Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Best practice operative per la sicurezza HIPAA
I Conformance Pack forniscono un framework di conformità generico progettato per consentire di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando regole gestite o personalizzate e azioni correttive. AWS Config AWS Config I pacchetti di conformità, in quanto modelli di esempio, non sono pensati per garantire la piena conformità a uno specifico standard di governance o conformità. È tua responsabilità valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.
Di seguito viene fornito un esempio di mappatura tra l'Health Insurance Portability and Accountability Act (HIPAA) e le regole di Config gestite AWS . Ogni regola Config si applica a una AWS risorsa specifica e si riferisce a uno o più controlli HIPAA. Un controllo HIPAA può essere correlato a più regole Config. Consulta la tabella seguente per maggiori dettagli e indicazioni relativi a queste mappature.
Questo Conformance Pack è stato convalidato da AWS Security Assurance Services LLC (AWS SAS), che è un team di Payment Card Industry Qualified Security Assessors (QSA), HITRUST Certified Common Security Framework Practitioners (ccSFP) e professionisti della conformità certificati per fornire indicazioni e valutazioni per vari framework di settore. AWS I professionisti SAS hanno progettato questo Conformance Pack per consentire a un cliente di allinearsi a un sottoinsieme dell'HIPAA.
| ID controllo | Descrizione del controllo | AWS Regola di Config | Linea guida |
|---|---|---|---|
| 164.308(a)(1)(ii)(A) | (A) Analisi del rischio (obbligatoria). Effettua una valutazione accurata e approfondita dei potenziali rischi e vulnerabilità in materia di riservatezza, integrità e disponibilità delle informazioni sanitarie protette elettroniche detenute dall'entità interessata. | annual-risk-assessment-performed (Controllo del processo) | Esegui una valutazione annuale del rischio sulla tua organizzazione. Le valutazioni del rischio possono aiutare a determinare la probabilità e l'impatto dei rischi e/o delle vulnerabilità identificati che interessano un'organizzazione. |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | I controlli dell'integrità Elastic Load Balancer (ELB) per i gruppi con dimensionamento automatico Amazon Elastic Compute Cloud (Amazon EC2) supportano il mantenimento di capacità e disponibilità adeguate. Periodicamente, il sistema di bilanciamento del carico invia ping, effettua tentativi di connessione o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo con dimensionamento automatico. Se un'istanza non risponde, il traffico viene inviato a una nuova istanza Amazon EC2. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Poiché possono esistere dati sensibili e per contribuire a proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CloudTrail percorsi. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei CloudTrail registri. La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Assicurati che le credenziali di autenticazione AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY non esistano negli ambienti del progetto Codebuild. AWS Non archiviare queste variabili con testo in chiaro. L'archiviazione di queste variabili con testo in chiaro porta all'esposizione involontaria dei dati e all'accesso non autorizzato. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Assicurati che l'URL del repository di origine GitHub o Bitbucket non contenga token di accesso personali e credenziali di accesso all'interno degli ambienti del progetto Codebuild. AWS Utilizza OAuth anziché i token di accesso personali o le credenziali di accesso per concedere l'autorizzazione all'accesso ai repository Bitbucket. GitHub | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot di archiviazione del volume dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | La scalabilità automatica di Amazon DynamoDB utilizza il servizio Application AWS Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura e scrittura assegnata per gestire improvvisi aumenti di traffico, senza alcuna limitazione (della larghezza di banda della rete). | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Abilita questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella degli ultimi 35 giorni. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Abilita questa regola per assicurarti che la capacità effettiva di trasmissione assegnata sia verificata nelle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura e scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando la velocità di trasmissione effettiva si avvicina al limite massimo per l'account di un cliente. Questa regola consente di impostare facoltativamente i parametri AccountRCU ThresholdPercentage (Config Default: 80) e AccountWCU ThresholdPercentage (Config Default: 80). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) in un Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Abilita questa regola per facilitare la configurazione di base delle istanze Amazon Elastic Compute Cloud (Amazon EC2) verificando se le istanze Amazon EC2 sono state interrotte per un numero di giorni superiore a quello consentito, secondo gli standard dell'organizzazione. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere mantenuto per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch OpenSearch Service (Service). | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Questa regola garantisce che per Elastic Load Balancing sia abilitata la protezione da eliminazione. Utilizza questa funzionalità per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Per proteggere i dati archiviati, assicurati che non sia pianificata l'eliminazione delle chiavi master del cliente (CMK) necessarie in AWS Key Management Service (AWS KMS). Poiché a volte l'eliminazione delle chiavi è necessaria, questa regola può aiutare a verificare tutte le chiavi per le quali è pianificata l'eliminazione, nel caso in cui una chiave sia stata pianificata in modo non intenzionale. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Il supporto multi-AZ in Amazon Relational Database Service (Amazon RDS) offre disponibilità e durabilità avanzate per le istanze database. Quando esegui il provisioning di un'istanza database multi-AZ, Amazon RDS crea automaticamente un'istanza database primaria e replica in modo sincrono i dati in un'istanza standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completato. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Per aiutare a proteggere i dati a riposo, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo nelle istanze Amazon RDS, abilita la crittografia a riposo per proteggere tali dati. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Assicurati che il blocco sia abilitato, per impostazione predefinita, per il bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket S3, applica i blocchi degli oggetti a riposo per proteggere tali dati. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | La replica tra regioni (CRR) di Amazon Simple Storage Service (Amazon S3) supporta il mantenimento di capacità e disponibilità adeguate. La replica tra regioni (CRR) consente la copia asincrona e automatica di oggetti tra bucket Amazon S3 per assicurare il mantenimento della disponibilità dei dati. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia a riposo per proteggere tali dati. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo SageMaker notebook. Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Per proteggere i dati archiviati, assicurati che gli argomenti di Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia AWS tramite Key Management Service AWS (KMS). Data la possibile presenza di dati sensibili a riposo nei messaggi pubblicati, abilita la crittografia a riposo per proteggere tali dati. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | È possibile implementare tunnel VPN sito-sito ridondanti per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso in cui una delle connessioni VPN sito-sito non sia disponibile. Per evitare la perdita di connettività nel caso in cui il gateway del cliente non sia più disponibile, puoi configurare una seconda connessione VPN sito-sito al tuo Amazon Virtual Private Cloud (Amazon VPC) e al gateway privato virtuale utilizzando un secondo dispositivo gateway del cliente. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | L'abilitazione di questa regola facilita l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| 164.308(a)(1)(ii)(B) | (B) Gestione del rischio (obbligatoria). Implementa misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato conformemente alla Sezione 164.306(a). | Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee di base dei livelli di patch del sistema operativo, delle installazioni software, delle configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | Assicurati che il metodo del servizio di metadati di istanza versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, puoi implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | Assicurati che le azioni IAM siano limitate alle sole azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'associazione di un profilo dell'istanza alle istanze può facilitare la gestione delle autorizzazioni e del privilegio minimo. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) in un Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del AWS cloud. Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | Se una definizione di attività ha privilegi elevati, significa che il cliente ha scelto specificamente di accedere a tali configurazioni. Questo controllo verifica l'aumento imprevisto dei privilegi quando la rete host prevede una definizione di attività ma il cliente non ha scelto privilegi elevati. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | L'abilitazione dell'accesso in sola lettura ai container Amazon Elastic Container Service (ECS) può aiutare a rispettare il principio del privilegio minimo. Questa opzione può ridurre i vettori di attacco poiché il file system dell'istanza di container non può essere modificato a meno che non disponga di autorizzazioni esplicite di lettura/scrittura. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni su account, risorse e processi interni. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | Questa regola verifica se le liste di controllo degli accessi (ACL) vengono utilizzate per il controllo degli accessi ai bucket Amazon S3. Gli ACL sono meccanismi di controllo degli accessi legacy per i bucket Amazon S3 AWS precedenti a Identity and Access Management (IAM). Invece delle ACL, è consigliabile utilizzare le policy IAM o le policy dei bucket S3 per gestire più facilmente l'accesso ai bucket S3. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | Assicurati che le credenziali di autenticazione AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY non esistano negli ambienti del progetto Codebuild. AWS Non archiviare queste variabili con testo in chiaro. L'archiviazione di queste variabili con testo in chiaro porta all'esposizione involontaria dei dati e all'accesso non autorizzato. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | Assicurati che l'URL del repository di origine GitHub o Bitbucket non contenga token di accesso personali e credenziali di accesso all'interno degli ambienti del progetto Codebuild. AWS Utilizza OAuth anziché i token di accesso personali o le credenziali di accesso per concedere l'autorizzazione all'accesso ai repository Bitbucket. GitHub | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò può consentire un accesso non intenzionale alle applicazioni o ai server. | |
| 164.308(a)(3)(i) | (3)(i) Standard: sicurezza della forza lavoro. Implementa policy e procedure per garantire che tutti i membri della propria forza lavoro abbiano un accesso adeguato alle informazioni elettroniche protette sullo stato, come previsto dal paragrafo (a)(4) di questa sezione, e per evitare che i membri della forza lavoro che non hanno accesso ai sensi del paragrafo (a)(4) di questa sezione ottengano l'accesso alle informazioni elettroniche protette sullo stato. | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| 164.308(a)(3)(ii)(A) | (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni elettroniche protette sullo stato o in luoghi in cui è possibile accedervi. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| 164.308(a)(3)(ii)(A) | (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni elettroniche protette sullo stato o in luoghi in cui è possibile accedervi. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.308(a)(3)(ii)(A) | (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni elettroniche protette sullo stato o in luoghi in cui è possibile accedervi. | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.308(a)(3)(ii)(A) | (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni elettroniche protette sullo stato o in luoghi in cui è possibile accedervi. | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| 164.308(a)(3)(ii)(A) | (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni elettroniche protette sullo stato o in luoghi in cui è possibile accedervi. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 164.308(a)(3)(ii)(A) | (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni elettroniche protette sullo stato o in luoghi in cui è possibile accedervi. | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| 164.308(a)(3)(ii)(A) | (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni elettroniche protette sullo stato o in luoghi in cui è possibile accedervi. | Assicurati che le azioni IAM siano limitate alle sole azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 164.308(a)(3)(ii)(A) | (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni elettroniche protette sullo stato o in luoghi in cui è possibile accedervi. | I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'associazione di un profilo dell'istanza alle istanze può facilitare la gestione delle autorizzazioni e del privilegio minimo. | |
| 164.308(a)(3)(ii)(A) | (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni elettroniche protette sullo stato o in luoghi in cui è possibile accedervi. | Se una definizione di attività ha privilegi elevati, significa che il cliente ha scelto specificamente di accedere a tali configurazioni. Questo controllo verifica l'aumento imprevisto dei privilegi quando la rete host prevede una definizione di attività ma il cliente non ha scelto privilegi elevati. | |
| 164.308(a)(3)(ii)(A) | (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni elettroniche protette sullo stato o in luoghi in cui è possibile accedervi. | L'abilitazione dell'accesso in sola lettura ai container Amazon Elastic Container Service (ECS) può aiutare a rispettare il principio del privilegio minimo. Questa opzione può ridurre i vettori di attacco poiché il file system dell'istanza di container non può essere modificato a meno che non disponga di autorizzazioni esplicite di lettura/scrittura. | |
| 164.308(a)(3)(ii)(A) | (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni elettroniche protette sullo stato o in luoghi in cui è possibile accedervi. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| 164.308(a)(3)(ii)(A) | (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni elettroniche protette sullo stato o in luoghi in cui è possibile accedervi. | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| 164.308(a)(3)(ii)(A) | (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni elettroniche protette sullo stato o in luoghi in cui è possibile accedervi. | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono Account AWS le informazioni relative all'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| 164.308(a)(3)(ii)(A) | (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni elettroniche protette sullo stato o in luoghi in cui è possibile accedervi. | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| 164.308(a)(3)(ii)(A) | (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni elettroniche protette sullo stato o in luoghi in cui è possibile accedervi. | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| 164.308(a)(3)(ii)(A) | (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni elettroniche protette sullo stato o in luoghi in cui è possibile accedervi. | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| 164.308(a)(3)(ii)(A) | (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni elettroniche protette sullo stato o in luoghi in cui è possibile accedervi. | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| 164.308(a)(3)(ii)(A) | (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni elettroniche protette sullo stato o in luoghi in cui è possibile accedervi. | Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e per diagnosticare i problemi di disponibilità. | |
| 164.308(a)(3)(ii)(A) | (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni elettroniche protette sullo stato o in luoghi in cui è possibile accedervi. | Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| 164.308(a)(3)(ii)(B) | (B) Procedura di licenziamento del personale (indirizzabile). Implementare procedure per determinare che l'accesso di un membro della forza lavoro alle informazioni elettroniche protette sullo stato sia appropriato. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| 164.308(a)(3)(ii)(B) | (B) Procedura di licenziamento del personale (indirizzabile). Implementare procedure per determinare che l'accesso di un membro della forza lavoro alle informazioni elettroniche protette sullo stato sia appropriato. | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| 164.308(a)(3)(ii)(B) | (B) Procedura di licenziamento del personale (indirizzabile). Implementare procedure per determinare che l'accesso di un membro della forza lavoro alle informazioni elettroniche protette sullo stato sia appropriato. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 164.308(a)(3)(ii)(B) | (B) Procedura di licenziamento del personale (indirizzabile). Implementare procedure per determinare che l'accesso di un membro della forza lavoro alle informazioni elettroniche protette sullo stato sia appropriato. | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| 164.308(a)(3)(ii)(B) | (B) Procedura di licenziamento del personale (indirizzabile). Implementare procedure per determinare che l'accesso di un membro della forza lavoro alle informazioni elettroniche protette sullo stato sia appropriato. | Assicurati che le azioni IAM siano limitate alle sole azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 164.308(a)(3)(ii)(B) | (B) Procedura di licenziamento del personale (indirizzabile). Implementare procedure per determinare che l'accesso di un membro della forza lavoro alle informazioni elettroniche protette sullo stato sia appropriato. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.308(a)(3)(ii)(B) | (B) Procedura di licenziamento del personale (indirizzabile). Implementare procedure per determinare che l'accesso di un membro della forza lavoro alle informazioni elettroniche protette sullo stato sia appropriato. | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| 164.308(a)(3)(ii)(B) | (B) Procedura di licenziamento del personale (indirizzabile). Implementare procedure per determinare che l'accesso di un membro della forza lavoro alle informazioni elettroniche protette sullo stato sia appropriato. | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni su account, risorse e processi interni. | |
| 164.308(a)(3)(ii)(B) | (B) Procedura di licenziamento del personale (indirizzabile). Implementare procedure per determinare che l'accesso di un membro della forza lavoro alle informazioni elettroniche protette sullo stato sia appropriato. | L'abilitazione dell'accesso in sola lettura ai container Amazon Elastic Container Service (ECS) può aiutare a rispettare il principio del privilegio minimo. Questa opzione può ridurre i vettori di attacco poiché il file system dell'istanza di container non può essere modificato a meno che non disponga di autorizzazioni esplicite di lettura/scrittura. | |
| 164.308(a)(3)(ii)(B) | (B) Procedura di licenziamento del personale (indirizzabile). Implementare procedure per determinare che l'accesso di un membro della forza lavoro alle informazioni elettroniche protette sullo stato sia appropriato. | Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò può consentire un accesso non intenzionale alle applicazioni o ai server. | |
| 164.308(a)(3)(ii)(B) | (B) Procedura di licenziamento del personale (indirizzabile). Implementare procedure per determinare che l'accesso di un membro della forza lavoro alle informazioni elettroniche protette sullo stato sia appropriato. | Questa regola verifica se le liste di controllo degli accessi (ACL) vengono utilizzate per il controllo degli accessi ai bucket Amazon S3. Gli ACL sono meccanismi di controllo degli accessi legacy per i bucket Amazon S3 AWS precedenti a Identity and Access Management (IAM). Invece delle ACL, è consigliabile utilizzare le policy IAM o le policy dei bucket S3 per gestire più facilmente l'accesso ai bucket S3. | |
| 164.308(a)(3)(ii)(C) | (C) Procedure di risoluzione (indirizzabili). Implementa procedure per interrompere l'accesso alle informazioni elettroniche protette sullo stato quando termina il rapporto di lavoro di un membro del personale o come richiesto dalle decisioni prese come specificato nel paragrafo (a)(3)(ii)(B) di questa sezione. | Le credenziali vengono verificate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate come specificato dalla politica organizzativa. La modifica delle chiavi di accesso a intervalli regolari è una best practice di sicurezza. Riduce il periodo di attività di una chiave di accesso e l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione delle chiavi di accesso (valore di configurazione predefinito: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| 164.308(a)(4)(i) | (4)(i) Standard: gestione dell'accesso alle informazioni. Implementare policy e procedure per autorizzare l'accesso alle informazioni elettroniche protette sullo stato che siano coerenti con i requisiti applicabili della sottoparte E di questa parte. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| 164.308(a)(4)(i) | (4)(i) Standard: gestione dell'accesso alle informazioni. Implementare policy e procedure per autorizzare l'accesso alle informazioni elettroniche protette sullo stato che siano coerenti con i requisiti applicabili della sottoparte E di questa parte. | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| 164.308(a)(4)(i) | (4)(i) Standard: gestione dell'accesso alle informazioni. Implementare policy e procedure per autorizzare l'accesso alle informazioni elettroniche protette sullo stato che siano coerenti con i requisiti applicabili della sottoparte E di questa parte. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 164.308(a)(4)(i) | (4)(i) Standard: gestione dell'accesso alle informazioni. Implementare policy e procedure per autorizzare l'accesso alle informazioni elettroniche protette sullo stato che siano coerenti con i requisiti applicabili della sottoparte E di questa parte. | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| 164.308(a)(4)(i) | (4)(i) Standard: gestione dell'accesso alle informazioni. Implementare policy e procedure per autorizzare l'accesso alle informazioni elettroniche protette sullo stato che siano coerenti con i requisiti applicabili della sottoparte E di questa parte. | Assicurati che le azioni IAM siano limitate alle sole azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 164.308(a)(4)(i) | (4)(i) Standard: gestione dell'accesso alle informazioni. Implementare policy e procedure per autorizzare l'accesso alle informazioni elettroniche protette sullo stato che siano coerenti con i requisiti applicabili della sottoparte E di questa parte. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.308(a)(4)(i) | (4)(i) Standard: gestione dell'accesso alle informazioni. Implementare policy e procedure per autorizzare l'accesso alle informazioni elettroniche protette sullo stato che siano coerenti con i requisiti applicabili della sottoparte E di questa parte. | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| 164.308(a)(4)(i) | (4)(i) Standard: gestione dell'accesso alle informazioni. Implementare policy e procedure per autorizzare l'accesso alle informazioni elettroniche protette sullo stato che siano coerenti con i requisiti applicabili della sottoparte E di questa parte. | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni su account, risorse e processi interni. | |
| 164.308(a)(4)(i) | (4)(i) Standard: gestione dell'accesso alle informazioni. Implementare policy e procedure per autorizzare l'accesso alle informazioni elettroniche protette sullo stato che siano coerenti con i requisiti applicabili della sottoparte E di questa parte. | L'abilitazione dell'accesso in sola lettura ai container Amazon Elastic Container Service (ECS) può aiutare a rispettare il principio del privilegio minimo. Questa opzione può ridurre i vettori di attacco poiché il file system dell'istanza di container non può essere modificato a meno che non disponga di autorizzazioni esplicite di lettura/scrittura. | |
| 164.308(a)(4)(i) | (4)(i) Standard: gestione dell'accesso alle informazioni. Implementare policy e procedure per autorizzare l'accesso alle informazioni elettroniche protette sullo stato che siano coerenti con i requisiti applicabili della sottoparte E di questa parte. | Questa regola verifica se le liste di controllo degli accessi (ACL) vengono utilizzate per il controllo degli accessi ai bucket Amazon S3. Gli ACL sono meccanismi di controllo degli accessi legacy per i bucket Amazon S3 AWS precedenti a Identity and Access Management (IAM). Invece delle ACL, è consigliabile utilizzare le policy IAM o le policy dei bucket S3 per gestire più facilmente l'accesso ai bucket S3. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | Assicurati che il metodo del servizio di metadati di istanza versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, puoi implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | Assicurati che le azioni IAM siano limitate alle sole azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'associazione di un profilo dell'istanza alle istanze può facilitare la gestione delle autorizzazioni e del privilegio minimo. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) in un Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del AWS cloud. Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | Se una definizione di attività ha privilegi elevati, significa che il cliente ha scelto specificamente di accedere a tali configurazioni. Questo controllo verifica l'aumento imprevisto dei privilegi quando la rete host prevede una definizione di attività ma il cliente non ha scelto privilegi elevati. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | Assicurati che le credenziali di autenticazione AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY non esistano negli ambienti del progetto Codebuild. AWS Non archiviare queste variabili con testo in chiaro. L'archiviazione di queste variabili con testo in chiaro porta all'esposizione involontaria dei dati e all'accesso non autorizzato. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | Assicurati che l'URL del repository di origine GitHub o Bitbucket non contenga token di accesso personali e credenziali di accesso all'interno degli ambienti del progetto Codebuild. AWS Utilizza OAuth anziché i token di accesso personali o le credenziali di accesso per concedere l'autorizzazione all'accesso ai repository Bitbucket. GitHub | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò può consentire un accesso non intenzionale alle applicazioni o ai server. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | L'abilitazione dell'accesso in sola lettura ai container Amazon Elastic Container Service (ECS) può aiutare a rispettare il principio del privilegio minimo. Questa opzione può ridurre i vettori di attacco poiché il file system dell'istanza di container non può essere modificato a meno che non disponga di autorizzazioni esplicite di lettura/scrittura. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni su account, risorse e processi interni. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | Questa regola verifica se le liste di controllo degli accessi (ACL) vengono utilizzate per il controllo degli accessi ai bucket Amazon S3. Gli ACL sono meccanismi di controllo degli accessi legacy per i bucket Amazon S3 AWS precedenti a Identity and Access Management (IAM). Invece delle ACL, è consigliabile utilizzare le policy IAM o le policy dei bucket S3 per gestire più facilmente l'accesso ai bucket S3. | |
| 164.308(a)(4)(ii)(A) | (A) Isolare le funzioni del centro di clearing sanitario (obbligatorio). Se un centro di clearing sanitario fa parte di un'organizzazione più grande, deve implementare policy e procedure che tutelino le proprie informazioni sanitarie protette elettroniche da accessi non autorizzati da parte dell'organizzazione più grande. | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| 164.308(a)(4)(ii)(B) | (B) Autorizzazione all'accesso (indirizzabile). Implementa policy e procedure per la concessione dell'accesso alle informazioni sanitarie protette elettroniche, ad esempio attraverso l'accesso a una postazione di lavoro, una transazione, un programma, un processo o a un altro meccanismo. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 164.308(a)(4)(ii)(B) | (B) Autorizzazione all'accesso (indirizzabile). Implementa policy e procedure per la concessione dell'accesso alle informazioni sanitarie protette elettroniche, ad esempio attraverso l'accesso a una postazione di lavoro, una transazione, un programma, un processo o a un altro meccanismo. | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| 164.308(a)(4)(ii)(B) | (B) Autorizzazione all'accesso (indirizzabile). Implementa policy e procedure per la concessione dell'accesso alle informazioni sanitarie protette elettroniche, ad esempio attraverso l'accesso a una postazione di lavoro, una transazione, un programma, un processo o a un altro meccanismo. | Le credenziali vengono verificate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate come specificato dalla politica organizzativa. La modifica delle chiavi di accesso a intervalli regolari è una best practice di sicurezza. Riduce il periodo di attività di una chiave di accesso e l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione delle chiavi di accesso (valore di configurazione predefinito: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| 164.308(a)(4)(ii)(B) | (B) Autorizzazione all'accesso (indirizzabile). Implementa policy e procedure per la concessione dell'accesso alle informazioni sanitarie protette elettroniche, ad esempio attraverso l'accesso a una postazione di lavoro, una transazione, un programma, un processo o a un altro meccanismo. | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| 164.308(a)(4)(ii)(B) | (B) Autorizzazione all'accesso (indirizzabile). Implementa policy e procedure per la concessione dell'accesso alle informazioni sanitarie protette elettroniche, ad esempio attraverso l'accesso a una postazione di lavoro, una transazione, un programma, un processo o a un altro meccanismo. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti dichiarati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.308(a)(4)(ii)(B) | (B) Autorizzazione all'accesso (indirizzabile). Implementa policy e procedure per la concessione dell'accesso alle informazioni sanitarie protette elettroniche, ad esempio attraverso l'accesso a una postazione di lavoro, una transazione, un programma, un processo o a un altro meccanismo. | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| 164.308(a)(4)(ii)(B) | (B) Autorizzazione all'accesso (indirizzabile). Implementa policy e procedure per la concessione dell'accesso alle informazioni sanitarie protette elettroniche, ad esempio attraverso l'accesso a una postazione di lavoro, una transazione, un programma, un processo o a un altro meccanismo. | Questa regola garantisce che AWS i segreti di Secrets Manager abbiano la rotazione abilitata. La rotazione dei segreti secondo una pianificazione regolare può abbreviare il periodo di attività di un segreto e ridurre potenzialmente l'impatto aziendale in caso di compromissione del segreto. | |
| 164.308(a)(4)(ii)(B) | (B) Autorizzazione all'accesso (indirizzabile). Implementa policy e procedure per la concessione dell'accesso alle informazioni sanitarie protette elettroniche, ad esempio attraverso l'accesso a una postazione di lavoro, una transazione, un programma, un processo o a un altro meccanismo. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| 164.308(a)(4)(ii)(B) | (B) Autorizzazione all'accesso (indirizzabile). Implementa policy e procedure per la concessione dell'accesso alle informazioni sanitarie protette elettroniche, ad esempio attraverso l'accesso a una postazione di lavoro, una transazione, un programma, un processo o a un altro meccanismo. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.308(a)(4)(ii)(B) | (B) Autorizzazione all'accesso (indirizzabile). Implementa policy e procedure per la concessione dell'accesso alle informazioni sanitarie protette elettroniche, ad esempio attraverso l'accesso a una postazione di lavoro, una transazione, un programma, un processo o a un altro meccanismo. | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.308(a)(4)(ii)(B) | (B) Autorizzazione all'accesso (indirizzabile). Implementa policy e procedure per la concessione dell'accesso alle informazioni sanitarie protette elettroniche, ad esempio attraverso l'accesso a una postazione di lavoro, una transazione, un programma, un processo o a un altro meccanismo. | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| 164.308(a)(4)(ii)(B) | (B) Autorizzazione all'accesso (indirizzabile). Implementa policy e procedure per la concessione dell'accesso alle informazioni sanitarie protette elettroniche, ad esempio attraverso l'accesso a una postazione di lavoro, una transazione, un programma, un processo o a un altro meccanismo. | Abilita questa regola per limitare l'accesso alle risorse nel AWS cloud. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Riduci gli incidenti dovuti alla compromissione degli account richiedendo l'autenticazione a più fattori per gli utenti. | |
| 164.308(a)(4)(ii)(B) | (B) Autorizzazione all'accesso (indirizzabile). Implementa policy e procedure per la concessione dell'accesso alle informazioni sanitarie protette elettroniche, ad esempio attraverso l'accesso a una postazione di lavoro, una transazione, un programma, un processo o a un altro meccanismo. | Assicurati che le azioni IAM siano limitate alle sole azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 164.308(a)(4)(ii)(B) | (B) Autorizzazione all'accesso (indirizzabile). Implementa policy e procedure per la concessione dell'accesso alle informazioni sanitarie protette elettroniche, ad esempio attraverso l'accesso a una postazione di lavoro, una transazione, un programma, un processo o a un altro meccanismo. | I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'associazione di un profilo dell'istanza alle istanze può facilitare la gestione delle autorizzazioni e del privilegio minimo. | |
| 164.308(a)(4)(ii)(B) | (B) Autorizzazione all'accesso (indirizzabile). Implementa policy e procedure per la concessione dell'accesso alle informazioni sanitarie protette elettroniche, ad esempio attraverso l'accesso a una postazione di lavoro, una transazione, un programma, un processo o a un altro meccanismo. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.308(a)(4)(ii)(B) | (B) Autorizzazione all'accesso (indirizzabile). Implementa policy e procedure per la concessione dell'accesso alle informazioni sanitarie protette elettroniche, ad esempio attraverso l'accesso a una postazione di lavoro, una transazione, un programma, un processo o a un altro meccanismo. | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| 164.308(a)(4)(ii)(B) | (B) Autorizzazione all'accesso (indirizzabile). Implementa policy e procedure per la concessione dell'accesso alle informazioni sanitarie protette elettroniche, ad esempio attraverso l'accesso a una postazione di lavoro, una transazione, un programma, un processo o a un altro meccanismo. | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni su account, risorse e processi interni. | |
| 164.308(a)(4)(ii)(B) | (B) Autorizzazione all'accesso (indirizzabile). Implementa policy e procedure per la concessione dell'accesso alle informazioni sanitarie protette elettroniche, ad esempio attraverso l'accesso a una postazione di lavoro, una transazione, un programma, un processo o a un altro meccanismo. | L'abilitazione dell'accesso in sola lettura ai container Amazon Elastic Container Service (ECS) può aiutare a rispettare il principio del privilegio minimo. Questa opzione può ridurre i vettori di attacco poiché il file system dell'istanza di container non può essere modificato a meno che non disponga di autorizzazioni esplicite di lettura/scrittura. | |
| 164.308(a)(4)(ii)(B) | (B) Autorizzazione all'accesso (indirizzabile). Implementa policy e procedure per la concessione dell'accesso alle informazioni sanitarie protette elettroniche, ad esempio attraverso l'accesso a una postazione di lavoro, una transazione, un programma, un processo o a un altro meccanismo. | Questa regola verifica se le liste di controllo degli accessi (ACL) vengono utilizzate per il controllo degli accessi ai bucket Amazon S3. Gli ACL sono meccanismi di controllo degli accessi legacy per i bucket Amazon S3 AWS precedenti a Identity and Access Management (IAM). Invece delle ACL, è consigliabile utilizzare le policy IAM o le policy dei bucket S3 per gestire più facilmente l'accesso ai bucket S3. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | Assicurati che il metodo del servizio di metadati di istanza versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, puoi implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | Assicurati che le azioni IAM siano limitate alle sole azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'associazione di un profilo dell'istanza alle istanze può facilitare la gestione delle autorizzazioni e del privilegio minimo. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) in un Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del AWS cloud. Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | Se una definizione di attività ha privilegi elevati, significa che il cliente ha scelto specificamente di accedere a tali configurazioni. Questo controllo verifica l'aumento imprevisto dei privilegi quando la rete host prevede una definizione di attività ma il cliente non ha scelto privilegi elevati. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | Assicurati che le credenziali di autenticazione AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY non esistano negli ambienti del progetto Codebuild. AWS Non archiviare queste variabili con testo in chiaro. L'archiviazione di queste variabili con testo in chiaro porta all'esposizione involontaria dei dati e all'accesso non autorizzato. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | Assicurati che l'URL del repository di origine GitHub o Bitbucket non contenga token di accesso personali e credenziali di accesso all'interno degli ambienti del progetto Codebuild. AWS Utilizza OAuth anziché i token di accesso personali o le credenziali di accesso per concedere l'autorizzazione all'accesso ai repository Bitbucket. GitHub | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò può consentire un accesso non intenzionale alle applicazioni o ai server. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | L'abilitazione dell'accesso in sola lettura ai container Amazon Elastic Container Service (ECS) può aiutare a rispettare il principio del privilegio minimo. Questa opzione può ridurre i vettori di attacco poiché il file system dell'istanza di container non può essere modificato a meno che non disponga di autorizzazioni esplicite di lettura/scrittura. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni su account, risorse e processi interni. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | Questa regola verifica se le liste di controllo degli accessi (ACL) vengono utilizzate per il controllo degli accessi ai bucket Amazon S3. Gli ACL sono meccanismi di controllo degli accessi legacy per i bucket Amazon S3 AWS precedenti a Identity and Access Management (IAM). Invece delle ACL, è consigliabile utilizzare le policy IAM o le policy dei bucket S3 per gestire più facilmente l'accesso ai bucket S3. | |
| 164.308(a)(4)(ii)(C) | (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa policy e procedure che, sulla base delle policy di autorizzazione all'accesso dell'entità, stabiliscono, documentano, rivedono e modificano il diritto di accesso di un utente a una stazione di lavoro, un'operazione, un programma o un processo. | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| 164.308(a)(5)(ii)(A) | (A) Promemoria di sicurezza (indirizzabili). Aggiornamenti di sicurezza periodici. | L'abilitazione di questa regola facilita l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| 164.308(a)(5)(ii)(A) | (A) Promemoria di sicurezza (indirizzabili). Aggiornamenti di sicurezza periodici. | L'abilitazione degli aggiornamenti della piattaforma gestiti per un ambiente Amazon Elastic Beanstalk garantisce l'installazione degli ultimi aggiornamenti, correzioni e funzionalità disponibili per l'ambiente. Rimanere costantemente al passo con l'installazione delle patch è una delle best practice per la sicurezza dei sistemi. | |
| 164.308(a)(5)(ii)(A) | (A) Promemoria di sicurezza (indirizzabili). Aggiornamenti di sicurezza periodici. | Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno finestre di manutenzione preferite e periodi di conservazione automatica degli snapshot per il database. Questa regola richiede di impostare il allowVersionUpgrade. Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sab: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.308(a)(5)(ii)(A) | (A) Promemoria di sicurezza (indirizzabili). Aggiornamenti di sicurezza periodici. | L'abilitazione degli aggiornamenti automatici delle versioni minori sulle istanze Amazon Relational Database Service (RDS) garantisce l'installazione degli ultimi aggiornamenti delle versioni minori del sistema di gestione di database relazionale (RDBMS), che possono includere patch di sicurezza e correzioni di bug. | |
| 164.308(a)(5)(ii)(B) | (B) Protezione da software dannoso (indirizzabile). Procedure per la protezione, l'individuazione e la segnalazione di software dannoso. | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| 164.308(a)(5)(ii)(B) | (B) Protezione da software dannoso (indirizzabile). Procedure per la protezione, l'individuazione e la segnalazione di software dannoso. | Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee di base dei livelli di patch del sistema operativo, delle installazioni software, delle configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
| 164.308(a)(5)(ii)(B) | (B) Protezione da software dannoso (indirizzabile). Procedure per la protezione, l'individuazione e la segnalazione di software dannoso. | L'abilitazione di questa regola facilita l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| 164.308(a)(5)(ii)(C) | (C) Monitoraggio degli accessi (indirizzabile). Procedure per monitorare i tentativi di accesso e segnalare le discrepanze. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| 164.308(a)(5)(ii)(C) | (C) Monitoraggio degli accessi (indirizzabile). Procedure per monitorare i tentativi di accesso e segnalare le discrepanze. | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| 164.308(a)(5)(ii)(C) | (C) Monitoraggio degli accessi (indirizzabile). Procedure per monitorare i tentativi di accesso e segnalare le discrepanze. | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| 164.308(a)(5)(ii)(D) | (D) Gestione delle password (indirizzabile). Procedure per la creazione, la modifica e la salvaguardia delle password. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti indicati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.308(a)(6)(i) | (6)(i) Standard: procedure relative agli incidenti di sicurezza. Implementa policy e procedure per affrontare gli incidenti di sicurezza. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| 164.308(a)(6)(ii) | (ii) Specifiche di implementazione: risposta e segnalazione (obbligatorie). Identifica gli incidenti di sicurezza sospetti o noti e rispondi al riguardo; attenua, per quanto possibile, gli effetti dannosi degli incidenti di sicurezza noti all'entità interessata; documenta gli incidenti di sicurezza e i loro esiti. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| 164.308(a)(7)(i) | (7)(i) Standard: piano di emergenza. È necessario stabilire (e implementare, se necessario) policy e procedure per rispondere a un'emergenza o ad altri eventi (ad esempio, incendi, atti di vandalismo, guasti al sistema e disastri naturali) che danneggiano i sistemi che contengono informazioni sanitarie protette in formato elettronico. | La scalabilità automatica di Amazon DynamoDB utilizza il servizio Application AWS Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura e scrittura assegnata per gestire improvvisi aumenti di traffico, senza alcuna limitazione (della larghezza di banda della rete). | |
| 164.308(a)(7)(i) | (7)(i) Standard: piano di emergenza. È necessario stabilire (e implementare, se necessario) policy e procedure per rispondere a un'emergenza o ad altri eventi (ad esempio, incendi, atti di vandalismo, guasti al sistema e disastri naturali) che danneggiano i sistemi che contengono informazioni sanitarie protette in formato elettronico. | Abilita il bilanciamento del carico tra zone per gli Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze. | |
| 164.308(a)(7)(i) | (7)(i) Standard: piano di emergenza. È necessario stabilire (e implementare, se necessario) policy e procedure per rispondere a un'emergenza o ad altri eventi (ad esempio, incendi, atti di vandalismo, guasti al sistema e disastri naturali) che danneggiano i sistemi che contengono informazioni sanitarie protette in formato elettronico. | Questa regola garantisce che per Elastic Load Balancing sia abilitata la protezione da eliminazione. Utilizza questa funzionalità per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| 164.308(a)(7)(i) | (7)(i) Standard: piano di emergenza. È necessario stabilire (e implementare, se necessario) policy e procedure per rispondere a un'emergenza o ad altri eventi (ad esempio, incendi, atti di vandalismo, guasti al sistema e disastri naturali) che danneggiano i sistemi che contengono informazioni sanitarie protette in formato elettronico. | Assicurati che per le istanze di Amazon Relational Database Service (Amazon RDS) sia abilitata la protezione da eliminazione. Utilizza la protezione da eliminazione per evitare che le istanze Amazon RDS vengano eliminate accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| 164.308(a)(7)(i) | (7)(i) Standard: piano di emergenza. È necessario stabilire (e implementare, se necessario) policy e procedure per rispondere a un'emergenza o ad altri eventi (ad esempio, incendi, atti di vandalismo, guasti al sistema e disastri naturali) che danneggiano i sistemi che contengono informazioni sanitarie protette in formato elettronico. | Il supporto multi-AZ in Amazon Relational Database Service (Amazon RDS) offre disponibilità e durabilità avanzate per le istanze database. Quando esegui il provisioning di un'istanza database multi-AZ, Amazon RDS crea automaticamente un'istanza database primaria e replica in modo sincrono i dati in un'istanza standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completato. | |
| 164.308(a)(7)(i) | (7)(i) Standard: piano di emergenza. È necessario stabilire (e implementare, se necessario) policy e procedure per rispondere a un'emergenza o ad altri eventi (ad esempio, incendi, atti di vandalismo, guasti al sistema e disastri naturali) che danneggiano i sistemi che contengono informazioni sanitarie protette in formato elettronico. | È possibile implementare tunnel VPN sito-sito ridondanti per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso in cui una delle connessioni VPN sito-sito non sia disponibile. Per evitare la perdita di connettività nel caso in cui il gateway del cliente non sia più disponibile, puoi configurare una seconda connessione VPN sito-sito al tuo Amazon Virtual Private Cloud (Amazon VPC) e al gateway privato virtuale utilizzando un secondo dispositivo gateway del cliente. | |
| 164.308(a)(7)(i) | (7)(i) Standard: piano di emergenza. È necessario stabilire (e implementare, se necessario) policy e procedure per rispondere a un'emergenza o ad altri eventi (ad esempio, incendi, atti di vandalismo, guasti al sistema e disastri naturali) che danneggiano i sistemi che contengono informazioni sanitarie protette in formato elettronico. | La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot di archiviazione del volume dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| 164.308(a)(7)(i) | (7)(i) Standard: piano di emergenza. È necessario stabilire (e implementare, se necessario) policy e procedure per rispondere a un'emergenza o ad altri eventi (ad esempio, incendi, atti di vandalismo, guasti al sistema e disastri naturali) che danneggiano i sistemi che contengono informazioni sanitarie protette in formato elettronico. | Per facilitare i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| 164.308(a)(7)(i) | (7)(i) Standard: piano di emergenza. È necessario stabilire (e implementare, se necessario) policy e procedure per rispondere a un'emergenza o ad altri eventi (ad esempio, incendi, atti di vandalismo, guasti al sistema e disastri naturali) che danneggiano i sistemi che contengono informazioni sanitarie protette in formato elettronico. | Abilita questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella degli ultimi 35 giorni. | |
| 164.308(a)(7)(i) | (7)(i) Standard: piano di emergenza. È necessario stabilire (e implementare, se necessario) policy e procedure per rispondere a un'emergenza o ad altri eventi (ad esempio, incendi, atti di vandalismo, guasti al sistema e disastri naturali) che danneggiano i sistemi che contengono informazioni sanitarie protette in formato elettronico. | Per facilitare i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| 164.308(a)(7)(i) | (7)(i) Standard: piano di emergenza. È necessario stabilire (e implementare, se necessario) policy e procedure per rispondere a un'emergenza o ad altri eventi (ad esempio, incendi, atti di vandalismo, guasti al sistema e disastri naturali) che danneggiano i sistemi che contengono informazioni sanitarie protette in formato elettronico. | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| 164.308(a)(7)(i) | (7)(i) Standard: piano di emergenza. È necessario stabilire (e implementare, se necessario) policy e procedure per rispondere a un'emergenza o ad altri eventi (ad esempio, incendi, atti di vandalismo, guasti al sistema e disastri naturali) che danneggiano i sistemi che contengono informazioni sanitarie protette in formato elettronico. | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere mantenuto per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
| 164.308(a)(7)(i) | (7)(i) Standard: piano di emergenza. È necessario stabilire (e implementare, se necessario) policy e procedure per rispondere a un'emergenza o ad altri eventi (ad esempio, incendi, atti di vandalismo, guasti al sistema e disastri naturali) che danneggiano i sistemi che contengono informazioni sanitarie protette in formato elettronico. | Per facilitare i processi di backup dei dati, assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| 164.308(a)(7)(i) | (7)(i) Standard: piano di emergenza. È necessario stabilire (e implementare, se necessario) policy e procedure per rispondere a un'emergenza o ad altri eventi (ad esempio, incendi, atti di vandalismo, guasti al sistema e disastri naturali) che danneggiano i sistemi che contengono informazioni sanitarie protette in formato elettronico. | Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Amazon Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per ogni nodo di modifica dei dati o per qualsiasi evento che si verifica per primo. | |
| 164.308(a)(7)(i) | (7)(i) Standard: piano di emergenza. È necessario stabilire (e implementare, se necessario) policy e procedure per rispondere a un'emergenza o ad altri eventi (ad esempio, incendi, atti di vandalismo, guasti al sistema e disastri naturali) che danneggiano i sistemi che contengono informazioni sanitarie protette in formato elettronico. | La replica tra regioni (CRR) di Amazon Simple Storage Service (Amazon S3) supporta il mantenimento di capacità e disponibilità adeguate. La replica tra regioni (CRR) consente la copia asincrona e automatica di oggetti tra bucket Amazon S3 per assicurare il mantenimento della disponibilità dei dati. | |
| 164.308(a)(7)(i) | (7)(i) Standard: piano di emergenza. È necessario stabilire (e implementare, se necessario) policy e procedure per rispondere a un'emergenza o ad altri eventi (ad esempio, incendi, atti di vandalismo, guasti al sistema e disastri naturali) che danneggiano i sistemi che contengono informazioni sanitarie protette in formato elettronico. | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti. | |
| 164.308(a)(7)(i) | (7)(i) Standard: piano di emergenza. È necessario stabilire (e implementare, se necessario) policy e procedure per rispondere a un'emergenza o ad altri eventi (ad esempio, incendi, atti di vandalismo, guasti al sistema e disastri naturali) che danneggiano i sistemi che contengono informazioni sanitarie protette in formato elettronico. | Assicurati che le policy del ciclo di vita Amazon S3 siano configurate per definire le operazioni che deve eseguire Amazon S3 durante il ciclo di vita di un oggetto, ad esempio la transizione di oggetti in un'altra classe di storage, la relativa archiviazione o l'eliminazione dopo un periodo di tempo specificato. | |
| 164.308(a)(7)(ii)(A) | (A) Piano di backup dei dati (richiesto). Stabilisci e implementa procedure per creare e conservare copie esatte recuperabili di informazioni sanitarie elettroniche protette. | La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot di archiviazione del volume dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| 164.308(a)(7)(ii)(A) | (A) Piano di backup dei dati (richiesto). Stabilisci e implementa procedure per creare e conservare copie esatte recuperabili di informazioni sanitarie elettroniche protette. | Per facilitare i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| 164.308(a)(7)(ii)(A) | (A) Piano di backup dei dati (richiesto). Stabilisci e implementa procedure per creare e conservare copie esatte recuperabili di informazioni sanitarie elettroniche protette. | Abilita questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella degli ultimi 35 giorni. | |
| 164.308(a)(7)(ii)(A) | (A) Piano di backup dei dati (richiesto). Stabilisci e implementa procedure per creare e conservare copie esatte recuperabili di informazioni sanitarie elettroniche protette. | Per facilitare i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| 164.308(a)(7)(ii)(A) | (A) Piano di backup dei dati (richiesto). Stabilisci e implementa procedure per creare e conservare copie esatte recuperabili di informazioni sanitarie elettroniche protette. | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| 164.308(a)(7)(ii)(A) | (A) Piano di backup dei dati (richiesto). Stabilisci e implementa procedure per creare e conservare copie esatte recuperabili di informazioni sanitarie elettroniche protette. | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere mantenuto per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
| 164.308(a)(7)(ii)(A) | (A) Piano di backup dei dati (richiesto). Stabilisci e implementa procedure per creare e conservare copie esatte recuperabili di informazioni sanitarie elettroniche protette. | Per facilitare i processi di backup dei dati, assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| 164.308(a)(7)(ii)(A) | (A) Piano di backup dei dati (richiesto). Stabilisci e implementa procedure per creare e conservare copie esatte recuperabili di informazioni sanitarie elettroniche protette. | Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Amazon Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per ogni nodo di modifica dei dati o per qualsiasi evento che si verifica per primo. | |
| 164.308(a)(7)(ii)(A) | (A) Piano di backup dei dati (richiesto). Stabilisci e implementa procedure per creare e conservare copie esatte recuperabili di informazioni sanitarie elettroniche protette. | La replica tra regioni (CRR) di Amazon Simple Storage Service (Amazon S3) supporta il mantenimento di capacità e disponibilità adeguate. La replica tra regioni (CRR) consente la copia asincrona e automatica di oggetti tra bucket Amazon S3 per assicurare il mantenimento della disponibilità dei dati. | |
| 164.308(a)(7)(ii)(A) | (A) Piano di backup dei dati (richiesto). Stabilisci e implementa procedure per creare e conservare copie esatte recuperabili di informazioni sanitarie elettroniche protette. | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti. | |
| 164.308(a)(7)(ii)(A) | (A) Piano di backup dei dati (richiesto). Stabilisci e implementa procedure per creare e conservare copie esatte recuperabili di informazioni sanitarie elettroniche protette. | Assicurati che le policy del ciclo di vita Amazon S3 siano configurate per definire le operazioni che deve eseguire Amazon S3 durante il ciclo di vita di un oggetto, ad esempio la transizione di oggetti in un'altra classe di storage, la relativa archiviazione o l'eliminazione dopo un periodo di tempo specificato. | |
| 164.308(a)(7)(ii)(A) | (A) Piano di backup dei dati (richiesto). Stabilisci e implementa procedure per creare e conservare copie esatte recuperabili di informazioni sanitarie elettroniche protette. | Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno finestre di manutenzione preferite e periodi di conservazione automatica degli snapshot per il database. Questa regola richiede l'impostazione di. allowVersionUpgrade Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sab: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.308(a)(7)(ii)(B) | (B) Piano di ripristino di emergenza (richiesto). Stabilisci (e implementa se necessario) procedure per ripristinare qualsiasi perdita di dati. | La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot di archiviazione del volume dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| 164.308(a)(7)(ii)(B) | (B) Piano di ripristino di emergenza (richiesto). Stabilisci (e implementa se necessario) procedure per ripristinare qualsiasi perdita di dati. | Per facilitare i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| 164.308(a)(7)(ii)(B) | (B) Piano di ripristino di emergenza (richiesto). Stabilisci (e implementa se necessario) procedure per ripristinare qualsiasi perdita di dati. | Abilita questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella degli ultimi 35 giorni. | |
| 164.308(a)(7)(ii)(B) | (B) Piano di ripristino di emergenza (richiesto). Stabilisci (e implementa se necessario) procedure per ripristinare qualsiasi perdita di dati. | Per facilitare i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| 164.308(a)(7)(ii)(B) | (B) Piano di ripristino di emergenza (richiesto). Stabilisci (e implementa se necessario) procedure per ripristinare qualsiasi perdita di dati. | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| 164.308(a)(7)(ii)(B) | (B) Piano di ripristino di emergenza (richiesto). Stabilisci (e implementa se necessario) procedure per ripristinare qualsiasi perdita di dati. | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere mantenuto per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
| 164.308(a)(7)(ii)(B) | (B) Piano di ripristino di emergenza (richiesto). Stabilisci (e implementa se necessario) procedure per ripristinare qualsiasi perdita di dati. | Per facilitare i processi di backup dei dati, assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| 164.308(a)(7)(ii)(B) | (B) Piano di ripristino di emergenza (richiesto). Stabilisci (e implementa se necessario) procedure per ripristinare qualsiasi perdita di dati. | Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Amazon Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per ogni nodo di modifica dei dati o per qualsiasi evento che si verifica per primo. | |
| 164.308(a)(7)(ii)(B) | (B) Piano di ripristino di emergenza (richiesto). Stabilisci (e implementa se necessario) procedure per ripristinare qualsiasi perdita di dati. | La replica tra regioni (CRR) di Amazon Simple Storage Service (Amazon S3) supporta il mantenimento di capacità e disponibilità adeguate. La replica tra regioni (CRR) consente la copia asincrona e automatica di oggetti tra bucket Amazon S3 per assicurare il mantenimento della disponibilità dei dati. | |
| 164.308(a)(7)(ii)(B) | (B) Piano di ripristino di emergenza (richiesto). Stabilisci (e implementa se necessario) procedure per ripristinare qualsiasi perdita di dati. | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti. | |
| 164.308(a)(7)(ii)(B) | (B) Piano di ripristino di emergenza (richiesto). Stabilisci (e implementa se necessario) procedure per ripristinare qualsiasi perdita di dati. | Assicurati che le policy del ciclo di vita Amazon S3 siano configurate per definire le operazioni che deve eseguire Amazon S3 durante il ciclo di vita di un oggetto, ad esempio la transizione di oggetti in un'altra classe di storage, la relativa archiviazione o l'eliminazione dopo un periodo di tempo specificato. | |
| 164.308(a)(7)(ii)(C) | (C) Piano operativo in modalità di emergenza (obbligatorio). Stabilisci (e implementa se necessario) procedure per consentire la continuazione dei processi aziendali critici per la protezione della sicurezza delle informazioni sanitarie protette elettronicamente durante il funzionamento in modalità di emergenza. | La scalabilità automatica di Amazon DynamoDB utilizza il servizio Application AWS Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura e scrittura assegnata per gestire improvvisi aumenti di traffico, senza alcuna limitazione (della larghezza di banda della rete). | |
| 164.308(a)(7)(ii)(C) | (C) Piano operativo in modalità di emergenza (obbligatorio). Stabilisci (e implementa se necessario) procedure per consentire la continuazione dei processi aziendali critici per la protezione della sicurezza delle informazioni sanitarie protette elettronicamente durante il funzionamento in modalità di emergenza. | Abilita il bilanciamento del carico tra zone per gli Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze. | |
| 164.308(a)(7)(ii)(C) | (C) Piano operativo in modalità di emergenza (obbligatorio). Stabilisci (e implementa se necessario) procedure per consentire la continuazione dei processi aziendali critici per la protezione della sicurezza delle informazioni sanitarie protette elettronicamente durante il funzionamento in modalità di emergenza. | Questa regola garantisce che per Elastic Load Balancing sia abilitata la protezione da eliminazione. Utilizza questa funzionalità per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| 164.308(a)(7)(ii)(C) | (C) Piano operativo in modalità di emergenza (obbligatorio). Stabilisci (e implementa se necessario) procedure per consentire la continuazione dei processi aziendali critici per la protezione della sicurezza delle informazioni sanitarie protette elettronicamente durante il funzionamento in modalità di emergenza. | Assicurati che per le istanze di Amazon Relational Database Service (Amazon RDS) sia abilitata la protezione da eliminazione. Utilizza la protezione da eliminazione per evitare che le istanze Amazon RDS vengano eliminate accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| 164.308(a)(7)(ii)(C) | (C) Piano operativo in modalità di emergenza (obbligatorio). Stabilisci (e implementa se necessario) procedure per consentire la continuazione dei processi aziendali critici per la protezione della sicurezza delle informazioni sanitarie protette elettronicamente durante il funzionamento in modalità di emergenza. | Il supporto multi-AZ in Amazon Relational Database Service (Amazon RDS) offre disponibilità e durabilità avanzate per le istanze database. Quando esegui il provisioning di un'istanza database multi-AZ, Amazon RDS crea automaticamente un'istanza database primaria e replica in modo sincrono i dati in un'istanza standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completato. | |
| 164.308(a)(7)(ii)(C) | (C) Piano operativo in modalità di emergenza (obbligatorio). Stabilisci (e implementa se necessario) procedure per consentire la continuazione dei processi aziendali critici per la protezione della sicurezza delle informazioni sanitarie protette elettronicamente durante il funzionamento in modalità di emergenza. | È possibile implementare tunnel VPN sito-sito ridondanti per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso in cui una delle connessioni VPN sito-sito non sia disponibile. Per evitare la perdita di connettività nel caso in cui il gateway del cliente non sia più disponibile, puoi configurare una seconda connessione VPN sito-sito al tuo Amazon Virtual Private Cloud (Amazon VPC) e al gateway privato virtuale utilizzando un secondo dispositivo gateway del cliente. | |
| 164.308(a)(8) | (8) Standard: valutazione. Esegui una valutazione periodica tecnica e non tecnica che sia basata inizialmente sugli standard implementati ai sensi della presente norma e successivamente, in risposta a cambiamenti ambientali o operativi che influiscono sulla sicurezza delle informazioni sanitarie protette elettroniche, che stabilisca in che misura le policy e le procedure di sicurezza di un'entità soddisfino i requisiti della presente sottoparte. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| 164.308(a)(8) | (8) Standard: valutazione. Esegui una valutazione periodica tecnica e non tecnica che sia basata inizialmente sugli standard implementati ai sensi della presente norma e successivamente, in risposta a cambiamenti ambientali o operativi che influiscono sulla sicurezza delle informazioni sanitarie protette elettroniche, che stabilisca in che misura le policy e le procedure di sicurezza di un'entità soddisfino i requisiti della presente sottoparte. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | Assicurati che il metodo del servizio di metadati di istanza versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, puoi implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | Assicurati che le azioni IAM siano limitate alle sole azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'associazione di un profilo dell'istanza alle istanze può facilitare la gestione delle autorizzazioni e del privilegio minimo. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) in un Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del AWS cloud. Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | Se una definizione di attività ha privilegi elevati, significa che il cliente ha scelto specificamente di accedere a tali configurazioni. Questo controllo verifica l'aumento imprevisto dei privilegi quando la rete host prevede una definizione di attività ma il cliente non ha scelto privilegi elevati. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | Assicurati che le credenziali di autenticazione AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY non esistano negli ambienti del progetto Codebuild. AWS Non archiviare queste variabili con testo in chiaro. L'archiviazione di queste variabili con testo in chiaro porta all'esposizione involontaria dei dati e all'accesso non autorizzato. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | Assicurati che l'URL del repository di origine GitHub o Bitbucket non contenga token di accesso personali e credenziali di accesso all'interno degli ambienti del progetto Codebuild. AWS Utilizza OAuth anziché i token di accesso personali o le credenziali di accesso per concedere l'autorizzazione all'accesso ai repository Bitbucket. GitHub | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò può consentire un accesso non intenzionale alle applicazioni o ai server. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | L'abilitazione dell'accesso in sola lettura ai container Amazon Elastic Container Service (ECS) può aiutare a rispettare il principio del privilegio minimo. Questa opzione può ridurre i vettori di attacco poiché il file system dell'istanza di container non può essere modificato a meno che non disponga di autorizzazioni esplicite di lettura/scrittura. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni su account, risorse e processi interni. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in 164.308(a)(4). | Questa regola verifica se le liste di controllo degli accessi (ACL) vengono utilizzate per il controllo degli accessi ai bucket Amazon S3. Gli ACL sono meccanismi di controllo degli accessi legacy per i bucket Amazon S3 AWS precedenti a Identity and Access Management (IAM). Invece delle ACL, è consigliabile utilizzare le policy IAM o le policy dei bucket S3 per gestire più facilmente l'accesso ai bucket S3. | |
| 164.312(a)(1) | (a)(1) Standard: controllo degli accessi. Implementa policy e procedure tecniche per i sistemi informatici elettronici che conservano informazioni sanitarie protette in modo da consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso come specificato in ¤ 164.308(a)(4). | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| 164.312(a)(2)(i) | (2) Specifiche di implementazione: (i) Identificazione utente univoca (richiesta). Assegna un nome e/o un numero univoci per identificare e tracciare l'identità dell'utente. | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| 164.312(a)(2)(ii) | (ii) Procedura di accesso di emergenza (obbligatoria). Stabilisci (e implementa se richiesto) procedure per ottenere le informazioni sanitarie elettroniche protette necessarie durante un'emergenza. | La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot di archiviazione del volume dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| 164.312(a)(2)(ii) | (ii) Procedura di accesso di emergenza (obbligatoria). Stabilisci (e implementa se richiesto) procedure per ottenere le informazioni sanitarie elettroniche protette necessarie durante un'emergenza. | Abilita questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella degli ultimi 35 giorni. | |
| 164.312(a)(2)(ii) | (ii) Procedura di accesso di emergenza (obbligatoria). Stabilisci (e implementa se richiesto) procedure per ottenere le informazioni sanitarie elettroniche protette necessarie durante un'emergenza. | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere mantenuto per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
| 164.312(a)(2)(ii) | (ii) Procedura di accesso di emergenza (obbligatoria). Stabilisci (e implementa se richiesto) procedure per ottenere le informazioni sanitarie elettroniche protette necessarie durante un'emergenza. | La replica tra regioni (CRR) di Amazon Simple Storage Service (Amazon S3) supporta il mantenimento di capacità e disponibilità adeguate. La replica tra regioni (CRR) consente la copia asincrona e automatica di oggetti tra bucket Amazon S3 per assicurare il mantenimento della disponibilità dei dati. | |
| 164.312(a)(2)(ii) | (ii) Procedura di accesso di emergenza (obbligatoria). Stabilisci (e implementa se richiesto) procedure per ottenere le informazioni sanitarie elettroniche protette necessarie durante un'emergenza. | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti. | |
| 164.312(a)(2)(ii) | (ii) Procedura di accesso di emergenza (obbligatoria). Stabilisci (e implementa se richiesto) procedure per ottenere le informazioni sanitarie elettroniche protette necessarie durante un'emergenza. | Per facilitare i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| 164.312(a)(2)(ii) | (ii) Procedura di accesso di emergenza (obbligatoria). Stabilisci (e implementa se richiesto) procedure per ottenere le informazioni sanitarie elettroniche protette necessarie durante un'emergenza. | Per facilitare i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| 164.312(a)(2)(ii) | (ii) Procedura di accesso di emergenza (obbligatoria). Stabilisci (e implementa se richiesto) procedure per ottenere le informazioni sanitarie elettroniche protette necessarie durante un'emergenza. | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| 164.312(a)(2)(ii) | (ii) Procedura di accesso di emergenza (obbligatoria). Stabilisci (e implementa se richiesto) procedure per ottenere le informazioni sanitarie elettroniche protette necessarie durante un'emergenza. | Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Amazon Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per ogni nodo di modifica dei dati o per qualsiasi evento che si verifica per primo. | |
| 164.312(a)(2)(ii) | (ii) Procedura di accesso di emergenza (obbligatoria). Stabilisci (e implementa se richiesto) procedure per ottenere le informazioni sanitarie elettroniche protette necessarie durante un'emergenza. | Per facilitare i processi di backup dei dati, assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| 164.312(a)(2)(ii) | (ii) Procedura di accesso di emergenza (obbligatoria). Stabilisci (e implementa se richiesto) procedure per ottenere le informazioni sanitarie elettroniche protette necessarie durante un'emergenza. | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon Elastic Compute Cloud (Amazon EC2) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| 164.312(a)(2)(ii) | (ii) Procedura di accesso di emergenza (obbligatoria). Stabilisci (e implementa se richiesto) procedure per ottenere le informazioni sanitarie elettroniche protette necessarie durante un'emergenza. | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon Aurora facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| 164.312(a)(2)(ii) | (ii) Procedura di accesso di emergenza (obbligatoria). Stabilisci (e implementa se richiesto) procedure per ottenere le informazioni sanitarie elettroniche protette necessarie durante un'emergenza. | Per facilitare i processi di backup dei dati, assicurati che il piano di AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Questa regola consente di impostare i parametri requiredFrequencyValue (Config default: 1), ( requiredRetentionDays Config default: 35) e ( requiredFrequencyUnit Config default: days). Il valore effettivo deve essere conforme ai requisiti dell'organizzazione. | |
| 164.312(a)(2)(ii) | (ii) Procedura di accesso di emergenza (obbligatoria). Stabilisci (e implementa se richiesto) procedure per ottenere le informazioni sanitarie elettroniche protette necessarie durante un'emergenza. | Assicurati che ai punti AWS di ripristino di Backup sia associata una policy basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. L'utilizzo di una policy basata sulle risorse che impedisca l'eliminazione dei punti di ripristino può aiutare a prevenire l'eliminazione accidentale o intenzionale. | |
| 164.312(a)(2)(ii) | (ii) Procedura di accesso di emergenza (obbligatoria). Stabilisci (e implementa se richiesto) procedure per ottenere le informazioni sanitarie elettroniche protette necessarie durante un'emergenza. | Assicurati che la crittografia sia abilitata per i punti AWS di ripristino del Backup. Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| 164.312(a)(2)(iv) | (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie elettroniche protette. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.312(a)(2)(iv) | (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie elettroniche protette. | Assicurati che le fasi REST API del Gateway Amazon API siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare la provenienza delle richieste dal Gateway API. | |
| 164.312(a)(2)(iv) | (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie elettroniche protette. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CloudTrail percorsi. | |
| 164.312(a)(2)(iv) | (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie elettroniche protette. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| 164.312(a)(2)(iv) | (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie elettroniche protette. | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| 164.312(a)(2)(iv) | (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie elettroniche protette. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch OpenSearch Service (Service). | |
| 164.312(a)(2)(iv) | (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie elettroniche protette. | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.312(a)(2)(iv) | (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie elettroniche protette. | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| 164.312(a)(2)(iv) | (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie elettroniche protette. | Per proteggere i dati in transito, assicurati che gli ascoltatori SSL Classic Elastic Load Balancing utilizzino una policy di sicurezza predefinita. Elastic Load Balancing fornisce configurazioni di negoziazione SSL predefinite, che vengono utilizzate per la negoziazione SSL quando viene stabilita una connessione tra un client e il load balancer. Le configurazioni di negoziazione SSL garantiscono la compatibilità con un'ampia gamma di client e utilizzano algoritmi di crittografia altamente sicuri. Questa regola richiede l'impostazione di una policy di sicurezza predefinita per gli ascoltatori SSL. La politica di sicurezza predefinita è: ELB -TLS-1-2-2017-0. SecurityPolicy Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| 164.312(a)(2)(iv) | (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie elettroniche protette. | Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.312(a)(2)(iv) | (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie elettroniche protette. | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). | |
| 164.312(a)(2)(iv) | (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie elettroniche protette. | Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| 164.312(a)(2)(iv) | (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie elettroniche protette. | Per aiutare a proteggere i dati a riposo, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo nelle istanze Amazon RDS, abilita la crittografia a riposo per proteggere tali dati. | |
| 164.312(a)(2)(iv) | (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie elettroniche protette. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.312(a)(2)(iv) | (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie elettroniche protette. | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.312(a)(2)(iv) | (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie elettroniche protette. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| 164.312(a)(2)(iv) | (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie elettroniche protette. | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.312(a)(2)(iv) | (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie elettroniche protette. | Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati. | |
| 164.312(a)(2)(iv) | (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie elettroniche protette. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia a riposo per proteggere tali dati. | |
| 164.312(a)(2)(iv) | (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie elettroniche protette. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo SageMaker notebook. Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| 164.312(a)(2)(iv) | (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie elettroniche protette. | Per proteggere i dati archiviati, assicurati che gli argomenti di Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia AWS tramite Key Management Service AWS (KMS). Data la possibile presenza di dati sensibili a riposo nei messaggi pubblicati, abilita la crittografia a riposo per proteggere tali dati. | |
| 164.312(a)(2)(iv) | (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie elettroniche protette. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per AWS i segreti di Secrets Manager. Data la possibile presenza di dati sensibili a riposo nei segreti di Secrets Manager, abilita la crittografia a riposo per proteggere tali dati. | |
| 164.312(a)(2)(iv) | (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie elettroniche protette. | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| 164.312(a)(2)(iv) | (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie elettroniche protette. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service. | |
| 164.312(a)(2)(iv) | (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie elettroniche protette. | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon OpenSearch Service. | |
| 164.312(a)(2)(iv) | (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie elettroniche protette. | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.312(a)(2)(iv) | (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie elettroniche protette. | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i flussi di Amazon Kinesis. | |
| 164.312(b) | (b) Standard: controlli di audit. Implementa hardware, software e/o meccanismi procedurali che registrino ed esaminino l'attività nei sistemi informatici che contengono o utilizzano informazioni sanitarie elettroniche protette. | La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti. | |
| 164.312(b) | (b) Standard: controlli di audit. Implementa hardware, software e/o meccanismi procedurali che registrino ed esaminino l'attività nei sistemi informatici che contengono o utilizzano informazioni sanitarie elettroniche protette. | I controlli dell'integrità Elastic Load Balancer (ELB) per i gruppi con dimensionamento automatico Amazon Elastic Compute Cloud (Amazon EC2) supportano il mantenimento di capacità e disponibilità adeguate. Periodicamente, il sistema di bilanciamento del carico invia ping, effettua tentativi di connessione o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo con dimensionamento automatico. Se un'istanza non risponde, il traffico viene inviato a una nuova istanza Amazon EC2. | |
| 164.312(b) | (b) Standard: controlli di audit. Implementa hardware, software e/o meccanismi procedurali che registrino ed esaminino l'attività nei sistemi informatici che contengono o utilizzano informazioni sanitarie elettroniche protette. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| 164.312(b) | (b) Standard: controlli di audit. Implementa hardware, software e/o meccanismi procedurali che registrino ed esaminino l'attività nei sistemi informatici che contengono o utilizzano informazioni sanitarie elettroniche protette. | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| 164.312(b) | (b) Standard: controlli di audit. Implementa hardware, software e/o meccanismi procedurali che registrino ed esaminino l'attività nei sistemi informatici che contengono o utilizzano informazioni sanitarie elettroniche protette. | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono Account AWS le informazioni relative all'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| 164.312(b) | (b) Standard: controlli di audit. Implementa hardware, software e/o meccanismi procedurali che registrino ed esaminino l'attività nei sistemi informatici che contengono o utilizzano informazioni sanitarie elettroniche protette. | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| 164.312(b) | (b) Standard: controlli di audit. Implementa hardware, software e/o meccanismi procedurali che registrino ed esaminino l'attività nei sistemi informatici che contengono o utilizzano informazioni sanitarie elettroniche protette. | Abilita questa regola per assicurarti che la capacità effettiva di trasmissione assegnata sia verificata nelle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura e scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando la velocità di trasmissione effettiva si avvicina al limite massimo per l'account di un cliente. Questa regola consente di impostare facoltativamente i parametri AccountRCU ThresholdPercentage (Config Default: 80) e AccountWCU ThresholdPercentage (Config Default: 80). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.312(b) | (b) Standard: controlli di audit. Implementa hardware, software e/o meccanismi procedurali che registrino ed esaminino l'attività nei sistemi informatici che contengono o utilizzano informazioni sanitarie elettroniche protette. | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| 164.312(b) | (b) Standard: controlli di audit. Implementa hardware, software e/o meccanismi procedurali che registrino ed esaminino l'attività nei sistemi informatici che contengono o utilizzano informazioni sanitarie elettroniche protette. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| 164.312(b) | (b) Standard: controlli di audit. Implementa hardware, software e/o meccanismi procedurali che registrino ed esaminino l'attività nei sistemi informatici che contengono o utilizzano informazioni sanitarie elettroniche protette. | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| 164.312(b) | (b) Standard: controlli di audit. Implementa hardware, software e/o meccanismi procedurali che registrino ed esaminino l'attività nei sistemi informatici che contengono o utilizzano informazioni sanitarie elettroniche protette. | Abilita Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità di Amazon RDS. Ciò fornisce una visibilità dettagliata sullo stato delle istanze database Amazon RDS. Quando l'archiviazione di Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ogni dispositivo. Inoltre, quando l'istanza database Amazon RDS è in esecuzione in una implementazione multi-AZ, vengono raccolti i dati per ogni dispositivo sull'host secondario e le metriche dell'host secondario. | |
| 164.312(b) | (b) Standard: controlli di audit. Implementa hardware, software e/o meccanismi procedurali che registrino ed esaminino l'attività nei sistemi informatici che contengono o utilizzano informazioni sanitarie elettroniche protette. | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| 164.312(b) | (b) Standard: controlli di audit. Implementa hardware, software e/o meccanismi procedurali che registrino ed esaminino l'attività nei sistemi informatici che contengono o utilizzano informazioni sanitarie elettroniche protette. | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| 164.312(b) | (b) Standard: controlli di audit. Implementa hardware, software e/o meccanismi procedurali che registrino ed esaminino l'attività nei sistemi informatici che contengono o utilizzano informazioni sanitarie elettroniche protette. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| 164.312(b) | (b) Standard: controlli di audit. Implementa hardware, software e/o meccanismi procedurali che registrino ed esaminino l'attività nei sistemi informatici che contengono o utilizzano informazioni sanitarie elettroniche protette. | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| 164.312(b) | (b) Standard: controlli di audit. Implementa hardware, software e/o meccanismi procedurali che registrino ed esaminino l'attività nei sistemi informatici che contengono o utilizzano informazioni sanitarie elettroniche protette. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) su ACL Web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| 164.312(b) | (b) Standard: controlli di audit. Implementa hardware, software e/o meccanismi procedurali che registrino ed esaminino l'attività nei sistemi informatici che contengono o utilizzano informazioni sanitarie elettroniche protette. | Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e per diagnosticare i problemi di disponibilità. | |
| 164.312(b) | (b) Standard: controlli di audit. Implementa hardware, software e/o meccanismi procedurali che registrino ed esaminino l'attività nei sistemi informatici che contengono o utilizzano informazioni sanitarie elettroniche protette. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.312(b) | (b) Standard: controlli di audit. Implementa hardware, software e/o meccanismi procedurali che registrino ed esaminino l'attività nei sistemi informatici che contengono o utilizzano informazioni sanitarie elettroniche protette. | Le notifiche degli eventi di Amazon S3 possono notificare al personale competente eventuali modifiche accidentali o intenzionali agli oggetti del bucket. Gli avvisi includono: creazione di un nuovo oggetto, rimozione di oggetti, ripristino di oggetti, oggetti persi e replicati. | |
| 164.312(b) | (b) Standard: controlli di audit. Implementa hardware, software e/o meccanismi procedurali che registrino ed esaminino l'attività nei sistemi informatici che contengono o utilizzano informazioni sanitarie elettroniche protette. | Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| 164.312(c)(1) | (c)(1) Standard: integrità. Implementa policy e procedure per salvaguardare le informazioni sanitarie elettroniche protette da alterazioni o distruzioni improprie. | Assicurati che il blocco sia abilitato, per impostazione predefinita, per il bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket S3, applica i blocchi degli oggetti a riposo per proteggere tali dati. | |
| 164.312(c)(1) | (c)(1) Standard: integrità. Implementa policy e procedure per salvaguardare le informazioni sanitarie elettroniche protette da alterazioni o distruzioni improprie. | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti. | |
| 164.312(c)(1) | (c)(1) Standard: integrità. Implementa policy e procedure per salvaguardare le informazioni sanitarie elettroniche protette da alterazioni o distruzioni improprie. | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei registri. CloudTrail La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| 164.312(c)(1) | (c)(1) Standard: integrità. Implementa policy e procedure per salvaguardare le informazioni sanitarie elettroniche protette da alterazioni o distruzioni improprie. | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon OpenSearch Service. | |
| 164.312(c)(1) | (c)(1) Standard: integrità. Implementa policy e procedure per salvaguardare le informazioni sanitarie elettroniche protette da alterazioni o distruzioni improprie. | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.312(c)(2) | (2) Specifiche di implementazione: meccanismo di autenticazione delle informazioni sanitarie protette elettroniche (indirizzabile). Implementa meccanismi elettronici per confermare che le informazioni sanitarie protette elettroniche non siano state alterate o distrutte in modo non autorizzato. | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei log. CloudTrail La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| 164.312(c)(2) | (2) Specifiche di implementazione: meccanismo di autenticazione delle informazioni sanitarie protette elettroniche (indirizzabile). Implementa meccanismi elettronici per confermare che le informazioni sanitarie protette elettroniche non siano state alterate o distrutte in modo non autorizzato. | Assicurati che il blocco sia abilitato, per impostazione predefinita, per il bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket S3, applica i blocchi degli oggetti a riposo per proteggere tali dati. | |
| 164.312(c)(2) | (2) Specifiche di implementazione: meccanismo di autenticazione delle informazioni sanitarie protette elettroniche (indirizzabile). Implementa meccanismi elettronici per confermare che le informazioni sanitarie protette elettroniche non siano state alterate o distrutte in modo non autorizzato. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| 164.312(c)(2) | (2) Specifiche di implementazione: meccanismo di autenticazione delle informazioni sanitarie protette elettroniche (indirizzabile). Implementa meccanismi elettronici per confermare che le informazioni sanitarie protette elettroniche non siano state alterate o distrutte in modo non autorizzato. | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.312(c)(2) | (2) Specifiche di implementazione: meccanismo di autenticazione delle informazioni sanitarie protette elettroniche (indirizzabile). Implementa meccanismi elettronici per confermare che le informazioni sanitarie protette elettroniche non siano state alterate o distrutte in modo non autorizzato. | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti. | |
| 164.312(d) | (d) Standard: autenticazione di persone o entità. Implementa procedure per verificare che la persona o l'entità che desidera accedere a informazioni sanitarie elettroniche protette sia quella dichiarata. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti dichiarati dal NIST SP 800-63 e dallo standard Foundational Security Best Practices per la AWS sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.312(d) | (d) Standard: autenticazione di persone o entità. Implementa procedure per verificare che la persona o l'entità che desidera accedere a informazioni sanitarie elettroniche protette sia quella dichiarata. | Abilita questa regola per limitare l'accesso alle risorse nel AWS cloud. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Riduci gli incidenti dovuti alla compromissione degli account richiedendo l'autenticazione a più fattori per gli utenti. | |
| 164.312(d) | (d) Standard: autenticazione di persone o entità. Implementa procedure per verificare che la persona o l'entità che desidera accedere a informazioni sanitarie elettroniche protette sia quella dichiarata. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| 164.312(d) | (d) Standard: autenticazione di persone o entità. Implementa procedure per verificare che la persona o l'entità che desidera accedere a informazioni sanitarie elettroniche protette sia quella dichiarata. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che la MFA hardware sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| 164.312(d) | (d) Standard: autenticazione di persone o entità. Implementa procedure per verificare che la persona o l'entità che desidera accedere a informazioni sanitarie elettroniche protette sia quella dichiarata. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | Assicurati che le fasi REST API del Gateway Amazon API siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare la provenienza delle richieste dal Gateway API. | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | Per proteggere i dati in transito, assicurati che gli ascoltatori SSL Classic Elastic Load Balancing utilizzino una policy di sicurezza predefinita. Elastic Load Balancing fornisce configurazioni di negoziazione SSL predefinite, che vengono utilizzate per la negoziazione SSL quando viene stabilita una connessione tra un client e il load balancer. Le configurazioni di negoziazione SSL garantiscono la compatibilità con un'ampia gamma di client e utilizzano algoritmi di crittografia altamente sicuri. Questa regola richiede l'impostazione di una policy di sicurezza predefinita per gli ascoltatori SSL. La politica di sicurezza predefinita è: ELB -TLS-1-2-2017-0. SecurityPolicy Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) in un Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del AWS cloud. Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | Assicurati che le tabelle di routing di Amazon EC2 non abbiano percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno degli Amazon VPC può ridurre gli accessi non intenzionali all'interno del tuo ambiente. | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni su account, risorse e processi interni. | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | AWS WAF consente di configurare un insieme di regole (chiamate elenco di controllo degli accessi Web (Web ACL)) che consentono, bloccano o contano le richieste Web in base a regole e condizioni di sicurezza Web personalizzabili definite dall'utente. La fase Gateway Amazon API deve essere associata a un ACL web WAF per garantire la protezione da attacchi dannosi. | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni. | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò può consentire un accesso non intenzionale alle applicazioni o ai server. | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon OpenSearch Service. | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| 164.312(e)(1) | (e)(1) Standard: sicurezza della trasmissione. Implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato alle informazioni sanitarie elettroniche protette che vengono trasmesse su una rete di comunicazione elettronica. | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.312(e)(2)(i) | (i) Controlli di integrità (indirizzabili). Implementa misure di sicurezza per garantire che le informazioni sanitarie elettroniche protette trasmesse elettronicamente non vengano modificate in modo improprio senza essere rilevate fino allo smaltimento. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.312(e)(2)(i) | (i) Controlli di integrità (indirizzabili). Implementa misure di sicurezza per garantire che le informazioni sanitarie elettroniche protette trasmesse elettronicamente non vengano modificate in modo improprio senza essere rilevate fino allo smaltimento. | Assicurati che le fasi REST API del Gateway Amazon API siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare la provenienza delle richieste dal Gateway API. | |
| 164.312(e)(2)(i) | (i) Controlli di integrità (indirizzabili). Implementa misure di sicurezza per garantire che le informazioni sanitarie elettroniche protette trasmesse elettronicamente non vengano modificate in modo improprio senza essere rilevate fino allo smaltimento. | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.312(e)(2)(i) | (i) Controlli di integrità (indirizzabili). Implementa misure di sicurezza per garantire che le informazioni sanitarie elettroniche protette trasmesse elettronicamente non vengano modificate in modo improprio senza essere rilevate fino allo smaltimento. | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| 164.312(e)(2)(i) | (i) Controlli di integrità (indirizzabili). Implementa misure di sicurezza per garantire che le informazioni sanitarie elettroniche protette trasmesse elettronicamente non vengano modificate in modo improprio senza essere rilevate fino allo smaltimento. | Per proteggere i dati in transito, assicurati che gli ascoltatori SSL Classic Elastic Load Balancing utilizzino una policy di sicurezza predefinita. Elastic Load Balancing fornisce configurazioni di negoziazione SSL predefinite, che vengono utilizzate per la negoziazione SSL quando viene stabilita una connessione tra un client e il load balancer. Le configurazioni di negoziazione SSL garantiscono la compatibilità con un'ampia gamma di client e utilizzano algoritmi di crittografia altamente sicuri. Questa regola richiede l'impostazione di una policy di sicurezza predefinita per gli ascoltatori SSL. La politica di sicurezza predefinita è: ELB -TLS-1-2-2017-0. SecurityPolicy Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| 164.312(e)(2)(i) | (i) Controlli di integrità (indirizzabili). Implementa misure di sicurezza per garantire che le informazioni sanitarie elettroniche protette trasmesse elettronicamente non vengano modificate in modo improprio senza essere rilevate fino allo smaltimento. | Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.312(e)(2)(i) | (i) Controlli di integrità (indirizzabili). Implementa misure di sicurezza per garantire che le informazioni sanitarie elettroniche protette trasmesse elettronicamente non vengano modificate in modo improprio senza essere rilevate fino allo smaltimento. | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.312(e)(2)(i) | (i) Controlli di integrità (indirizzabili). Implementa misure di sicurezza per garantire che le informazioni sanitarie elettroniche protette trasmesse elettronicamente non vengano modificate in modo improprio senza essere rilevate fino allo smaltimento. | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.312(e)(2)(i) | (i) Controlli di integrità (indirizzabili). Implementa misure di sicurezza per garantire che le informazioni sanitarie elettroniche protette trasmesse elettronicamente non vengano modificate in modo improprio senza essere rilevate fino allo smaltimento. | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon OpenSearch Service. | |
| 164.312(e)(2)(i) | (i) Controlli di integrità (indirizzabili). Implementa misure di sicurezza per garantire che le informazioni sanitarie elettroniche protette trasmesse elettronicamente non vengano modificate in modo improprio senza essere rilevate fino allo smaltimento. | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.312(e)(2)(ii) | (ii) Crittografia (indirizzabile). Implementa un meccanismo di crittografia delle informazioni sanitarie elettroniche protette ogni qualvolta lo si ritenga opportuno. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.312(e)(2)(ii) | (ii) Crittografia (indirizzabile). Implementa un meccanismo di crittografia delle informazioni sanitarie elettroniche protette ogni qualvolta lo si ritenga opportuno. | Assicurati che le fasi REST API del Gateway Amazon API siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare la provenienza delle richieste dal Gateway API. | |
| 164.312(e)(2)(ii) | (ii) Crittografia (indirizzabile). Implementa un meccanismo di crittografia delle informazioni sanitarie elettroniche protette ogni qualvolta lo si ritenga opportuno. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CloudTrail percorsi. | |
| 164.312(e)(2)(ii) | (ii) Crittografia (indirizzabile). Implementa un meccanismo di crittografia delle informazioni sanitarie elettroniche protette ogni qualvolta lo si ritenga opportuno. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| 164.312(e)(2)(ii) | (ii) Crittografia (indirizzabile). Implementa un meccanismo di crittografia delle informazioni sanitarie elettroniche protette ogni qualvolta lo si ritenga opportuno. | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| 164.312(e)(2)(ii) | (ii) Crittografia (indirizzabile). Implementa un meccanismo di crittografia delle informazioni sanitarie elettroniche protette ogni qualvolta lo si ritenga opportuno. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch OpenSearch Service (Service). | |
| 164.312(e)(2)(ii) | (ii) Crittografia (indirizzabile). Implementa un meccanismo di crittografia delle informazioni sanitarie elettroniche protette ogni qualvolta lo si ritenga opportuno. | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.312(e)(2)(ii) | (ii) Crittografia (indirizzabile). Implementa un meccanismo di crittografia delle informazioni sanitarie elettroniche protette ogni qualvolta lo si ritenga opportuno. | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| 164.312(e)(2)(ii) | (ii) Crittografia (indirizzabile). Implementa un meccanismo di crittografia delle informazioni sanitarie elettroniche protette ogni qualvolta lo si ritenga opportuno. | Per proteggere i dati in transito, assicurati che gli ascoltatori SSL Classic Elastic Load Balancing utilizzino una policy di sicurezza predefinita. Elastic Load Balancing fornisce configurazioni di negoziazione SSL predefinite, che vengono utilizzate per la negoziazione SSL quando viene stabilita una connessione tra un client e il load balancer. Le configurazioni di negoziazione SSL garantiscono la compatibilità con un'ampia gamma di client e utilizzano algoritmi di crittografia altamente sicuri. Questa regola richiede l'impostazione di una policy di sicurezza predefinita per gli ascoltatori SSL. La politica di sicurezza predefinita è: ELB -TLS-1-2-2017-0. SecurityPolicy Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| 164.312(e)(2)(ii) | (ii) Crittografia (indirizzabile). Implementa un meccanismo di crittografia delle informazioni sanitarie elettroniche protette ogni qualvolta lo si ritenga opportuno. | Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.312(e)(2)(ii) | (ii) Crittografia (indirizzabile). Implementa un meccanismo di crittografia delle informazioni sanitarie elettroniche protette ogni qualvolta lo si ritenga opportuno. | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). | |
| 164.312(e)(2)(ii) | (ii) Crittografia (indirizzabile). Implementa un meccanismo di crittografia delle informazioni sanitarie elettroniche protette ogni qualvolta lo si ritenga opportuno. | Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| 164.312(e)(2)(ii) | (ii) Crittografia (indirizzabile). Implementa un meccanismo di crittografia delle informazioni sanitarie elettroniche protette ogni qualvolta lo si ritenga opportuno. | Per aiutare a proteggere i dati a riposo, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo nelle istanze Amazon RDS, abilita la crittografia a riposo per proteggere tali dati. | |
| 164.312(e)(2)(ii) | (ii) Crittografia (indirizzabile). Implementa un meccanismo di crittografia delle informazioni sanitarie elettroniche protette ogni qualvolta lo si ritenga opportuno. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.312(e)(2)(ii) | (ii) Crittografia (indirizzabile). Implementa un meccanismo di crittografia delle informazioni sanitarie elettroniche protette ogni qualvolta lo si ritenga opportuno. | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.312(e)(2)(ii) | (ii) Crittografia (indirizzabile). Implementa un meccanismo di crittografia delle informazioni sanitarie elettroniche protette ogni qualvolta lo si ritenga opportuno. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| 164.312(e)(2)(ii) | (ii) Crittografia (indirizzabile). Implementa un meccanismo di crittografia delle informazioni sanitarie elettroniche protette ogni qualvolta lo si ritenga opportuno. | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.312(e)(2)(ii) | (ii) Crittografia (indirizzabile). Implementa un meccanismo di crittografia delle informazioni sanitarie elettroniche protette ogni qualvolta lo si ritenga opportuno. | Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati. | |
| 164.312(e)(2)(ii) | (ii) Crittografia (indirizzabile). Implementa un meccanismo di crittografia delle informazioni sanitarie elettroniche protette ogni qualvolta lo si ritenga opportuno. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia a riposo per proteggere tali dati. | |
| 164.312(e)(2)(ii) | (ii) Crittografia (indirizzabile). Implementa un meccanismo di crittografia delle informazioni sanitarie elettroniche protette ogni qualvolta lo si ritenga opportuno. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo SageMaker notebook. Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| 164.312(e)(2)(ii) | (ii) Crittografia (indirizzabile). Implementa un meccanismo di crittografia delle informazioni sanitarie elettroniche protette ogni qualvolta lo si ritenga opportuno. | Per proteggere i dati archiviati, assicurati che gli argomenti di Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia AWS tramite Key Management Service AWS (KMS). Data la possibile presenza di dati sensibili a riposo nei messaggi pubblicati, abilita la crittografia a riposo per proteggere tali dati. | |
| 164.312(e)(2)(ii) | (ii) Crittografia (indirizzabile). Implementa un meccanismo di crittografia delle informazioni sanitarie elettroniche protette ogni qualvolta lo si ritenga opportuno. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per AWS i segreti di Secrets Manager. Data la possibile presenza di dati sensibili a riposo nei segreti di Secrets Manager, abilita la crittografia a riposo per proteggere tali dati. | |
| 164.312(e)(2)(ii) | (ii) Crittografia (indirizzabile). Implementa un meccanismo di crittografia delle informazioni sanitarie elettroniche protette ogni qualvolta lo si ritenga opportuno. | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| 164.312(e)(2)(ii) | (ii) Crittografia (indirizzabile). Implementa un meccanismo di crittografia delle informazioni sanitarie elettroniche protette ogni qualvolta lo si ritenga opportuno. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service. | |
| 164.312(e)(2)(ii) | (ii) Crittografia (indirizzabile). Implementa un meccanismo di crittografia delle informazioni sanitarie elettroniche protette ogni qualvolta lo si ritenga opportuno. | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon OpenSearch Service. | |
| 164.312(e)(2)(ii) | (ii) Crittografia (indirizzabile). Implementa un meccanismo di crittografia delle informazioni sanitarie elettroniche protette ogni qualvolta lo si ritenga opportuno. | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.312(e)(2)(ii) | (ii) Crittografia (indirizzabile). Implementa un meccanismo di crittografia delle informazioni sanitarie elettroniche protette ogni qualvolta lo si ritenga opportuno. | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i flussi di Amazon Kinesis. | |
| 164.314(b)(1) | (b)(1) Standard: requisiti per i piani sanitari di gruppo. Ad eccezione dei casi in cui le uniche informazioni sanitarie protette elettroniche comunicate allo sponsor del piano sono comunicate ai sensi di 164.504(f)(1)(ii) o (iii), o come autorizzato ai sensi della norma¤164.508, un piano sanitario di gruppo deve garantire che i documenti del piano prevedano che lo sponsor del piano salvaguardi in modo ragionevole e appropriato le informazioni sanitarie protette elettroniche create, ricevute, mantenute o trasmesse allo sponsor del piano o da quest'ultimo per conto del piano sanitario di gruppo. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CloudTrail percorsi. | |
| 164.314(b)(1) | (b)(1) Standard: requisiti per i piani sanitari di gruppo. Ad eccezione dei casi in cui le uniche informazioni sanitarie protette elettroniche comunicate allo sponsor del piano sono comunicate ai sensi di 164.504(f)(1)(ii) o (iii), o come autorizzato ai sensi della norma¤164.508, un piano sanitario di gruppo deve garantire che i documenti del piano prevedano che lo sponsor del piano salvaguardi in modo ragionevole e appropriato le informazioni sanitarie protette elettroniche create, ricevute, mantenute o trasmesse allo sponsor del piano o da quest'ultimo per conto del piano sanitario di gruppo. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| 164.314(b)(1) | (b)(1) Standard: requisiti per i piani sanitari di gruppo. Ad eccezione dei casi in cui le uniche informazioni sanitarie protette elettroniche comunicate allo sponsor del piano sono comunicate ai sensi di 164.504(f)(1)(ii) o (iii), o come autorizzato ai sensi della norma¤164.508, un piano sanitario di gruppo deve garantire che i documenti del piano prevedano che lo sponsor del piano salvaguardi in modo ragionevole e appropriato le informazioni sanitarie protette elettroniche create, ricevute, mantenute o trasmesse allo sponsor del piano o da quest'ultimo per conto del piano sanitario di gruppo. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch OpenSearch Service (Service). | |
| 164.314(b)(1) | (b)(1) Standard: requisiti per i piani sanitari di gruppo. Ad eccezione dei casi in cui le uniche informazioni sanitarie protette elettroniche comunicate allo sponsor del piano sono comunicate ai sensi di 164.504(f)(1)(ii) o (iii), o come autorizzato ai sensi della norma¤164.508, un piano sanitario di gruppo deve garantire che i documenti del piano prevedano che lo sponsor del piano salvaguardi in modo ragionevole e appropriato le informazioni sanitarie protette elettroniche create, ricevute, mantenute o trasmesse allo sponsor del piano o da quest'ultimo per conto del piano sanitario di gruppo. | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.314(b)(1) | (b)(1) Standard: requisiti per i piani sanitari di gruppo. Ad eccezione dei casi in cui le uniche informazioni sanitarie protette elettroniche comunicate allo sponsor del piano sono comunicate ai sensi di 164.504(f)(1)(ii) o (iii), o come autorizzato ai sensi della norma¤164.508, un piano sanitario di gruppo deve garantire che i documenti del piano prevedano che lo sponsor del piano salvaguardi in modo ragionevole e appropriato le informazioni sanitarie protette elettroniche create, ricevute, mantenute o trasmesse allo sponsor del piano o da quest'ultimo per conto del piano sanitario di gruppo. | Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.314(b)(1) | (b)(1) Standard: requisiti per i piani sanitari di gruppo. Ad eccezione dei casi in cui le uniche informazioni sanitarie protette elettroniche comunicate allo sponsor del piano sono comunicate ai sensi di 164.504(f)(1)(ii) o (iii), o come autorizzato ai sensi della norma¤164.508, un piano sanitario di gruppo deve garantire che i documenti del piano prevedano che lo sponsor del piano salvaguardi in modo ragionevole e appropriato le informazioni sanitarie protette elettroniche create, ricevute, mantenute o trasmesse allo sponsor del piano o da quest'ultimo per conto del piano sanitario di gruppo. | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). | |
| 164.314(b)(1) | (b)(1) Standard: requisiti per i piani sanitari di gruppo. Ad eccezione dei casi in cui le uniche informazioni sanitarie protette elettroniche comunicate allo sponsor del piano sono comunicate ai sensi di 164.504(f)(1)(ii) o (iii), o come autorizzato ai sensi della norma¤164.508, un piano sanitario di gruppo deve garantire che i documenti del piano prevedano che lo sponsor del piano salvaguardi in modo ragionevole e appropriato le informazioni sanitarie protette elettroniche create, ricevute, mantenute o trasmesse allo sponsor del piano o da quest'ultimo per conto del piano sanitario di gruppo. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service. | |
| 164.314(b)(1) | (b)(1) Standard: requisiti per i piani sanitari di gruppo. Ad eccezione dei casi in cui le uniche informazioni sanitarie protette elettroniche comunicate allo sponsor del piano sono comunicate ai sensi di 164.504(f)(1)(ii) o (iii), o come autorizzato ai sensi della norma¤164.508, un piano sanitario di gruppo deve garantire che i documenti del piano prevedano che lo sponsor del piano salvaguardi in modo ragionevole e appropriato le informazioni sanitarie protette elettroniche create, ricevute, mantenute o trasmesse allo sponsor del piano o da quest'ultimo per conto del piano sanitario di gruppo. | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon OpenSearch Service. | |
| 164.314(b)(1) | (b)(1) Standard: requisiti per i piani sanitari di gruppo. Ad eccezione dei casi in cui le uniche informazioni sanitarie protette elettroniche comunicate allo sponsor del piano sono comunicate ai sensi di 164.504(f)(1)(ii) o (iii), o come autorizzato ai sensi della norma¤164.508, un piano sanitario di gruppo deve garantire che i documenti del piano prevedano che lo sponsor del piano salvaguardi in modo ragionevole e appropriato le informazioni sanitarie protette elettroniche create, ricevute, mantenute o trasmesse allo sponsor del piano o da quest'ultimo per conto del piano sanitario di gruppo. | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.314(b)(1) | (b)(1) Standard: requisiti per i piani sanitari di gruppo. Ad eccezione dei casi in cui le uniche informazioni sanitarie protette elettroniche comunicate allo sponsor del piano sono comunicate ai sensi di 164.504(f)(1)(ii) o (iii), o come autorizzato ai sensi della norma¤164.508, un piano sanitario di gruppo deve garantire che i documenti del piano prevedano che lo sponsor del piano salvaguardi in modo ragionevole e appropriato le informazioni sanitarie protette elettroniche create, ricevute, mantenute o trasmesse allo sponsor del piano o da quest'ultimo per conto del piano sanitario di gruppo. | Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| 164.314(b)(1) | (b)(1) Standard: requisiti per i piani sanitari di gruppo. Ad eccezione dei casi in cui le uniche informazioni sanitarie protette elettroniche comunicate allo sponsor del piano sono comunicate ai sensi di 164.504(f)(1)(ii) o (iii), o come autorizzato ai sensi della norma¤164.508, un piano sanitario di gruppo deve garantire che i documenti del piano prevedano che lo sponsor del piano salvaguardi in modo ragionevole e appropriato le informazioni sanitarie protette elettroniche create, ricevute, mantenute o trasmesse allo sponsor del piano o da quest'ultimo per conto del piano sanitario di gruppo. | Per aiutare a proteggere i dati a riposo, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo nelle istanze Amazon RDS, abilita la crittografia a riposo per proteggere tali dati. | |
| 164.314(b)(1) | (b)(1) Standard: requisiti per i piani sanitari di gruppo. Ad eccezione dei casi in cui le uniche informazioni sanitarie protette elettroniche comunicate allo sponsor del piano sono comunicate ai sensi di 164.504(f)(1)(ii) o (iii), o come autorizzato ai sensi della norma¤164.508, un piano sanitario di gruppo deve garantire che i documenti del piano prevedano che lo sponsor del piano salvaguardi in modo ragionevole e appropriato le informazioni sanitarie protette elettroniche create, ricevute, mantenute o trasmesse allo sponsor del piano o da quest'ultimo per conto del piano sanitario di gruppo. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.314(b)(1) | (b)(1) Standard: requisiti per i piani sanitari di gruppo. Ad eccezione dei casi in cui le uniche informazioni sanitarie protette elettroniche comunicate allo sponsor del piano sono comunicate ai sensi di 164.504(f)(1)(ii) o (iii), o come autorizzato ai sensi della norma¤164.508, un piano sanitario di gruppo deve garantire che i documenti del piano prevedano che lo sponsor del piano salvaguardi in modo ragionevole e appropriato le informazioni sanitarie protette elettroniche create, ricevute, mantenute o trasmesse allo sponsor del piano o da quest'ultimo per conto del piano sanitario di gruppo. | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.314(b)(1) | (b)(1) Standard: requisiti per i piani sanitari di gruppo. Ad eccezione dei casi in cui le uniche informazioni sanitarie protette elettroniche comunicate allo sponsor del piano sono comunicate ai sensi di 164.504(f)(1)(ii) o (iii), o come autorizzato ai sensi della norma¤164.508, un piano sanitario di gruppo deve garantire che i documenti del piano prevedano che lo sponsor del piano salvaguardi in modo ragionevole e appropriato le informazioni sanitarie protette elettroniche create, ricevute, mantenute o trasmesse allo sponsor del piano o da quest'ultimo per conto del piano sanitario di gruppo. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 164.314(b)(1) | (b)(1) Standard: requisiti per i piani sanitari di gruppo. Ad eccezione dei casi in cui le uniche informazioni sanitarie protette elettroniche comunicate allo sponsor del piano sono comunicate ai sensi di 164.504(f)(1)(ii) o (iii), o come autorizzato ai sensi della norma¤164.508, un piano sanitario di gruppo deve garantire che i documenti del piano prevedano che lo sponsor del piano salvaguardi in modo ragionevole e appropriato le informazioni sanitarie protette elettroniche create, ricevute, mantenute o trasmesse allo sponsor del piano o da quest'ultimo per conto del piano sanitario di gruppo. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 164.314(b)(1) | (b)(1) Standard: requisiti per i piani sanitari di gruppo. Ad eccezione dei casi in cui le uniche informazioni sanitarie protette elettroniche comunicate allo sponsor del piano sono comunicate ai sensi di 164.504(f)(1)(ii) o (iii), o come autorizzato ai sensi della norma¤164.508, un piano sanitario di gruppo deve garantire che i documenti del piano prevedano che lo sponsor del piano salvaguardi in modo ragionevole e appropriato le informazioni sanitarie protette elettroniche create, ricevute, mantenute o trasmesse allo sponsor del piano o da quest'ultimo per conto del piano sanitario di gruppo. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| 164.314(b)(1) | (b)(1) Standard: requisiti per i piani sanitari di gruppo. Ad eccezione dei casi in cui le uniche informazioni sanitarie protette elettroniche comunicate allo sponsor del piano sono comunicate ai sensi di 164.504(f)(1)(ii) o (iii), o come autorizzato ai sensi della norma¤164.508, un piano sanitario di gruppo deve garantire che i documenti del piano prevedano che lo sponsor del piano salvaguardi in modo ragionevole e appropriato le informazioni sanitarie protette elettroniche create, ricevute, mantenute o trasmesse allo sponsor del piano o da quest'ultimo per conto del piano sanitario di gruppo. | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.314(b)(1) | (b)(1) Standard: requisiti per i piani sanitari di gruppo. Ad eccezione dei casi in cui le uniche informazioni sanitarie protette elettroniche comunicate allo sponsor del piano sono comunicate ai sensi di 164.504(f)(1)(ii) o (iii), o come autorizzato ai sensi della norma¤164.508, un piano sanitario di gruppo deve garantire che i documenti del piano prevedano che lo sponsor del piano salvaguardi in modo ragionevole e appropriato le informazioni sanitarie protette elettroniche create, ricevute, mantenute o trasmesse allo sponsor del piano o da quest'ultimo per conto del piano sanitario di gruppo. | Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati. | |
| 164.314(b)(1) | (b)(1) Standard: requisiti per i piani sanitari di gruppo. Ad eccezione dei casi in cui le uniche informazioni sanitarie protette elettroniche comunicate allo sponsor del piano sono comunicate ai sensi di 164.504(f)(1)(ii) o (iii), o come autorizzato ai sensi della norma¤164.508, un piano sanitario di gruppo deve garantire che i documenti del piano prevedano che lo sponsor del piano salvaguardi in modo ragionevole e appropriato le informazioni sanitarie protette elettroniche create, ricevute, mantenute o trasmesse allo sponsor del piano o da quest'ultimo per conto del piano sanitario di gruppo. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia a riposo per proteggere tali dati. | |
| 164.314(b)(1) | (b)(1) Standard: requisiti per i piani sanitari di gruppo. Ad eccezione dei casi in cui le uniche informazioni sanitarie protette elettroniche comunicate allo sponsor del piano sono comunicate ai sensi di 164.504(f)(1)(ii) o (iii), o come autorizzato ai sensi della norma¤164.508, un piano sanitario di gruppo deve garantire che i documenti del piano prevedano che lo sponsor del piano salvaguardi in modo ragionevole e appropriato le informazioni sanitarie protette elettroniche create, ricevute, mantenute o trasmesse allo sponsor del piano o da quest'ultimo per conto del piano sanitario di gruppo. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo SageMaker notebook. Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| 164.314(b)(2) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; (ii) garantire che l'adeguata separazione richiesta da 164.504(f)(2)(iii) sia supportata da misure di sicurezza ragionevoli e appropriate; (iii) garantire che qualsiasi agente, compresi i subappaltatori, a cui fornisce queste informazioni accetti di implementare misure di sicurezza ragionevoli e appropriate per proteggere le informazioni; e (iv) riferire al piano sanitario di gruppo qualsiasi incidente di sicurezza di cui venga a conoscenza. | Poiché possono esistere dati sensibili e per contribuire a proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CloudTrail percorsi. | |
| 164.314(b)(2) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; (ii) garantire che l'adeguata separazione richiesta da 164.504(f)(2)(iii) sia supportata da misure di sicurezza ragionevoli e appropriate; (iii) garantire che qualsiasi agente, compresi i subappaltatori, a cui fornisce queste informazioni accetti di implementare misure di sicurezza ragionevoli e appropriate per proteggere le informazioni; e (iv) riferire al piano sanitario di gruppo qualsiasi incidente di sicurezza di cui venga a conoscenza. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| 164.314(b)(2) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; (ii) garantire che l'adeguata separazione richiesta da 164.504(f)(2)(iii) sia supportata da misure di sicurezza ragionevoli e appropriate; (iii) garantire che qualsiasi agente, compresi i subappaltatori, a cui fornisce queste informazioni accetti di implementare misure di sicurezza ragionevoli e appropriate per proteggere le informazioni; e (iv) riferire al piano sanitario di gruppo qualsiasi incidente di sicurezza di cui venga a conoscenza. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch OpenSearch Service (Service). | |
| 164.314(b)(2) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; (ii) garantire che l'adeguata separazione richiesta da 164.504(f)(2)(iii) sia supportata da misure di sicurezza ragionevoli e appropriate; (iii) garantire che qualsiasi agente, compresi i subappaltatori, a cui fornisce queste informazioni accetti di implementare misure di sicurezza ragionevoli e appropriate per proteggere le informazioni; e (iv) riferire al piano sanitario di gruppo qualsiasi incidente di sicurezza di cui venga a conoscenza. | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.314(b)(2) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; (ii) garantire che l'adeguata separazione richiesta da 164.504(f)(2)(iii) sia supportata da misure di sicurezza ragionevoli e appropriate; (iii) garantire che qualsiasi agente, compresi i subappaltatori, a cui fornisce queste informazioni accetti di implementare misure di sicurezza ragionevoli e appropriate per proteggere le informazioni; e (iv) riferire al piano sanitario di gruppo qualsiasi incidente di sicurezza di cui venga a conoscenza. | Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.314(b)(2) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; (ii) garantire che l'adeguata separazione richiesta da 164.504(f)(2)(iii) sia supportata da misure di sicurezza ragionevoli e appropriate; (iii) garantire che qualsiasi agente, compresi i subappaltatori, a cui fornisce queste informazioni accetti di implementare misure di sicurezza ragionevoli e appropriate per proteggere le informazioni; e (iv) riferire al piano sanitario di gruppo qualsiasi incidente di sicurezza di cui venga a conoscenza. | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). | |
| 164.314(b)(2) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; (ii) garantire che l'adeguata separazione richiesta da 164.504(f)(2)(iii) sia supportata da misure di sicurezza ragionevoli e appropriate; (iii) garantire che qualsiasi agente, compresi i subappaltatori, a cui fornisce queste informazioni accetti di implementare misure di sicurezza ragionevoli e appropriate per proteggere le informazioni; e (iv) riferire al piano sanitario di gruppo qualsiasi incidente di sicurezza di cui venga a conoscenza. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service. | |
| 164.314(b)(2) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; (ii) garantire che l'adeguata separazione richiesta da 164.504(f)(2)(iii) sia supportata da misure di sicurezza ragionevoli e appropriate; (iii) garantire che qualsiasi agente, compresi i subappaltatori, a cui fornisce queste informazioni accetti di implementare misure di sicurezza ragionevoli e appropriate per proteggere le informazioni; e (iv) riferire al piano sanitario di gruppo qualsiasi incidente di sicurezza di cui venga a conoscenza. | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon OpenSearch Service. | |
| 164.314(b)(2) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; (ii) garantire che l'adeguata separazione richiesta da 164.504(f)(2)(iii) sia supportata da misure di sicurezza ragionevoli e appropriate; (iii) garantire che qualsiasi agente, compresi i subappaltatori, a cui fornisce queste informazioni accetti di implementare misure di sicurezza ragionevoli e appropriate per proteggere le informazioni; e (iv) riferire al piano sanitario di gruppo qualsiasi incidente di sicurezza di cui venga a conoscenza. | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.314(b)(2) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; (ii) garantire che l'adeguata separazione richiesta da 164.504(f)(2)(iii) sia supportata da misure di sicurezza ragionevoli e appropriate; (iii) garantire che qualsiasi agente, compresi i subappaltatori, a cui fornisce queste informazioni accetti di implementare misure di sicurezza ragionevoli e appropriate per proteggere le informazioni; e (iv) riferire al piano sanitario di gruppo qualsiasi incidente di sicurezza di cui venga a conoscenza. | Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| 164.314(b)(2) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; (ii) garantire che l'adeguata separazione richiesta da 164.504(f)(2)(iii) sia supportata da misure di sicurezza ragionevoli e appropriate; (iii) garantire che qualsiasi agente, compresi i subappaltatori, a cui fornisce queste informazioni accetti di implementare misure di sicurezza ragionevoli e appropriate per proteggere le informazioni; e (iv) riferire al piano sanitario di gruppo qualsiasi incidente di sicurezza di cui venga a conoscenza. | Per aiutare a proteggere i dati a riposo, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo nelle istanze Amazon RDS, abilita la crittografia a riposo per proteggere tali dati. | |
| 164.314(b)(2) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; (ii) garantire che l'adeguata separazione richiesta da 164.504(f)(2)(iii) sia supportata da misure di sicurezza ragionevoli e appropriate; (iii) garantire che qualsiasi agente, compresi i subappaltatori, a cui fornisce queste informazioni accetti di implementare misure di sicurezza ragionevoli e appropriate per proteggere le informazioni; e (iv) riferire al piano sanitario di gruppo qualsiasi incidente di sicurezza di cui venga a conoscenza. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 164.314(b)(2) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; (ii) garantire che l'adeguata separazione richiesta da 164.504(f)(2)(iii) sia supportata da misure di sicurezza ragionevoli e appropriate; (iii) garantire che qualsiasi agente, compresi i subappaltatori, a cui fornisce queste informazioni accetti di implementare misure di sicurezza ragionevoli e appropriate per proteggere le informazioni; e (iv) riferire al piano sanitario di gruppo qualsiasi incidente di sicurezza di cui venga a conoscenza. | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.314(b)(2) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; (ii) garantire che l'adeguata separazione richiesta da 164.504(f)(2)(iii) sia supportata da misure di sicurezza ragionevoli e appropriate; (iii) garantire che qualsiasi agente, compresi i subappaltatori, a cui fornisce queste informazioni accetti di implementare misure di sicurezza ragionevoli e appropriate per proteggere le informazioni; e (iv) riferire al piano sanitario di gruppo qualsiasi incidente di sicurezza di cui venga a conoscenza. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 164.314(b)(2) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; (ii) garantire che l'adeguata separazione richiesta da 164.504(f)(2)(iii) sia supportata da misure di sicurezza ragionevoli e appropriate; (iii) garantire che qualsiasi agente, compresi i subappaltatori, a cui fornisce queste informazioni accetti di implementare misure di sicurezza ragionevoli e appropriate per proteggere le informazioni; e (iv) riferire al piano sanitario di gruppo qualsiasi incidente di sicurezza di cui venga a conoscenza. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 164.314(b)(2) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; (ii) garantire che l'adeguata separazione richiesta da 164.504(f)(2)(iii) sia supportata da misure di sicurezza ragionevoli e appropriate; (iii) garantire che qualsiasi agente, compresi i subappaltatori, a cui fornisce queste informazioni accetti di implementare misure di sicurezza ragionevoli e appropriate per proteggere le informazioni; e (iv) riferire al piano sanitario di gruppo qualsiasi incidente di sicurezza di cui venga a conoscenza. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| 164.314(b)(2) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; (ii) garantire che l'adeguata separazione richiesta da 164.504(f)(2)(iii) sia supportata da misure di sicurezza ragionevoli e appropriate; (iii) garantire che qualsiasi agente, compresi i subappaltatori, a cui fornisce queste informazioni accetti di implementare misure di sicurezza ragionevoli e appropriate per proteggere le informazioni; e (iv) riferire al piano sanitario di gruppo qualsiasi incidente di sicurezza di cui venga a conoscenza. | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.314(b)(2) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; (ii) garantire che l'adeguata separazione richiesta da 164.504(f)(2)(iii) sia supportata da misure di sicurezza ragionevoli e appropriate; (iii) garantire che qualsiasi agente, compresi i subappaltatori, a cui fornisce queste informazioni accetti di implementare misure di sicurezza ragionevoli e appropriate per proteggere le informazioni; e (iv) riferire al piano sanitario di gruppo qualsiasi incidente di sicurezza di cui venga a conoscenza. | Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati. | |
| 164.314(b)(2) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; (ii) garantire che l'adeguata separazione richiesta da 164.504(f)(2)(iii) sia supportata da misure di sicurezza ragionevoli e appropriate; (iii) garantire che qualsiasi agente, compresi i subappaltatori, a cui fornisce queste informazioni accetti di implementare misure di sicurezza ragionevoli e appropriate per proteggere le informazioni; e (iv) riferire al piano sanitario di gruppo qualsiasi incidente di sicurezza di cui venga a conoscenza. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia a riposo per proteggere tali dati. | |
| 164.314(b)(2) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; (ii) garantire che l'adeguata separazione richiesta da 164.504(f)(2)(iii) sia supportata da misure di sicurezza ragionevoli e appropriate; (iii) garantire che qualsiasi agente, compresi i subappaltatori, a cui fornisce queste informazioni accetti di implementare misure di sicurezza ragionevoli e appropriate per proteggere le informazioni; e (iv) riferire al piano sanitario di gruppo qualsiasi incidente di sicurezza di cui venga a conoscenza. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo SageMaker notebook. Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Assicurati che le azioni IAM siano limitate alle sole azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Se una definizione di attività ha privilegi elevati, significa che il cliente ha scelto specificamente di accedere a tali configurazioni. Questo controllo verifica l'aumento imprevisto dei privilegi quando la rete host prevede una definizione di attività ma il cliente non ha scelto privilegi elevati. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | L'abilitazione dell'accesso in sola lettura ai container Amazon Elastic Container Service (ECS) può aiutare a rispettare il principio del privilegio minimo. Questa opzione può ridurre i vettori di attacco poiché il file system dell'istanza di container non può essere modificato a meno che non disponga di autorizzazioni esplicite di lettura/scrittura. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Questa regola verifica se le liste di controllo degli accessi (ACL) vengono utilizzate per il controllo degli accessi ai bucket Amazon S3. Gli ACL sono meccanismi di controllo degli accessi legacy per i bucket Amazon S3 AWS precedenti a Identity and Access Management (IAM). Invece delle ACL, è consigliabile utilizzare le policy IAM o le policy dei bucket S3 per gestire più facilmente l'accesso ai bucket S3. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti indicati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Garantisci la protezione dell'integrità della rete assicurando che i certificati X509 vengano emessi da AWS ACM. Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore per daysToExpiration (valore AWS Foundational Security Best Practices: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Assicurati che le fasi REST API del Gateway Amazon API siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare la provenienza delle richieste dal Gateway API. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Per proteggere i dati in transito, assicurati che gli ascoltatori SSL Classic Elastic Load Balancing utilizzino una policy di sicurezza predefinita. Elastic Load Balancing fornisce configurazioni di negoziazione SSL predefinite, che vengono utilizzate per la negoziazione SSL quando viene stabilita una connessione tra un client e il load balancer. Le configurazioni di negoziazione SSL garantiscono la compatibilità con un'ampia gamma di client e utilizzano algoritmi di crittografia altamente sicuri. Questa regola richiede l'impostazione di una policy di sicurezza predefinita per gli ascoltatori SSL. La politica di sicurezza predefinita è: ELB -TLS-1-2-2017-0. SecurityPolicy Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi percorsi. AWS CloudTrail | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch OpenSearch Service (Service). | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Per aiutare a proteggere i dati a riposo, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo nelle istanze Amazon RDS, abilita la crittografia a riposo per proteggere tali dati. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia a riposo per proteggere tali dati. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo SageMaker notebook. Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Per proteggere i dati archiviati, assicurati che gli argomenti di Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia AWS tramite Key Management Service AWS (KMS). Data la possibile presenza di dati sensibili a riposo nei messaggi pubblicati, abilita la crittografia a riposo per proteggere tali dati. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | La scalabilità automatica di Amazon DynamoDB utilizza il servizio Application AWS Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura e scrittura assegnata per gestire improvvisi aumenti di traffico, senza alcuna limitazione (della larghezza di banda della rete). | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Abilita questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella degli ultimi 35 giorni. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Abilita il bilanciamento del carico tra zone per gli Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Questa regola garantisce che per Elastic Load Balancing sia abilitata la protezione da eliminazione. Utilizza questa funzionalità per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Assicurati che per le istanze di Amazon Relational Database Service (Amazon RDS) sia abilitata la protezione da eliminazione. Utilizza la protezione da eliminazione per evitare che le istanze Amazon RDS vengano eliminate accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Il supporto multi-AZ in Amazon Relational Database Service (Amazon RDS) offre disponibilità e durabilità avanzate per le istanze database. Quando esegui il provisioning di un'istanza database multi-AZ, Amazon RDS crea automaticamente un'istanza database primaria e replica in modo sincrono i dati in un'istanza standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completato. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Assicurati che il blocco sia abilitato, per impostazione predefinita, per il bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket S3, applica i blocchi degli oggetti a riposo per proteggere tali dati. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | È possibile implementare tunnel VPN sito-sito ridondanti per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso in cui una delle connessioni VPN sito-sito non sia disponibile. Per evitare la perdita di connettività nel caso in cui il gateway del cliente non sia più disponibile, puoi configurare una seconda connessione VPN sito-sito al tuo Amazon Virtual Private Cloud (Amazon VPC) e al gateway privato virtuale utilizzando un secondo dispositivo gateway del cliente. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Assicurati che le tabelle di routing di Amazon EC2 non abbiano percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno degli Amazon VPC può ridurre gli accessi non intenzionali all'interno del tuo ambiente. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon OpenSearch Service. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 164.314(b)(2)(i) | (2) Specifiche di implementazione (obbligatorie). I documenti del piano sanitario di gruppo devono essere modificati per incorporare disposizioni che richiedano allo sponsor del piano di - (i) implementare salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette elettroniche create, ricevute, conservate o trasmesse per conto del piano sanitario di gruppo; | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i flussi di Amazon Kinesis. |
Modello
Il modello è disponibile su GitHub: Operational Best Practices for HIPAA
