Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Best practice operative per il Gramm Leach Bliley Act (GLBA)
I Conformance Pack forniscono un framework di conformità generico progettato per consentire di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando regole gestite o personalizzate e azioni correttive. AWS Config AWS Config I pacchetti di conformità, in quanto modelli di esempio, non sono pensati per garantire la piena conformità a uno specifico standard di governance o conformità. È tua responsabilità valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.
Di seguito viene fornito un esempio di mappatura tra il Gramm-Leach-Bliley Act (GLBA) e le regole AWS Config gestite. Ogni regola Config si applica a una AWS risorsa specifica e si riferisce a uno o più controlli GLBA. Un controllo GLBA può essere correlato a più regole Config. Consulta la tabella seguente per maggiori dettagli e indicazioni relativi a queste mappature.
| ID controllo | Descrizione del controllo | AWS Regola di Config | Linea guida |
|---|---|---|---|
| GLBA-SEC.501(b) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| GLBA-SEC.501(b) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| GLBA-SEC.501(b) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| GLBA-SEC.501(b) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| GLBA-SEC.501(b) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| GLBA-SEC.501(b) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) in un Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del AWS cloud. Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| GLBA-SEC.501(b) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| GLBA-SEC.501(b) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| GLBA-SEC.501(b) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Questa configurazione non richiede un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| GLBA-SEC.501(b) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| GLBA-SEC.501(b) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| GLBA-SEC.501(b) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| GLBA-SEC.501(b) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| GLBA-SEC.501(b) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| GLBA-SEC.501(b) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| GLBA-SEC.501(b) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche | Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò può consentire un accesso non intenzionale alle applicazioni o ai server. | |
| GLBA-SEC.501(b) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| GLBA-SEC.501(b) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| GLBA-SEC.501(b) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni su account, risorse e processi interni. | |
| GLBA-SEC.501(b) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| GLBA-SEC.501(b) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni. | |
| GLBA-SEC.501(b) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| GLBA-SEC.501(b)(1) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (1) per assicurare la sicurezza e la riservatezza dei registri e delle informazioni dei clienti; | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per la cache della fase Gateway API. Per proteggere i dati sensibili che possono essere acquisiti per il metodo API, è necessario attivare la crittografia a riposo. | |
| GLBA-SEC.501(b)(1) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (1) per assicurare la sicurezza e la riservatezza dei registri e delle informazioni dei clienti; | Poiché possono esistere dati sensibili e per contribuire a proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi percorsi. AWS CloudTrail | |
| GLBA-SEC.501(b)(1) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (1) per assicurare la sicurezza e la riservatezza dei registri e delle informazioni dei clienti; | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi Amazon CloudWatch Log Groups. | |
| GLBA-SEC.501(b)(1) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (1) per assicurare la sicurezza e la riservatezza dei registri e delle informazioni dei clienti; | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| GLBA-SEC.501(b)(1) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (1) per assicurare la sicurezza e la riservatezza dei registri e delle informazioni dei clienti; | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch OpenSearch Service (Service). | |
| GLBA-SEC.501(b)(1) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (1) per assicurare la sicurezza e la riservatezza dei registri e delle informazioni dei clienti; | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). | |
| GLBA-SEC.501(b)(1) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (1) per assicurare la sicurezza e la riservatezza dei registri e delle informazioni dei clienti; | Per aiutare a proteggere i dati a riposo, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo nelle istanze Amazon RDS, abilita la crittografia a riposo per proteggere tali dati. | |
| GLBA-SEC.501(b)(1) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (1) per assicurare la sicurezza e la riservatezza dei registri e delle informazioni dei clienti; | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| GLBA-SEC.501(b)(1) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (1) per assicurare la sicurezza e la riservatezza dei registri e delle informazioni dei clienti; | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| GLBA-SEC.501(b)(1) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (1) per assicurare la sicurezza e la riservatezza dei registri e delle informazioni dei clienti; | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia a riposo per proteggere tali dati. | |
| GLBA-SEC.501(b)(1) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (1) per assicurare la sicurezza e la riservatezza dei registri e delle informazioni dei clienti; | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo SageMaker notebook. Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| GLBA-SEC.501(b)(1) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (1) per assicurare la sicurezza e la riservatezza dei registri e delle informazioni dei clienti; | Per proteggere i dati archiviati, assicurati che gli argomenti di Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia AWS tramite Key Management Service AWS (KMS). Data la possibile presenza di dati sensibili a riposo nei messaggi pubblicati, abilita la crittografia a riposo per proteggere tali dati. | |
| GLBA-SEC.501(b)(1) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (1) per assicurare la sicurezza e la riservatezza dei registri e delle informazioni dei clienti; | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| GLBA-SEC.501(b)(1) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (1) per assicurare la sicurezza e la riservatezza dei registri e delle informazioni dei clienti; | Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Data la possibile presenza di dati sensibili a riposo in queste tabelle, abilita la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con AWS una chiave master del cliente (CMK) di proprietà. | |
| GLBA-SEC.501(b)(1) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (1) per assicurare la sicurezza e la riservatezza dei registri e delle informazioni dei clienti; | Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| GLBA-SEC.501(b)(1) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (1) per assicurare la sicurezza e la riservatezza dei registri e delle informazioni dei clienti; | Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati. | |
| GLBA-SEC.501(b)(1) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (1) per assicurare la sicurezza e la riservatezza dei registri e delle informazioni dei clienti; | Assicurati che la crittografia sia abilitata per i punti AWS di ripristino del Backup. Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| GLBA-SEC.501(b)(1) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (1) per assicurare la sicurezza e la riservatezza dei registri e delle informazioni dei clienti; | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| GLBA-SEC.501(b)(1) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (1) per assicurare la sicurezza e la riservatezza dei registri e delle informazioni dei clienti; | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per AWS CodeBuild i log archiviati in Amazon S3. | |
| GLBA-SEC.501(b)(1) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (1) per assicurare la sicurezza e la riservatezza dei registri e delle informazioni dei clienti; | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CodeBuild artefatti. | |
| GLBA-SEC.501(b)(1) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (1) per assicurare la sicurezza e la riservatezza dei registri e delle informazioni dei clienti; | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service. | |
| GLBA-SEC.501(b)(1) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (1) per assicurare la sicurezza e la riservatezza dei registri e delle informazioni dei clienti; | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| GLBA-SEC.501(b)(1) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (1) per assicurare la sicurezza e la riservatezza dei registri e delle informazioni dei clienti; | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i flussi di Amazon Kinesis. | |
| GLBA-SEC.501(b)(2) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (2) per proteggere da qualsiasi minaccia o pericolo previsto per la sicurezza o l'integrità di tali registrazioni; e | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| GLBA-SEC.501(b)(2) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (2) per proteggere da qualsiasi minaccia o pericolo previsto per la sicurezza o l'integrità di tali registrazioni; e | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| GLBA-SEC.501(b)(3) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (3) per proteggere dall'accesso non autorizzato o dall'uso di tali record o informazioni che potrebbero causare danni o disagi sostanziali a qualsiasi cliente. | Questa regola garantisce che AWS i segreti di Secrets Manager abbiano la rotazione abilitata. La rotazione dei segreti secondo una pianificazione regolare può abbreviare il periodo di attività di un segreto e ridurre potenzialmente l'impatto aziendale in caso di compromissione del segreto. | |
| GLBA-SEC.501(b)(3) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (3) per proteggere dall'accesso non autorizzato o dall'uso di tali record o informazioni che potrebbero causare danni o disagi sostanziali a qualsiasi cliente. | Le credenziali vengono verificate per i dispositivi, gli utenti e i processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate come specificato dalla politica organizzativa. La modifica delle chiavi di accesso a intervalli regolari è una best practice di sicurezza. Riduce il periodo di attività di una chiave di accesso e l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione delle chiavi di accesso (valore di configurazione predefinito: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| GLBA-SEC.501(b)(3) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (3) per proteggere dall'accesso non autorizzato o dall'uso di tali record o informazioni che potrebbero causare danni o disagi sostanziali a qualsiasi cliente. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base ai permessi associati o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| GLBA-SEC.501(b)(3) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (3) per proteggere dall'accesso non autorizzato o dall'uso di tali record o informazioni che potrebbero causare danni o disagi sostanziali a qualsiasi cliente. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti indicati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| GLBA-SEC.501(b)(3) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (3) per proteggere dall'accesso non autorizzato o dall'uso di tali record o informazioni che potrebbero causare danni o disagi sostanziali a qualsiasi cliente. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| GLBA-SEC.501(b)(3) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (3) per proteggere dall'accesso non autorizzato o dall'uso di tali record o informazioni che potrebbero causare danni o disagi sostanziali a qualsiasi cliente. | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| GLBA-SEC.501(b)(3) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (3) per proteggere dall'accesso non autorizzato o dall'uso di tali record o informazioni che potrebbero causare danni o disagi sostanziali a qualsiasi cliente. | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| GLBA-SEC.501(b)(3) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (3) per proteggere dall'accesso non autorizzato o dall'uso di tali record o informazioni che potrebbero causare danni o disagi sostanziali a qualsiasi cliente. | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| GLBA-SEC.501(b)(3) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (3) per proteggere dall'accesso non autorizzato o dall'uso di tali record o informazioni che potrebbero causare danni o disagi sostanziali a qualsiasi cliente. | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| GLBA-SEC.501(b)(3) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (3) per proteggere dall'accesso non autorizzato o dall'uso di tali record o informazioni che potrebbero causare danni o disagi sostanziali a qualsiasi cliente. | Gestisci l'accesso al AWS cloud abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 sia limitato dai AWS principali, dagli utenti federati, dai responsabili del servizio, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti. | |
| GLBA-SEC.501(b)(3) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (3) per proteggere dall'accesso non autorizzato o dall'uso di tali record o informazioni che potrebbero causare danni o disagi sostanziali a qualsiasi cliente. | Assicurati che le azioni IAM siano limitate alle sole azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| GLBA-SEC.501(b)(3) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (3) per proteggere dall'accesso non autorizzato o dall'uso di tali record o informazioni che potrebbero causare danni o disagi sostanziali a qualsiasi cliente. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| GLBA-SEC.501(b)(3) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (3) per proteggere dall'accesso non autorizzato o dall'uso di tali record o informazioni che potrebbero causare danni o disagi sostanziali a qualsiasi cliente. | Assicurati che il controllo granulare degli accessi sia abilitato sui tuoi domini Amazon OpenSearch Service. Il controllo granulare degli accessi fornisce meccanismi di autorizzazione avanzati per ottenere l'accesso con i privilegi minimi ai domini di Amazon Service. OpenSearch Consente il controllo degli accessi al dominio in base ai ruoli, nonché la sicurezza a livello di indice, documento e campo, il supporto per dashboard di servizio multi-tenancy e l'autenticazione di base HTTP per OpenSearch Service e Kibana. OpenSearch | |
| GLBA-SEC.501(b)(3) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (3) per proteggere dall'accesso non autorizzato o dall'uso di tali record o informazioni che potrebbero causare danni o disagi sostanziali a qualsiasi cliente. | L'abilitazione dell'accesso in sola lettura ai container Amazon Elastic Container Service (ECS) può aiutare a rispettare il principio del privilegio minimo. Questa opzione può ridurre i vettori di attacco poiché il file system dell'istanza di container non può essere modificato a meno che non disponga di autorizzazioni esplicite di lettura/scrittura. | |
| GLBA-SEC.501(b)(3) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (3) per proteggere dall'accesso non autorizzato o dall'uso di tali record o informazioni che potrebbero causare danni o disagi sostanziali a qualsiasi cliente. | L'applicazione di una directory root per un punto di accesso Amazon Elastic File System (Amazon EFS) aiuta a limitare l'accesso ai dati garantendo che gli utenti del punto di accesso possano raggiungere solo i file della sottodirectory specificata. | |
| GLBA-SEC.501(b)(3) | Per favorire la policy di cui alla sottosezione (a), ogni agenzia o autorità descritta nella sezione 505(a) stabilirà standard appropriati per le istituzioni finanziarie soggette alla propria giurisdizione in merito alle salvaguardie amministrative, tecniche e fisiche (3) per proteggere dall'accesso non autorizzato o dall'uso di tali record o informazioni che potrebbero causare danni o disagi sostanziali a qualsiasi cliente. | Per facilitare l'implementazione del principio del privilegio minimo, assicurati che l'applicazione dell'utente sia abilitata per il tuo Amazon Elastic File System (Amazon EFS). Quando è abilitato, Amazon EFS sostituisce gli ID utente e gruppo del client NFS con l'identità configurata sul punto di accesso per tutte le operazioni sul file system e concede l'accesso solo a questa identità utente applicata. |
Modello
Il modello è disponibile su GitHub: Operational Best Practices
