici vengono utilizzati per le indagini una volta che si è verificato un evento. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di controllo deve essere abilitata per fornire informazioni sulle connessioni e sulle attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| D2.ma.ma.b.2 | I registri degli eventi informatici vengono utilizzati per le indagini una volta che si è verificato un evento. | Assicurati che i registri degli errori nei domini di Amazon OpenSearch Service siano abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| D2.ti.TI.B.1 | L'ente appartiene o sottoscrive una o più fonti di condivisione delle informazioni su minacce e vulnerabilità che forniscono informazioni sulle minacce (ad esempio, FS-ISAC, US-CERT). | AWSSecurity Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| D2.ti.ti.b.1 | L'ente appartiene o sottoscrive una o più fonti di condivisione delle informazioni su minacce e vulnerabilità che forniscono informazioni sulle minacce (ad esempio, FS-ISAC, US-CERT). | Amazon GuardDuty può contribuire a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| D2.ti.ti.B.2 | Le informazioni sulle minacce vengono utilizzate per monitorare minacce e vulnerabilità. | Abilita questa regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| D2.ti.ti.B.2 | Le informazioni sulle minacce vengono utilizzate per monitorare minacce e vulnerabilità. | Amazon GuardDuty può aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| D2.ti.ti.B.2 | Le informazioni sulle minacce vengono utilizzate per monitorare minacce e vulnerabilità. | AWSSecurity Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| D2.ti.ti.B.3 | Le informazioni sulle minacce vengono utilizzate per migliorare la gestione e i controlli interni del rischio. | AWSSecurity Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| D2.ti.ti.B.3 | Le informazioni sulle minacce vengono utilizzate per migliorare la gestione e i controlli interni del rischio. | Amazon GuardDuty può aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| D3.CC.PM.B.1 | Viene implementato un programma di gestione delle patch che garantisce che le patch software e firmware vengano applicate tempestivamente. | Abilita questa regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| D3.CC.PM.B.1 | Viene implementato un programma di gestione delle patch che garantisce che le patch software e firmware vengano applicate tempestivamente. | L'abilitazione degli aggiornamenti gestiti della piattaforma per un ambiente Amazon Elastic Beanstalk garantisce l'installazione delle correzioni, degli aggiornamenti e delle funzionalità più recenti disponibili per l'ambiente. Tenersi aggiornati sull'installazione delle patch è una best practice per proteggere i sistemi. | |
| D3.CC.PM.B.1 | Viene implementato un programma di gestione delle patch che garantisce che le patch software e firmware vengano applicate tempestivamente. | Abilita gli upgrade automatici delle versioni secondarie sulle tue istanze Amazon Relational Database Service (RDS) per garantire che siano installati gli ultimi aggiornamenti delle versioni secondarie del Relational Database Management System (RDBMS), che possono includere patch di sicurezza e correzioni di bug. | |
| D3.CC.PM.B.1 | Viene implementato un programma di gestione delle patch che garantisce che le patch software e firmware vengano applicate tempestivamente. | Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno preferito finestre di manutenzione e periodi di conservazione automatizzati delle istantanee per il database. Questa regola richiede l'impostazione di. allowVersionUpgrade Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sab: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| D3.CC.PM.B.3 | I report sulla gestione delle patch vengono esaminati e riflettono le patch di sicurezza mancanti. | Abilita questa regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| D3.CC.PM.B.3 | I report sulla gestione delle patch vengono esaminati e riflettono le patch di sicurezza mancanti. | L'abilitazione degli aggiornamenti gestiti della piattaforma per un ambiente Amazon Elastic Beanstalk garantisce l'installazione delle correzioni, degli aggiornamenti e delle funzionalità più recenti disponibili per l'ambiente. Tenersi aggiornati sull'installazione delle patch è una best practice per proteggere i sistemi. | |
| D3.CC.PM.B.3 | I report sulla gestione delle patch vengono esaminati e riflettono le patch di sicurezza mancanti. | Abilita gli upgrade automatici delle versioni secondarie sulle tue istanze Amazon Relational Database Service (RDS) per garantire che siano installati gli ultimi aggiornamenti delle versioni secondarie del Relational Database Management System (RDBMS), che possono includere patch di sicurezza e correzioni di bug. | |
| D3.CC.PM.B.3 | I report sulla gestione delle patch vengono esaminati e riflettono le patch di sicurezza mancanti. | Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno preferito finestre di manutenzione e periodi di conservazione automatizzati delle istantanee per il database. Questa regola richiede l'impostazione di. allowVersionUpgrade Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sab: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| D3.dc.an.B.1 | L'istituto è in grado di rilevare attività anomale attraverso il monitoraggio in tutto l'ambiente. | Amazon ti GuardDuty aiuta a comprendere l'impatto di un incidente classificando i risultati in base alla gravità: bassa, media e alta. Puoi utilizzare queste classificazioni per determinare le strategie e le priorità di riparazione. Questa regola consente di impostare facoltativamente daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) e daysHighSev (Config Default: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione. | |
| d3.dc.an.b.1 | L'istituto è in grado di rilevare attività anomale attraverso il monitoraggio in tutto l'ambiente. | AWSSecurity Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| D3.dc.AN.B.1 | L'istituto è in grado di rilevare attività anomale attraverso il monitoraggio in tutto l'ambiente. | Amazon GuardDuty può contribuire a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| D3.dc.an.B.2 | Le transazioni dei clienti che generano avvisi di attività anomale vengono monitorate e riviste. | Amazon GuardDuty può aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| D3.dc.an.B.2 | Le transazioni dei clienti che generano avvisi di attività anomale vengono monitorate e riviste. | AWSSecurity Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| D3.dc.AN.B.3 | I registri di accesso fisico e/o logico vengono esaminati in seguito agli eventi. | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione e le chiamate API. AWS È possibile identificare gli utenti e gli AWS account che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| D3.dc.an.B.3 | I registri di accesso fisico e/o logico vengono esaminati in seguito agli eventi. | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamatiAWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di registro contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| d3.dc.an.B.3 | I registri di accesso fisico e/o logico vengono esaminati in seguito agli eventi. | La registrazione degli accessi al server di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi vengono monitorati acquisendo record dettagliati per le richieste effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'azione della richiesta, lo stato della risposta e un codice di errore, se pertinente. | |
| D3.dc.an.B.3 | I registri di accesso fisico e/o logico vengono esaminati in seguito agli eventi. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| D3.dc.an.B.3 | I registri di accesso fisico e/o logico vengono esaminati in seguito agli eventi. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sugli ACL web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dal tuo ACL web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| D3.dc.AN.B.3 | I registri di accesso fisico e/o logico vengono esaminati in seguito agli eventi. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo AWS account. | |
| D3.dc.AN.B.3 | I registri di accesso fisico e/o logico vengono esaminati in seguito agli eventi. | La registrazione di API Gateway mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso all'API. Queste informazioni consentono la visibilità delle attività degli utenti. | |
| D3.dc.an.B.3 | I registri di accesso fisico e/o logico vengono esaminati in seguito agli eventi. | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| D3.dc.AN.B.3 | I registri di accesso fisico e/o logico vengono esaminati in seguito agli eventi. | I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita, il record del log di flusso include i valori per i diversi componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| D3.dc.an.B.3 | I registri di accesso fisico e/o logico vengono esaminati in seguito agli eventi. | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni sull'AWSaccount che ha effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| D3.dc.AN.B.3 | I registri di accesso fisico e/o logico vengono esaminati in seguito agli eventi. | Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| d3.dc.an.B.4 | L'accesso ai sistemi critici da parte di terzi viene monitorato per rilevare eventuali attività non autorizzate o insolite | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di controllo deve essere abilitata per fornire informazioni sulle connessioni e sulle attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| D3.dc.an.B.4 | L'accesso ai sistemi critici da parte di terzi viene monitorato per rilevare eventuali attività non autorizzate o insolite | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| D3.dc.an.B.4 | L'accesso ai sistemi critici da parte di terzi viene monitorato per rilevare eventuali attività non autorizzate o insolite | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sugli ACL web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dal tuo ACL web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| D3.dc.AN.B.4 | L'accesso ai sistemi critici da parte di terzi viene monitorato per rilevare eventuali attività non autorizzate o insolite | La registrazione degli accessi al server di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi vengono monitorati acquisendo record dettagliati per le richieste effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'azione della richiesta, lo stato della risposta e un codice di errore, se pertinente. | |
| D3.dc.an.B.4 | L'accesso ai sistemi critici da parte di terzi viene monitorato per rilevare eventuali attività non autorizzate o insolite | La registrazione di API Gateway mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso all'API. Queste informazioni consentono la visibilità delle attività degli utenti. | |
| D3.dc.an.B.4 | L'accesso ai sistemi critici da parte di terzi viene monitorato per rilevare eventuali attività non autorizzate o insolite | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| D3.dc.AN.B.4 | L'accesso ai sistemi critici da parte di terzi viene monitorato per rilevare eventuali attività non autorizzate o insolite | I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita, il record del log di flusso include i valori per i diversi componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| D3.dc.an.B.4 | L'accesso ai sistemi critici da parte di terzi viene monitorato per rilevare eventuali attività non autorizzate o insolite | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo AWS account. | |
| D3.dc.AN.B.4 | L'accesso ai sistemi critici da parte di terzi viene monitorato per rilevare eventuali attività non autorizzate o insolite | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione e le chiamate API. AWS È possibile identificare gli utenti e gli AWS account che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| D3.dc.an.B.4 | L'accesso ai sistemi critici da parte di terzi viene monitorato per rilevare eventuali attività non autorizzate o insolite | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamatiAWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di registro contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| d3.dc.an.B.4 | L'accesso ai sistemi critici da parte di terzi viene monitorato per rilevare eventuali attività non autorizzate o insolite | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni sull'AWSaccount che ha effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| D3.dc.AN.B.4 | L'accesso ai sistemi critici da parte di terzi viene monitorato per rilevare eventuali attività non autorizzate o insolite | Assicurati che i registri degli errori nei domini Amazon OpenSearch Service siano abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| D3.dc.AN.B.5 | I privilegi elevati vengono monitorati. | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione e le chiamate API. AWS È possibile identificare gli utenti e gli AWS account che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| D3.dc.an.B.5 | I privilegi elevati vengono monitorati. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo AWS account. | |
| D3.dc.ev.B.1 | Viene stabilita una normale linea di base per l'attività di rete. | Questa regola garantisce che vengano stabiliti i limiti massimi e minimi di concorrenza di una funzione Lambda. Questo può aiutare a stabilire il numero di richieste che la funzione sta soddisfacendo in un dato momento. | |
| D3.dc.ev.B.1 | Viene stabilita una normale linea di base per l'attività di rete. | La registrazione di API Gateway mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso all'API. Queste informazioni consentono la visibilità delle attività degli utenti. | |
| D3.dc.ev.B.1 | Viene stabilita una normale linea di base per l'attività di rete. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo AWS account. | |
| D3.dc.ev.B.1 | Viene stabilita una normale linea di base per l'attività di rete. | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione e le chiamate API. AWS È possibile identificare gli utenti e gli AWS account che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| D3.dc.ev.B.1 | Viene stabilita una normale linea di base per l'attività di rete. | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| D3.dc.ev.B.1 | Viene stabilita una normale linea di base per l'attività di rete. | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni sull'AWSaccount che ha effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| D3.dc.ev.B.1 | Viene stabilita una normale linea di base per l'attività di rete. | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamatiAWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di registro contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| D3.dc.ev.B.1 | Viene stabilita una normale linea di base per l'attività di rete. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di controllo deve essere abilitata per fornire informazioni sulle connessioni e sulle attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| D3.dc.ev.B.1 | Viene stabilita una normale linea di base per l'attività di rete. | I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita, il record del log di flusso include i valori per i diversi componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| D3.dc.ev.b.2 | Esistono meccanismi (ad esempio avvisi antivirus, avvisi di eventi di registro) per avvisare la gestione di potenziali attacchi. | Amazon GuardDuty può aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| D3.dc.ev.B.3 | Sono in atto processi per monitorare la presenza di utenti, dispositivi, connessioni e software non autorizzati. | I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita, il record del log di flusso include i valori per i diversi componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| D3.dc.ev.B.3 | Sono in atto processi per monitorare la presenza di utenti, dispositivi, connessioni e software non autorizzati. | Amazon GuardDuty può contribuire a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| D3.dc.ev.B.3 | Sono in atto processi per monitorare la presenza di utenti, dispositivi, connessioni e software non autorizzati. | AWSSecurity Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| D3.dc.ev.B.3 | Sono in atto processi per monitorare la presenza di utenti, dispositivi, connessioni e software non autorizzati. | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione e le chiamate API. AWS È possibile identificare gli utenti e gli AWS account che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| D3.dc.th.b.1 | I test indipendenti (inclusi i test di penetrazione e la scansione delle vulnerabilità) vengono condotti in base alla valutazione del rischio per i sistemi rivolti verso l'esterno e la rete interna. | Amazon GuardDuty può contribuire a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| D3.dc.th.b.1 | I test indipendenti (inclusi i test di penetrazione e la scansione delle vulnerabilità) vengono condotti in base alla valutazione del rischio per i sistemi rivolti verso l'esterno e la rete interna. | AWSSecurity Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| D3.dc.th.b.1 | I test indipendenti (inclusi i test di penetrazione e la scansione delle vulnerabilità) vengono condotti in base alla valutazione del rischio per i sistemi rivolti verso l'esterno e la rete interna. | Abilita questa regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| d3.pc.am.B.1 | L'accesso dei dipendenti è garantito ai sistemi e ai dati riservati in base alle responsabilità lavorative e ai principi del privilegio minimo. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo che le policy contengano «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| D3.pc.am.B.1 | L'accesso dei dipendenti è garantito ai sistemi e ai dati riservati in base alle responsabilità lavorative e ai principi del privilegio minimo. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base alle autorizzazioni associate o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| D3.pc.am.B.1 | L'accesso dei dipendenti è garantito ai sistemi e ai dati riservati in base alle responsabilità lavorative e ai principi del privilegio minimo. | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece AWS account basati sui ruoli per contribuire a incorporare il principio della minima funzionalità. | |
| D3.pc.am.B.1 | L'accesso dei dipendenti è garantito ai sistemi e ai dati riservati in base alle responsabilità lavorative e ai principi del privilegio minimo. | AWSIdentity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| D3.pc.am.B.1 | L'accesso dei dipendenti è garantito ai sistemi e ai dati riservati in base alle responsabilità lavorative e ai principi del privilegio minimo. | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o conservare privilegi eccessivi. | |
| D3.pc.am.B.1 | L'accesso dei dipendenti è garantito ai sistemi e ai dati riservati in base alle responsabilità lavorative e ai principi del privilegio minimo. | Assicurati che un utente, un ruolo IAM o un gruppo IAM (AWSIdentity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWSconsiglia di utilizzare politiche gestite anziché politiche in linea. Le politiche gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. | |
| D3.pc.am.B.1 | L'accesso dei dipendenti è garantito ai sistemi e ai dati riservati in base alle responsabilità lavorative e ai principi del privilegio minimo. | I profili di istanza EC2 passano un ruolo IAM a un'istanza EC2. Associare un profilo di istanza alle istanze può contribuire alla gestione dei privilegi e delle autorizzazioni minimi. | |
| D3.pc.am.B.1 | L'accesso dei dipendenti è garantito ai sistemi e ai dati riservati in base alle responsabilità lavorative e ai principi del privilegio minimo. | Se una definizione di attività ha privilegi elevati, è perché il cliente ha espressamente accettato tali configurazioni. Questo controllo verifica l'eventuale aumento imprevisto dei privilegi quando una definizione di attività ha attivato la rete host ma il cliente non ha optato per privilegi elevati. | |
| D3.pc.am.B.1 | L'accesso dei dipendenti è garantito ai sistemi e ai dati riservati in base alle responsabilità lavorative e ai principi del privilegio minimo. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms:). ReEncryptFrom I valori effettivi devono riflettere le politiche dell'organizzazione | |
| d3.pc.am.B.1 | L'accesso dei dipendenti è garantito ai sistemi e ai dati riservati in base alle responsabilità lavorative e ai principi del privilegio minimo. | Assicurati che un utente, un ruolo IAM o un gruppo IAM (AWSIdentity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWSconsiglia di utilizzare politiche gestite anziché politiche in linea. Le politiche gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms:). ReEncryptFrom I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| D3.pc.am.B.1 | L'accesso dei dipendenti è garantito ai sistemi e ai dati riservati in base alle responsabilità lavorative e ai principi del privilegio minimo. | Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| D3.pc.am.B.10 | Gli ambienti di produzione e non di produzione sono separati per impedire accessi non autorizzati o modifiche alle risorse informative. (*N/A se non esiste un ambiente di produzione presso l'istituto o presso una terza parte dell'ente.) | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per abilitare una comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno di AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| d3.pc.am.B.10 | Gli ambienti di produzione e non di produzione sono separati per impedire accessi non autorizzati o modifiche alle risorse informative. (*N/A se non esiste un ambiente di produzione presso l'istituto o presso una terza parte dell'ente.) | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto ai sistemi interni. | |
| D3.pc.am.B.10 | Gli ambienti di produzione e non di produzione sono separati per impedire accessi non autorizzati o modifiche alle risorse informative. (*N/A se non esiste un ambiente di produzione presso l'istituto o presso una terza parte dell'ente.) | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in ingresso (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto. | |
| D3.pc.am.B.10 | Gli ambienti di produzione e non di produzione sono separati per impedire accessi non autorizzati o modifiche alle risorse informative. (*N/A se non esiste un ambiente di produzione presso l'istituto o presso una terza parte dell'ente.) | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Impostazioni predefinite Config: 20,21,3389,3306,4333). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| D3.pc.am.B.12 | Tutte le password sono crittografate durante l'archiviazione e il transito. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati secondo i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono autenticarsi sono noti come principali. I principali esistono all'interno di un regno Kerberos. All'interno del regno, un server Kerberos è noto come Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC si autentica emettendo ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| D3.pc.am.B.12 | Tutte le password sono crittografate durante l'archiviazione e il transito. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché in questi volumi possono esistere dati sensibili inattivi, abilita la crittografia a riposo per proteggere tali dati. | |
| d3.pc.am.B.12 | Tutte le password sono crittografate durante l'archiviazione e il transito. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere inattivi nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| d3.pc.am.B.12 | Tutte le password sono crittografate durante l'archiviazione e il transito. | Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste di utilizzo di Secure Socket Layer (SSL). Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| D3.pc.am.B.12 | Tutte le password sono crittografate durante l'archiviazione e il transito. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per le tue istanze di Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere anche quando sono inattivi nelle istanze Amazon RDS, abilita la crittografia inattiva per proteggere tali dati. | |
| d3.pc.am.B.12 | Tutte le password sono crittografate durante l'archiviazione e il transito. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (Amazon EBS). | |
| d3.pc.am.B.12 | Tutte le password sono crittografate durante l'archiviazione e il transito. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service. | |
| d3.pc.am.B.12 | Tutte le password sono crittografate durante l'archiviazione e il transito. | Assicurati che la node-to-node crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| D3.pc.am.B.12 | Tutte le password sono crittografate durante l'archiviazione e il transito. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| d3.pc.am.B.12 | Tutte le password sono crittografate durante l'archiviazione e il transito. | Poiché possono esistere dati sensibili e per contribuire a proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service (OpenSearch Service). | |
| d3.pc.am.B.12 | Tutte le password sono crittografate durante l'archiviazione e il transito. | Assicurati che la node-to-node crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| D3.pc.am.B.12 | Tutte le password sono crittografate durante l'archiviazione e il transito. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| D3.pc.am.B.12 | Tutte le password sono crittografate durante l'archiviazione e il transito. | Assicurati che i tuoi Elastic Load Balancer (ELB) siano configurati con listener SSL o HTTPS. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| D3.pc.am.B.12 | Tutte le password sono crittografate durante l'archiviazione e il transito. | Assicurati che i tuoi cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| D3.pc.am.B.12 | Tutte le password sono crittografate durante l'archiviazione e il transito. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di controllo deve essere abilitata per fornire informazioni sulle connessioni e sulle attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| D3.pc.am.B.12 | Tutte le password sono crittografate durante l'archiviazione e il transito. | Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare che le richieste provengono da API Gateway. | |
| d3.pc.am.B.12 | Tutte le password sono crittografate durante l'archiviazione e il transito. | Assicurati che la crittografia sia abilitata per i punti AWS di ripristino del Backup. Poiché i dati sensibili possono esistere anche quando sono inattivi, abilita la crittografia a riposo per proteggere tali dati. | |
| D3.pc.am.B.12 | Tutte le password sono crittografate durante l'archiviazione e il transito. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWSKMS) sia abilitata per il tuo cluster Amazon Redshift. Poiché i dati sensibili possono esistere inattivi nei cluster Redshift, abilita la crittografia a riposo per proteggere tali dati. | |
| d3.pc.am.B.12 | Tutte le password sono crittografate durante l'archiviazione e il transito. | Assicurati che la crittografia sia abilitata per i tuoi bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere inattivi in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati. | |
| D3.pc.am.B.13 | I dati riservati vengono crittografati quando vengono trasmessi su reti pubbliche o non affidabili (ad esempio Internet). | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| d3.pc.am.B.13 | I dati riservati vengono crittografati quando vengono trasmessi su reti pubbliche o non affidabili (ad esempio Internet). | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| D3.pc.am.B.13 | I dati riservati vengono crittografati quando vengono trasmessi su reti pubbliche o non affidabili (ad esempio Internet). | Assicurati che i tuoi Elastic Load Balancer (ELB) siano configurati con listener SSL o HTTPS. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| D3.pc.am.B.13 | I dati riservati vengono crittografati quando vengono trasmessi su reti pubbliche o non affidabili (ad esempio Internet). | Assicurati che i tuoi cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| D3.pc.am.B.13 | I dati riservati vengono crittografati quando vengono trasmessi su reti pubbliche o non affidabili (ad esempio Internet). | Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste di utilizzo di Secure Socket Layer (SSL). Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| D3.pc.am.B.13 | I dati riservati vengono crittografati quando vengono trasmessi su reti pubbliche o non affidabili (ad esempio Internet). | Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare che le richieste provengono da API Gateway. | |
| d3.pc.am.B.13 | I dati riservati vengono crittografati quando vengono trasmessi su reti pubbliche o non affidabili (ad esempio Internet). | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| D3.pc.am.B.15 | L'accesso remoto ai sistemi critici da parte di dipendenti, collaboratori e terze parti utilizza connessioni crittografate e autenticazione a più fattori. | Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste di utilizzo di Secure Socket Layer (SSL). Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| D3.pc.am.B.15 | L'accesso remoto ai sistemi critici da parte di dipendenti, collaboratori e terze parti utilizza connessioni crittografate e autenticazione a più fattori. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che la MFA hardware sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un AWS account. L'MFA aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre gli incidenti dovuti alla compromissione degli account. AWS | |
| D3.pc.am.B.15 | L'accesso remoto ai sistemi critici da parte di dipendenti, collaboratori e terze parti utilizza connessioni crittografate e autenticazione a più fattori. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un AWS account. L'MFA aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre gli incidenti dovuti alla compromissione degli account. AWS | |
| D3.pc.am.B.15 | L'accesso remoto ai sistemi critici da parte di dipendenti, collaboratori e terze parti utilizza connessioni crittografate e autenticazione a più fattori. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. L'MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo l'autenticazione a più fattori per gli utenti, è possibile ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| D3.pc.am.B.15 | L'accesso remoto ai sistemi critici da parte di dipendenti, collaboratori e terze parti utilizza connessioni crittografate e autenticazione a più fattori. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| D3.pc.am.B.15 | L'accesso remoto ai sistemi critici da parte di dipendenti, collaboratori e terze parti utilizza connessioni crittografate e autenticazione a più fattori. | Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare che le richieste provengono da API Gateway. | |
| d3.pc.am.B.15 | L'accesso remoto ai sistemi critici da parte di dipendenti, collaboratori e terze parti utilizza connessioni crittografate e autenticazione a più fattori. | Assicurati che i tuoi cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| D3.pc.am.B.16 | Sono in atto controlli amministrativi, fisici o tecnici per impedire agli utenti senza responsabilità amministrative di installare software non autorizzato. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo che le policy contengano «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| D3.pc.am.B.16 | Sono in atto controlli amministrativi, fisici o tecnici per impedire agli utenti senza responsabilità amministrative di installare software non autorizzato. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base alle autorizzazioni associate o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| D3.pc.am.B.16 | Sono in atto controlli amministrativi, fisici o tecnici per impedire agli utenti senza responsabilità amministrative di installare software non autorizzato. | AWSIdentity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| D3.pc.am.B.16 | Sono in atto controlli amministrativi, fisici o tecnici per impedire agli utenti senza responsabilità amministrative di installare software non autorizzato. | Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| D3.pc.am.B.2 | L'accesso dei dipendenti ai sistemi e ai dati riservati prevede la separazione delle mansioni. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo che le policy contengano «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| D3.pc.am.B.2 | L'accesso dei dipendenti ai sistemi e ai dati riservati prevede la separazione delle mansioni. | AWSIdentity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| D3.pc.am.B.2 | L'accesso dei dipendenti ai sistemi e ai dati riservati prevede la separazione delle mansioni. | Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| D3.pc.am.B.3 | I privilegi elevati (ad esempio i privilegi di amministratore) sono limitati e strettamente controllati (ad esempio, assegnati a singoli individui, non condivisi e richiedono controlli più rigorosi delle password) | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che la MFA hardware sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un AWS account. L'MFA aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre gli incidenti dovuti alla compromissione degli account. AWS | |
| D3.pc.am.B.3 | I privilegi elevati (ad esempio i privilegi di amministratore) sono limitati e strettamente controllati (ad esempio, assegnati a singoli individui, non condivisi e richiedono controlli più rigorosi delle password) | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un AWS account. L'MFA aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre gli incidenti dovuti alla compromissione degli account. AWS | |
| D3.pc.am.B.3 | I privilegi elevati (ad esempio i privilegi di amministratore) sono limitati e strettamente controllati (ad esempio, assegnati a singoli individui, non condivisi e richiedono controlli più rigorosi delle password). | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base alle autorizzazioni associate o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| D3.pc.am.B.3 | I privilegi elevati (ad esempio i privilegi di amministratore) sono limitati e strettamente controllati (ad esempio, assegnati a singoli individui, non condivisi e richiedono controlli più rigorosi delle password) | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece AWS account basati sui ruoli per contribuire a incorporare il principio della minima funzionalità. | |
| D3.pc.am.B.3 | I privilegi elevati (ad esempio i privilegi di amministratore) sono limitati e strettamente controllati (ad esempio, assegnati a singoli individui, non condivisi e richiedono controlli più rigorosi delle password) | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo che le policy contengano «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| D3.pc.am.B.3 | I privilegi elevati (ad esempio i privilegi di amministratore) sono limitati e strettamente controllati (ad esempio, assegnati a singoli individui, non condivisi e richiedono controlli più rigorosi delle password) | Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| D3.pc.am.B.6 | L'identificazione e l'autenticazione sono richieste e gestite per l'accesso a sistemi, applicazioni e hardware. | AWSIdentity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se vengono identificate queste credenziali non utilizzate, è necessario disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche dell'organizzazione. | |
| D3.pc.am.B.6 | L'identificazione e l'autenticazione sono richieste e gestite per l'accesso a sistemi, applicazioni e hardware. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una politica di password IAM organizzativa. Soddisfano o superano i requisiti dichiarati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWSFoundational Security Best Practices value: true), RequireLowercaseCharacters (AWSFoundational Security Best Practices value: true), RequireSymbols (AWSFoundational Security Best Practices value: true), RequireNumbers (AWSFoundational Security Best Practices value: true), MinimumPasswordLength (AWSFoundational Security Best Practices value: 14), PasswordReusePrevention (AWSFoundational Security Best Practices value: 24) e MaxPasswordAge (AWSFoundational Security Best Practices value: 90) per Politica sulle password di IAM. I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| D3.pc.am.B.6 | L'identificazione e l'autenticazione sono richieste e gestite per l'accesso a sistemi, applicazioni e hardware. | Abilita questa regola per limitare l'accesso alle risorse nel AWS cloud. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. L'MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Riduci gli incidenti di account compromessi richiedendo l'autenticazione a più fattori per gli utenti. | |
| D3.pc.am.B.6 | L'identificazione e l'autenticazione sono richieste e gestite per l'accesso a sistemi, applicazioni e hardware. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. L'MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo l'autenticazione a più fattori per gli utenti, è possibile ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| D3.pc.am.B.6 | L'identificazione e l'autenticazione sono richieste e gestite per l'accesso a sistemi, applicazioni e hardware. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che la MFA hardware sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un AWS account. L'MFA aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre gli incidenti dovuti alla compromissione degli account. AWS | |
| D3.pc.am.B.6 | L'identificazione e l'autenticazione sono richieste e gestite per l'accesso a sistemi, applicazioni e hardware. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un AWS account. L'MFA aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre gli incidenti dovuti alla compromissione degli account. AWS | |
| D3.pc.am.B.6 | L'identificazione e l'autenticazione sono richieste e gestite per l'accesso a sistemi, applicazioni e hardware. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base alle autorizzazioni associate o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| D3.pc.am.B.6 | L'identificazione e l'autenticazione sono richieste e gestite per l'accesso a sistemi, applicazioni e hardware. | AWSIdentity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| D3.pc.am.B.6 | L'identificazione e l'autenticazione sono richieste e gestite per l'accesso a sistemi, applicazioni e hardware. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo che le policy contengano «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| D3.pc.am.B.6 | L'identificazione e l'autenticazione sono richieste e gestite per l'accesso a sistemi, applicazioni e hardware. | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o conservare privilegi eccessivi. | |
| D3.pc.am.B.6 | L'identificazione e l'autenticazione sono richieste e gestite per l'accesso a sistemi, applicazioni e hardware. | Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| D3.pc.am.B.7 | I controlli di accesso includono la complessità delle password e i limiti ai tentativi e al riutilizzo delle password. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una politica aziendale in materia di password IAM. Soddisfano o superano i requisiti dichiarati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWSFoundational Security Best Practices value: true), RequireLowercaseCharacters (AWSFoundational Security Best Practices value: true), RequireSymbols (AWSFoundational Security Best Practices value: true), RequireNumbers (AWSFoundational Security Best Practices value: true), MinimumPasswordLength (AWSFoundational Security Best Practices value: 14), PasswordReusePrevention (AWSFoundational Security Best Practices value: 24) e MaxPasswordAge (AWSFoundational Security Best Practices value: 90) per Politica sulle password di IAM. I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| D3.pc.am.B.8 | Tutte le password predefinite e gli account predefiniti non necessari vengono modificati prima dell'implementazione del sistema. | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece AWS account basati sui ruoli per contribuire a incorporare il principio della minima funzionalità. | |
| D3.pc.IM.B.1 | Vengono utilizzati strumenti di difesa perimetrale della rete (ad esempio router di frontiera e firewall). | Garantisci la protezione dell'integrità della rete assicurando che i certificati X509 vengano emessi da ACM. AWS Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore per daysToExpiration (valore AWS Foundational Security Best Practices: 90). Il valore effettivo deve riflettere le politiche dell'organizzazione. | |
| D3.pc.IM.B.1 | Vengono utilizzati strumenti di difesa perimetrale della rete (ad esempio router di frontiera e firewall). | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| D3.pc.IM.B.1 | Vengono utilizzati strumenti di difesa perimetrale della rete (ad esempio router di frontiera e firewall). | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Le istantanee dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| D3.pc.IM.B.1 | Vengono utilizzati strumenti di difesa perimetrale della rete (ad esempio router di frontiera e firewall). | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| D3.pc.IM.B.1 | Vengono utilizzati strumenti di difesa perimetrale della rete (ad esempio router di frontiera e firewall). | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| D3.pc.IM.B.1 | Vengono utilizzati strumenti di difesa perimetrale della rete (ad esempio router di frontiera e firewall). | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi master del cluster Amazon EMR possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account. | |
| D3.pc.IM.B.1 | Vengono utilizzati strumenti di difesa perimetrale della rete (ad esempio router di frontiera e firewall). | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in ingresso (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto. | |
| D3.pc.IM.B.1 | Vengono utilizzati strumenti di difesa perimetrale della rete (ad esempio router di frontiera e firewall). | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per abilitare una comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno di AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| D3.pc.IM.B.1 | Vengono utilizzati strumenti di difesa perimetrale della rete (ad esempio router di frontiera e firewall). | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un deterioramento della disponibilità delle risorse. | |
| D3.pc.IM.B.1 | Vengono utilizzati strumenti di difesa perimetrale della rete (ad esempio router di frontiera e firewall). | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non è necessario un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| d3.pc.IM.B.1 | Vengono utilizzati strumenti di difesa perimetrale della rete (ad esempio router di frontiera e firewall). | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi. | |
| D3.pc.IM.B.1 | Vengono utilizzati strumenti di difesa perimetrale della rete (ad esempio router di frontiera e firewall). | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| D3.pc.IM.B.1 | Vengono utilizzati strumenti di difesa perimetrale della rete (ad esempio router di frontiera e firewall). | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| D3.pc.IM.B.1 | Vengono utilizzati strumenti di difesa perimetrale della rete (ad esempio router di frontiera e firewall). | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Impostazioni predefinite Config: 20,21,3389,3306,4333). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| D3.pc.IM.B.1 | Vengono utilizzati strumenti di difesa perimetrale della rete (ad esempio router di frontiera e firewall). | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| D3.pc.IM.B.1 | Vengono utilizzati strumenti di difesa perimetrale della rete (ad esempio router di frontiera e firewall). | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| D3.pc.IM.B.1 | Vengono utilizzati strumenti di difesa perimetrale della rete (ad esempio router di frontiera e firewall). | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i SageMaker notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| D3.pc.IM.B.1 | Vengono utilizzati strumenti di difesa perimetrale della rete (ad esempio router di frontiera e firewall). | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio basato sullo stato del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| D3.pc.IM.B.1 | Vengono utilizzati strumenti di difesa perimetrale della rete (ad esempio router di frontiera e firewall). | Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni web. Un WAF aiuta a proteggere le tue applicazioni web o le tue API dagli exploit web più comuni. Questi exploit web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. | |
| D3.pc.IM.B.1 | Vengono utilizzati strumenti di difesa perimetrale della rete (ad esempio router di frontiera e firewall). | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto ai sistemi interni. | |
| D3.pc.IM.B.1 | Vengono utilizzati strumenti di difesa perimetrale della rete (ad esempio router di frontiera e firewall). | AWSWAF consente di configurare un insieme di regole (chiamate elenco di controllo degli accessi Web (Web ACL)) che consentono, bloccano o contano le richieste Web in base a regole e condizioni di sicurezza Web personalizzabili definite dall'utente. Assicurati che la tua fase Amazon API Gateway sia associata a un ACL Web WAF per proteggerla da attacchi dannosi | |
| D3.pc.IM.B.1 | Vengono utilizzati strumenti di difesa perimetrale della rete (ad esempio router di frontiera e firewall). | Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non dovrebbero essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server. | |
| D3.pc.IM.B.1 | Vengono utilizzati strumenti di difesa perimetrale della rete (ad esempio router di frontiera e firewall). | Assicurati che le tabelle di routing di Amazon EC2 non abbiano percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre gli accessi involontari all'interno del tuo ambiente. | |
| D3.pc.IM.B.1 | Vengono utilizzati strumenti di difesa perimetrale della rete (ad esempio router di frontiera e firewall). | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| D3.pc.IM.B.1 | Vengono utilizzati strumenti di difesa perimetrale della rete (ad esempio router di frontiera e firewall). | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| D3.pc.IM.B.1 | Vengono utilizzati strumenti di difesa perimetrale della rete (ad esempio router di frontiera e firewall). | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sull'account, sulle risorse e sui processi interni. | |
| D3.pc.IM.B.1 | Vengono utilizzati strumenti di difesa perimetrale della rete (ad esempio router di frontiera e firewall). | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| D3.pc.IM.B.1 | Vengono utilizzati strumenti di difesa perimetrale della rete (ad esempio router di frontiera e firewall). | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| D3.pc.IM.B.1 | Vengono utilizzati strumenti di difesa perimetrale della rete (ad esempio router di frontiera e firewall). | Il routing VPC migliorato impone a tutto il traffico COPY e UNLOAD tra il cluster e gli archivi di dati di passare attraverso Amazon VPC. È quindi possibile utilizzare funzionalità VPC come gruppi di sicurezza ed elenchi di controllo degli accessi alla rete per proteggere il traffico di rete. Puoi anche utilizzare i log di flusso VPC per monitorare il traffico di rete. | |
| D3.PC.IM.B.2 | I sistemi a cui si accede da Internet o da parti esterne sono protetti da firewall o altri dispositivi simili. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio basato sullo stato del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| D3.PC.IM.B.2 | I sistemi a cui si accede da Internet o da parti esterne sono protetti da firewall o altri dispositivi simili. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto ai sistemi interni. | |
| D3.PC.IM.B.2 | I sistemi a cui si accede da Internet o da parti esterne sono protetti da firewall o altri dispositivi simili. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in ingresso (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto. | |
| D3.PC.IM.B.2 | I sistemi a cui si accede da Internet o da parti esterne sono protetti da firewall o altri dispositivi simili. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Impostazioni predefinite Config: 20,21,3389,3306,4333). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| D3.PC.IM.B.2 | I sistemi a cui si accede da Internet o da parti esterne sono protetti da firewall o altri dispositivi simili. | AWSWAF consente di configurare un insieme di regole (chiamate elenco di controllo degli accessi Web (Web ACL)) che consentono, bloccano o contano le richieste Web in base a regole e condizioni di sicurezza Web personalizzabili definite dall'utente. Assicurati che la tua fase Amazon API Gateway sia associata a un ACL Web WAF per proteggerla da attacchi dannosi | |
| D3.PC.IM.B.2 | I sistemi a cui si accede da Internet o da parti esterne sono protetti da firewall o altri dispositivi simili. | Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni web. Un WAF aiuta a proteggere le tue applicazioni web o le tue API dagli exploit web più comuni. Questi exploit web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. | |
| D3.PC.IM.B.3 | Tutte le porte sono monitorate. | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione e le chiamate API. AWS È possibile identificare gli utenti e gli AWS account che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| D3.PC.IM.B.3 | Tutte le porte sono monitorate. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo AWS account. | |
| D3.PC.IM.B.3 | Tutte le porte sono monitorate. | La registrazione di API Gateway mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso all'API. Queste informazioni consentono la visibilità delle attività degli utenti. | |
| D3.PC.IM.B.3 | Tutte le porte sono monitorate. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sugli ACL web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dal tuo ACL web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| D3.PC.IM.B.3 | Tutte le porte sono monitorate. | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| D3.PC.IM.B.3 | Tutte le porte sono monitorate. | I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita, il record del log di flusso include i valori per i diversi componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| D3.pc.IM.B.5 | Le configurazioni dei sistemi (per server, desktop, router, ecc.) seguono gli standard del settore e vengono applicate | ec2- -controlla managedinstance-association-compliance-status |
Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee di base dei livelli di patch del sistema operativo, delle installazioni software, delle configurazioni delle applicazioni e altri dettagli sull'ambiente. |
| D3.pc.IM.B.5 | Le configurazioni dei sistemi (per server, desktop, router, ecc.) seguono gli standard del settore e vengono applicate | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| D3.pc.IM.B.5 | Le configurazioni dei sistemi (per server, desktop, router, ecc.) seguono gli standard del settore e vengono applicate | Abilita questa regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| D3.PC.IM.B.6 | Porte, funzioni, protocolli e servizi sono vietati se non sono più necessari per scopi commerciali. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto ai sistemi interni. | |
| D3.PC.IM.B.6 | Porte, funzioni, protocolli e servizi sono vietati se non sono più necessari per scopi commerciali. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio basato sullo stato del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| D3.PC.IM.B.6 | Porte, funzioni, protocolli e servizi sono vietati se non sono più necessari per scopi commerciali. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in ingresso (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto. | |
| D3.PC.IM.B.6 | Porte, funzioni, protocolli e servizi sono vietati se non sono più necessari per scopi commerciali. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Impostazioni predefinite Config: 20,21,3389,3306,4333). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| D3.pc.IM.B.7 | L'accesso per apportare modifiche alle configurazioni dei sistemi (incluse macchine virtuali e hypervisor) è controllato e monitorato. | AWSIdentity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| D3.pc.IM.B.7 | L'accesso per apportare modifiche alle configurazioni dei sistemi (incluse macchine virtuali e hypervisor) è controllato e monitorato. | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o conservare privilegi eccessivi. | |
| D3.pc.IM.B.7 | L'accesso per apportare modifiche alle configurazioni dei sistemi (incluse macchine virtuali e hypervisor) è controllato e monitorato. | Assicurati che un utente, un ruolo IAM o un gruppo IAM (AWSIdentity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWSconsiglia di utilizzare politiche gestite anziché politiche in linea. Le politiche gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. | |
| D3.pc.IM.B.7 | L'accesso per apportare modifiche alle configurazioni dei sistemi (incluse macchine virtuali e hypervisor) è controllato e monitorato. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo che le policy contengano «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| D3.pc.IM.B.7 | L'accesso per apportare modifiche alle configurazioni dei sistemi (incluse macchine virtuali e hypervisor) è controllato e monitorato. | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione e le chiamate API. AWS È possibile identificare gli utenti e gli AWS account che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| D3.pc.IM.B.7 | L'accesso per apportare modifiche alle configurazioni dei sistemi (incluse macchine virtuali e hypervisor) è controllato e monitorato. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo AWS account. | |
| D3.pc.IM.B.7 | L'accesso per apportare modifiche alle configurazioni dei sistemi (incluse macchine virtuali e hypervisor) è controllato e monitorato. | Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| D3.pc.se.B.1 | Gli sviluppatori che lavorano per l'istituto seguono pratiche sicure di codifica dei programmi, come parte di un ciclo di vita di sviluppo del sistema (SDLC), che soddisfano gli standard del settore. | Assicurati che le credenziali di autenticazione AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY non esistano negli ambienti del progetto Codebuild. AWS Non memorizzate queste variabili in testo non crittografato. La memorizzazione di queste variabili in testo non crittografato comporta l'esposizione involontaria dei dati e l'accesso non autorizzato. | |
| D3.pc.se.B.1 | Gli sviluppatori che lavorano per l'istituto seguono pratiche sicure di codifica dei programmi, come parte di un ciclo di vita di sviluppo del sistema (SDLC), che soddisfano gli standard del settore. | Assicurati che l' GitHub URL del repository di origine di Bitbucket non contenga token di accesso personali e credenziali di accesso all'interno degli ambienti del progetto Codebuild. AWS Utilizza OAuth anziché i token di accesso personali o le credenziali di accesso per concedere l'autorizzazione all'accesso ai repository Bitbucket. GitHub | |
| D4.C.Co.B.2 | L'istituto garantisce che le connessioni di terze parti siano autorizzate. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto ai sistemi interni. | |
| D4.C.Co.B.2 | L'istituto garantisce che le connessioni di terze parti siano autorizzate. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio basato sullo stato del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| D4.C.Co.B.2 | L'istituto garantisce che le connessioni di terze parti siano autorizzate. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in ingresso (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto. | |
| D4.C.Co.B.2 | L'istituto garantisce che le connessioni di terze parti siano autorizzate. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Impostazioni predefinite Config: 20,21,3389,3306,4333). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| D5.dr.de.B.1 | I parametri di avviso sono impostati per rilevare gli incidenti di sicurezza delle informazioni che richiedono azioni di mitigazione. | Amazon CloudWatch avvisa quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme dell'ambiente in uso. | |
| D5.dr.de.B.1 | I parametri di avviso sono impostati per rilevare gli incidenti di sicurezza delle informazioni che richiedono azioni di mitigazione. | AWSSecurity Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| D5.dr.de.B.1 | I parametri di avviso sono impostati per rilevare gli incidenti di sicurezza delle informazioni che richiedono azioni di mitigazione. | Amazon GuardDuty può contribuire a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| D5.dr.de.B.2 | I report sulle prestazioni del sistema contengono informazioni che possono essere utilizzate come indicatore di rischio per rilevare incidenti di sicurezza delle informazioni | Abilita questa regola per informare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione non funziona. | |
| D5.dr.de.B.2 | I report sulle prestazioni del sistema contengono informazioni che possono essere utilizzate come indicatore di rischio per rilevare incidenti di sicurezza delle informazioni | Abilita questa regola per assicurarti che la capacità di throughput assegnata sia verificata nelle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura/scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando il throughput si avvicina al limite massimo per l'account di un cliente. Questa regola consente di impostare facoltativamente i parametri AccountRCU ThresholdPercentage (Config Default: 80) e AccountWCU ThresholdPercentage (Config Default: 80). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| D5.dr.de.B.3 | Sono in atto strumenti e processi per rilevare, avvisare e attivare il programma di risposta agli incidenti. | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione e le chiamate API. AWS È possibile identificare gli utenti e gli AWS account che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| D5.dr.de.B.3 | Sono in atto strumenti e processi per rilevare, avvisare e attivare il programma di risposta agli incidenti. | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| D5.dr.de.B.3 | Sono in atto strumenti e processi per rilevare, avvisare e attivare il programma di risposta agli incidenti. | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni sull'AWSaccount che ha effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| D5.dr.de.B.3 | Sono in atto strumenti e processi per rilevare, avvisare e attivare il programma di risposta agli incidenti. | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamatiAWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di registro contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| D5.dr.de.B.3 | Sono in atto strumenti e processi per rilevare, avvisare e attivare il programma di risposta agli incidenti. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di controllo deve essere abilitata per fornire informazioni sulle connessioni e sulle attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| D5.dr.de.B.3 | Sono in atto strumenti e processi per rilevare, avvisare e attivare il programma di risposta agli incidenti. | La registrazione degli accessi al server di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi vengono monitorati acquisendo record dettagliati per le richieste effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'azione della richiesta, lo stato della risposta e un codice di errore, se pertinente. | |
| D5.dr.de.B.3 | Sono in atto strumenti e processi per rilevare, avvisare e attivare il programma di risposta agli incidenti. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| D5.dr.de.B.3 | Sono in atto strumenti e processi per rilevare, avvisare e attivare il programma di risposta agli incidenti. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sugli ACL web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dal tuo ACL web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| D5.dr.de.B.3 | Sono in atto strumenti e processi per rilevare, avvisare e attivare il programma di risposta agli incidenti. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo AWS account. | |
| D5.dr.de.B.3 | Sono in atto strumenti e processi per rilevare, avvisare e attivare il programma di risposta agli incidenti. | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme dell'ambiente in uso. | |
| D5.dr.de.B.3 | Sono in atto strumenti e processi per rilevare, avvisare e attivare il programma di risposta agli incidenti. | Amazon GuardDuty può aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| D5.dr.de.B.3 | Sono in atto strumenti e processi per rilevare, avvisare e attivare il programma di risposta agli incidenti. | AWSSecurity Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| D5.er.es.B.4 | Gli incidenti vengono classificati, registrati e tracciati. | Amazon ti GuardDuty aiuta a comprendere l'impatto di un incidente classificando i risultati in base alla gravità: bassa, media e alta. Puoi utilizzare queste classificazioni per determinare le strategie e le priorità di riparazione. Questa regola consente di impostare facoltativamente daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) e daysHighSev (Config Default: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione. | |
| D5.ir.pl.B.1 | L'istituto ha documentato come reagirà e risponderà agli incidenti informatici. | response-plan-exists-maintained (controllo del processo) | Garantire che i piani di risposta agli incidenti siano stabiliti, mantenuti e distribuiti al personale responsabile. |
| D5.ir.PL.B.6 | L'istituto prevede di utilizzare programmi di continuità aziendale, disaster recovery e backup dei dati per ripristinare le operazioni a seguito di un incidente. | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa il controllo delle versioni per conservare, recuperare e ripristinare ogni versione di ogni oggetto archiviato nel tuo bucket Amazon S3. Il controllo delle versioni ti aiuta a ripristinare facilmente le azioni involontarie degli utenti e gli errori delle applicazioni. | |
| D5.ir.pl.B.6 | L'istituto prevede di utilizzare programmi di continuità aziendale, disaster recovery e backup dei dati per ripristinare le operazioni a seguito di un incidente. | La scalabilità automatica di Amazon DynamoDB utilizza il servizio Application AWS Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. Ciò consente a una tabella o a un indice secondario globale di aumentare la capacità di lettura/scrittura assegnata per gestire aumenti improvvisi del traffico, senza limitazioni. | |
| D5.ir.pl.B.6 | L'istituto prevede di utilizzare programmi di continuità aziendale, disaster recovery e backup dei dati per ripristinare le operazioni a seguito di un incidente. | Attiva questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni. | |
| D5.ir.PL.B.6 | L'istituto prevede di utilizzare programmi di continuità aziendale, disaster recovery e backup dei dati per ripristinare le operazioni a seguito di un incidente. | È possibile implementare tunnel VPN Site-to-Site ridondanti per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso in cui una delle connessioni VPN da sito a sito non sia disponibile. Per proteggerti dalla perdita di connettività, nel caso in cui il gateway del cliente non sia disponibile, puoi configurare una seconda connessione VPN da sito a sito al tuo Amazon Virtual Private Cloud (Amazon VPC) e al gateway privato virtuale utilizzando un secondo gateway cliente. | |
| D5.ir.PL.B.6 | L'istituto prevede di utilizzare programmi di continuità aziendale, disaster recovery e backup dei dati per ripristinare le operazioni a seguito di un incidente. | Abilita questa regola per assicurarti che la capacità di throughput assegnata sia verificata nelle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura/scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando il throughput si avvicina al limite massimo per l'account di un cliente. Questa regola consente di impostare facoltativamente i parametri AccountRCU ThresholdPercentage (Config Default: 80) e AccountWCU ThresholdPercentage (Config Default: 80). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| D5.ir.PL.B.6 | L'istituto prevede di utilizzare programmi di continuità aziendale, disaster recovery e backup dei dati per ripristinare le operazioni a seguito di un incidente. | Abilita Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità di Amazon RDS. Ciò fornisce una visibilità dettagliata sullo stato delle istanze di database Amazon RDS. Quando lo storage Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ogni dispositivo. Inoltre, quando l'istanza del database Amazon RDS è in esecuzione in una distribuzione Multi-AZ, vengono raccolti i dati per ogni dispositivo sull'host secondario e i parametri dell'host secondario. | |
| D5.ir.pl.B.6 | L'istituto prevede di utilizzare programmi di continuità aziendale, disaster recovery e backup dei dati per ripristinare le operazioni a seguito di un incidente. | Abilita il bilanciamento del carico tra zone per i tuoi Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere un numero equivalente di istanze in ogni zona di disponibilità abilitata. Inoltre, migliora la capacità dell'applicazione di gestire la perdita di una o più istanze. | |
| D5.ir.pl.B.6 | L'istituto prevede di utilizzare programmi di continuità aziendale, disaster recovery e backup dei dati per ripristinare le operazioni a seguito di un incidente. | Assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) abbiano la protezione da eliminazione abilitata. Usa la protezione da eliminazione per evitare che le tue istanze Amazon RDS vengano eliminate accidentalmente o intenzionalmente, il che può portare alla perdita di disponibilità delle tue applicazioni. | |
| D5.ir.pl.B.6 | L'istituto prevede di utilizzare programmi di continuità aziendale, disaster recovery e backup dei dati per ripristinare le operazioni a seguito di un incidente. | Questa regola garantisce che Elastic Load Balancing abbia la protezione da cancellazione abilitata. Utilizza questa funzionalità per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| D5.ir.pl.B.6 | L'istituto prevede di utilizzare programmi di continuità aziendale, disaster recovery e backup dei dati per ripristinare le operazioni a seguito di un incidente. | I controlli di integrità di Elastic Load Balancer (ELB) per i gruppi Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling supportano il mantenimento di capacità e disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ping, tenta connessioni o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo di auto-scaling. Se un'istanza non riporta i dati, il traffico viene inviato a una nuova istanza Amazon EC2. | |
| D5.ir.pl.B.6 | L'istituto prevede di utilizzare programmi di continuità aziendale, disaster recovery e backup dei dati per ripristinare le operazioni a seguito di un incidente. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR consente la copia automatica e asincrona degli oggetti tra i bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati. | |
| D5.ir.pl.B.6 | L'istituto prevede di utilizzare programmi di continuità aziendale, disaster recovery e backup dei dati per ripristinare le operazioni a seguito di un incidente. | Per facilitare i processi di backup dei dati, assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
| D5.ir.pl.B.6 | L'istituto prevede di utilizzare programmi di continuità aziendale, disaster recovery e backup dei dati per ripristinare le operazioni a seguito di un incidente. | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
| D5.ir.pl.B.6 | L'istituto prevede di utilizzare programmi di continuità aziendale, disaster recovery e backup dei dati per ripristinare le operazioni a seguito di un incidente. | Per facilitare i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
| D5.ir.pl.B.6 | L'istituto prevede di utilizzare programmi di continuità aziendale, disaster recovery e backup dei dati per ripristinare le operazioni a seguito di un incidente. | Per facilitare i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
| D5.ir.pl.B.6 | L'istituto prevede di utilizzare programmi di continuità aziendale, disaster recovery e backup dei dati per ripristinare le operazioni a seguito di un incidente. | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere conservato per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, è possibile creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
| D5.ir.pl.B.6 | L'istituto prevede di utilizzare programmi di continuità aziendale, disaster recovery e backup dei dati per ripristinare le operazioni a seguito di un incidente. | Il supporto Multi-AZ in Amazon Relational Database Service (Amazon RDS) offre disponibilità e durabilità avanzate per le istanze di database. Quando effettui il provisioning di un'istanza di database Multi-AZ, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati su un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completo. | |
| D5.ir.pl.B.6 | L'istituto prevede di utilizzare programmi di continuità aziendale, disaster recovery e backup dei dati per ripristinare le operazioni a seguito di un incidente. | La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot del volume di storage dell'istanza DB, eseguendo il backup dell'intera istanza DB. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| D5.ir.pl.B.6 | L'istituto prevede di utilizzare programmi di continuità aziendale, disaster recovery e backup dei dati per ripristinare le operazioni a seguito di un incidente. | Questa regola garantisce che vengano stabiliti i limiti massimi e minimi di concorrenza di una funzione Lambda. Questo può aiutare a stabilire il numero di richieste che la funzione sta soddisfacendo in un dato momento. | |
| D5.ir.pl.B.6 | L'istituto prevede di utilizzare programmi di continuità aziendale, disaster recovery e backup dei dati per ripristinare le operazioni a seguito di un incidente. | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon Aurora facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
| D5.ir.pl.B.6 | L'istituto prevede di utilizzare programmi di continuità aziendale, disaster recovery e backup dei dati per ripristinare le operazioni a seguito di un incidente. | Per facilitare i processi di backup dei dati, assicurati che il piano di AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. Questa regola consente di impostare i parametri requiredFrequencyValue (Config default: 1), ( requiredRetentionDays Config default: 35) e ( requiredFrequencyUnit Config default: days). Il valore effettivo deve riflettere i requisiti dell'organizzazione. | |
| D5.ir.PL.B.6 | L'istituto prevede di utilizzare programmi di continuità aziendale, disaster recovery e backup dei dati per ripristinare le operazioni a seguito di un incidente. | Per facilitare i processi di backup dei dati, assicurati che per i punti di ripristino di AWS Backup sia impostato un periodo minimo di conservazione. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. Questa regola consente di impostare il parametro requiredRetentionDays (configurazione predefinita: 35). Il valore effettivo dovrebbe riflettere i requisiti dell'organizzazione. | |
| D5.ir.PL.B.6 | L'istituto prevede di utilizzare programmi di continuità aziendale, disaster recovery e backup dei dati per ripristinare le operazioni a seguito di un incidente. | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon Elastic Compute Cloud (Amazon EC2) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. |
Modello
Il modello è disponibile su GitHub: Operational Best Practices for FFIEC
