Best practice operative per la sicurezza HIPAA - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice operative per la sicurezza HIPAA

I pacchetti di conformità forniscono un framework di conformità generico progettato per consentire di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando gestiti o personalizzatiAWS Configregole eAWS Configazioni di bonifica. I Conformance Pack, come modelli di esempio, non sono progettati per garantire pienamente la conformità con uno standard di governance o conformità specifici. L'utente è responsabile di valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.

Di seguito viene fornito un esempio di mappatura tra Health Insurance Portability and Accountability Act (HIPAA) eAWSRegole Config gestite. Ciascuna regola di Config si applica a uno specificoAWSrisorsa e si riferisce a uno o più controlli HIPAA. Un controllo HIPAA può essere correlato a più regole Config. Fare riferimento alla tabella sottostante per ulteriori dettagli e indicazioni relative a queste mappature.

Questo Conformance Pack è stato convalidato daAWSSecurity Assurance Services LLC (AWSSAS), che è un team di Payment Card Industry Qualified Security Assessors (QSA), dagli HITRUST Certified Common Security Framework Practitioners (CCSFP) e dai professionisti della conformità certificati per fornire indicazioni e valutazioni per vari quadri del settore. I professionisti AWS SAS hanno progettato questo Conformance Pack per consentire a un cliente di allinearsi a un sottoinsieme dell'HIPAA.

Regione AWS:Tutto supportatoRegioni AWStranne il Medio Oriente (Bahrain)

ID controllo Descrizione del controllo Regola AWS Config Linee guida di
164.308 (a) (1) ii) (A) (A) Analisi del rischio (obbligatorio). Condurre una valutazione accurata e approfondita dei potenziali rischi e vulnerabilità alla riservatezza, all'integrità e alla disponibilità delle informazioni sanitarie protette elettroniche detenute dall'entità interessata. valutazione annuale-rischio-eseguita (verifica del processo) Esegui una valutazione annuale del rischio sulla tua organizzazione. Le valutazioni dei rischi possono aiutare a determinare la probabilità e l'impatto dei rischi e/o delle vulnerabilità identificati che interessano un'organizzazione.
164.308 (a) (3) (i) (3) i) Standard: Sicurezza della forza lavoro. Attuare politiche e procedure per garantire che tutti i membri della sua forza lavoro abbiano accesso adeguato alle informazioni sanitarie protette elettroniche, come previsto alla lettera a), punto 4, della presente sezione, e per impedire ai membri della forza lavoro che non hanno accesso ai sensi della lettera a), punto 4, della presente sezione di ottenere accesso a informazioni sanitarie protette elettroniche.

ec2-imdsv2 - controllo

Verifica che il metodo IMDSv2 (Instance Metadata Service Version 2) è abilitato per proteggere l'accesso e il controllo dei metadati dell'istanza Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati su sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze.
164.308 (a) (3) (i) (3) i) Standard: Sicurezza della forza lavoro. Attuare politiche e procedure per garantire che tutti i membri della sua forza lavoro abbiano accesso adeguato alle informazioni sanitarie protette elettroniche, come previsto alla lettera a), punto 4, della presente sezione, e per impedire ai membri della forza lavoro che non hanno accesso ai sensi della lettera a), punto 4, della presente sezione di ottenere accesso a informazioni sanitarie protette elettroniche.

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. A questo proposito, il KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
164.308 (a) (3) (i) (3) i) Standard: Sicurezza della forza lavoro. Attuare politiche e procedure per garantire che tutti i membri della sua forza lavoro abbiano accesso adeguato alle informazioni sanitarie protette elettroniche, come previsto alla lettera a), punto 4, della presente sezione, e per impedire ai membri della forza lavoro che non hanno accesso ai sensi della lettera a), punto 4, della presente sezione di ottenere accesso a informazioni sanitarie protette elettroniche.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
164.308 (a) (3) (i) (3) i) Standard: Sicurezza della forza lavoro. Attuare politiche e procedure per garantire che tutti i membri della sua forza lavoro abbiano accesso adeguato alle informazioni sanitarie protette elettroniche, come previsto alla lettera a), punto 4, della presente sezione, e per impedire ai membri della forza lavoro che non hanno accesso ai sensi della lettera a), punto 4, della presente sezione di ottenere accesso a informazioni sanitarie protette elettroniche.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia l'utilizzo delle policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
164.308 (a) (3) (i) (3) i) Standard: Sicurezza della forza lavoro. Attuare politiche e procedure per garantire che tutti i membri della sua forza lavoro abbiano accesso adeguato alle informazioni sanitarie protette elettroniche, come previsto alla lettera a), punto 4, della presente sezione, e per impedire ai membri della forza lavoro che non hanno accesso ai sensi della lettera a), punto 4, della presente sezione di ottenere accesso a informazioni sanitarie protette elettroniche.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Operazione» :"*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
164.308 (a) (3) (i) (3) i) Standard: Sicurezza della forza lavoro. Attuare politiche e procedure per garantire che tutti i membri della sua forza lavoro abbiano accesso adeguato alle informazioni sanitarie protette elettroniche, come previsto alla lettera a), punto 4, della presente sezione, e per impedire ai membri della forza lavoro che non hanno accesso ai sensi della lettera a), punto 4, della presente sezione di ottenere accesso a informazioni sanitarie protette elettroniche.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
164.308 (a) (3) (i) (3) i) Standard: Sicurezza della forza lavoro. Attuare politiche e procedure per garantire che tutti i membri della sua forza lavoro abbiano accesso adeguato alle informazioni sanitarie protette elettroniche, come previsto alla lettera a), punto 4, della presente sezione, e per impedire ai membri della forza lavoro che non hanno accesso ai sensi della lettera a), punto 4, della presente sezione di ottenere accesso a informazioni sanitarie protette elettroniche.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
164.308 (a) (3) (i) (3) (i) Standard: Sicurezza della forza lavoro. Attuare politiche e procedure per garantire che tutti i membri della sua forza lavoro abbiano accesso adeguato alle informazioni sanitarie protette elettroniche, come previsto alla lettera a), punto 4, della presente sezione, e per impedire ai membri della forza lavoro che non hanno accesso ai sensi della lettera a), punto 4, della presente sezione di ottenere accesso a informazioni sanitarie protette elettroniche.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano associate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
164.308 (a) (3) (i) (3) i) Standard: Sicurezza della forza lavoro. Attuare politiche e procedure per garantire che tutti i membri della sua forza lavoro abbiano accesso adeguato alle informazioni sanitarie protette elettroniche, come previsto alla lettera a), punto 4, della presente sezione, e per impedire ai membri della forza lavoro che non hanno accesso ai sensi della lettera a), punto 4, della presente sezione di ottenere accesso a informazioni sanitarie protette elettroniche.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su MaxCredentialUsageAge (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
164.308 (a) (3) (i) (3) i) Standard: Sicurezza della forza lavoro. Attuare politiche e procedure per garantire che tutti i membri della sua forza lavoro abbiano accesso adeguato alle informazioni sanitarie protette elettroniche, come previsto alla lettera a), punto 4, della presente sezione, e per impedire ai membri della forza lavoro che non hanno accesso ai sensi della lettera a), punto 4, della presente sezione di ottenere accesso a informazioni sanitarie protette elettroniche.

s3-bucket-policy-grantee-check

Gestisci l'accesso al cloud AWS abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 è limitato da qualsiasi principale di AWS, dagli utenti federati, dai principali dei servizi, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti dall'utente.
164.308 (a) (3) (i) (3) (i) Standard: Sicurezza della forza lavoro. Attuare politiche e procedure per garantire che tutti i membri della sua forza lavoro abbiano accesso adeguato alle informazioni sanitarie protette elettroniche, come previsto alla lettera a), punto 4, della presente sezione, e per impedire ai membri della forza lavoro che non hanno accesso ai sensi della lettera a), punto 4, della presente sezione di ottenere accesso a informazioni sanitarie protette elettroniche.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
164.308 (a) (3) (i) (3) (i) Standard: Sicurezza della forza lavoro. Attuare politiche e procedure per garantire che tutti i membri della sua forza lavoro abbiano accesso adeguato alle informazioni sanitarie protette elettroniche, come previsto alla lettera a), punto 4, della presente sezione, e per impedire ai membri della forza lavoro che non hanno accesso ai sensi della lettera a), punto 4, della presente sezione di ottenere accesso a informazioni sanitarie protette elettroniche.

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può aiutare con la gestione dei privilegi e delle autorizzazioni minimi.
164.308 (a) (3) (i) (3) (i) Standard: Sicurezza della forza lavoro. Attuare politiche e procedure per garantire che tutti i membri della sua forza lavoro abbiano accesso adeguato alle informazioni sanitarie protette elettroniche, come previsto alla lettera a), punto 4, della presente sezione, e per impedire ai membri della forza lavoro che non hanno accesso ai sensi della lettera a), punto 4, della presente sezione di ottenere accesso a informazioni sanitarie protette elettroniche.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
164.308 (a) (3) (i) (3) (i) Standard: Sicurezza della forza lavoro. Attuare politiche e procedure per garantire che tutti i membri della sua forza lavoro abbiano accesso adeguato alle informazioni sanitarie protette elettroniche, come previsto alla lettera a), punto 4, della presente sezione, e per impedire ai membri della forza lavoro che non hanno accesso ai sensi della lettera a), punto 4, della presente sezione di ottenere accesso a informazioni sanitarie protette elettroniche.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
164.308 (a) (3) (i) (3) (i) Standard: Sicurezza della forza lavoro. Attuare politiche e procedure per garantire che tutti i membri della sua forza lavoro abbiano accesso adeguato alle informazioni sanitarie protette elettroniche, come previsto alla lettera a), punto 4, della presente sezione, e per impedire ai membri della forza lavoro che non hanno accesso ai sensi della lettera a), punto 4, della presente sezione di ottenere accesso a informazioni sanitarie protette elettroniche.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
164.308 (a) (3) (i) (3) (i) Standard: Sicurezza della forza lavoro. Attuare politiche e procedure per garantire che tutti i membri della sua forza lavoro abbiano accesso adeguato alle informazioni sanitarie protette elettroniche, come previsto alla lettera a), punto 4, della presente sezione, e per impedire ai membri della forza lavoro che non hanno accesso ai sensi della lettera a), punto 4, della presente sezione di ottenere accesso a informazioni sanitarie protette elettroniche.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando Amazon OpenSearch I domini di servizio (OpenSearch Service) sono all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un record OpenSearch Il dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Servizi e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
164.308 (a) (3) (i) (3) (i) Standard: Sicurezza della forza lavoro. Attuare politiche e procedure per garantire che tutti i membri della sua forza lavoro abbiano accesso adeguato alle informazioni sanitarie protette elettroniche, come previsto alla lettera a), punto 4, della presente sezione, e per impedire ai membri della forza lavoro che non hanno accesso ai sensi della lettera a), punto 4, della presente sezione di ottenere accesso a informazioni sanitarie protette elettroniche.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
164.308 (a) (3) (i) (3) i) Standard: Sicurezza della forza lavoro. Attuare politiche e procedure per garantire che tutti i membri della sua forza lavoro abbiano accesso adeguato alle informazioni sanitarie protette elettroniche, come previsto alla lettera a), punto 4, della presente sezione, e per impedire ai membri della forza lavoro che non hanno accesso ai sensi della lettera a), punto 4, della presente sezione di ottenere accesso a informazioni sanitarie protette elettroniche.

ec2-instances-in-vpc

Distribuisci le istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un Internet gateway, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
164.308 (a) (3) (i) (3) (i) Standard: Sicurezza della forza lavoro. Attuare politiche e procedure per garantire che tutti i membri della sua forza lavoro abbiano accesso adeguato alle informazioni sanitarie protette elettroniche, come previsto alla lettera a), punto 4, della presente sezione, e per impedire ai membri della forza lavoro che non hanno accesso ai sensi della lettera a), punto 4, della presente sezione di ottenere accesso a informazioni sanitarie protette elettroniche.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non possano essere accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
164.308 (a) (3) (i) (3) (i) Standard: Sicurezza della forza lavoro. Attuare politiche e procedure per garantire che tutti i membri della sua forza lavoro abbiano accesso adeguato alle informazioni sanitarie protette elettroniche, come previsto alla lettera a), punto 4, della presente sezione, e per impedire ai membri della forza lavoro che non hanno accesso ai sensi della lettera a), punto 4, della presente sezione di ottenere accesso a informazioni sanitarie protette elettroniche.

lambda-inside-vpc

Utilizza le funzioni AWS Lambda in un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non è necessario disporre di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
164.308 (a) (3) (i) (3) i) Standard: Sicurezza della forza lavoro. Attuare politiche e procedure per garantire che tutti i membri della sua forza lavoro abbiano accesso adeguato alle informazioni sanitarie protette elettroniche, come previsto alla lettera a), punto 4, della presente sezione, e per impedire ai membri della forza lavoro che non hanno accesso ai sensi della lettera a), punto 4, della presente sezione di ottenere accesso a informazioni sanitarie protette elettroniche.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
164.308 (a) (3) (i) (3) i) Standard: Sicurezza della forza lavoro. Attuare politiche e procedure per garantire che tutti i membri della sua forza lavoro abbiano accesso adeguato alle informazioni sanitarie protette elettroniche, come previsto alla lettera a), punto 4, della presente sezione, e per impedire ai membri della forza lavoro che non hanno accesso ai sensi della lettera a), punto 4, della presente sezione di ottenere accesso a informazioni sanitarie protette elettroniche.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
164.308 (a) (3) (i) (3) i) Standard: Sicurezza della forza lavoro. Attuare politiche e procedure per garantire che tutti i membri della sua forza lavoro abbiano accesso adeguato alle informazioni sanitarie protette elettroniche, come previsto alla lettera a), punto 4, della presente sezione, e per impedire ai membri della forza lavoro che non hanno accesso ai sensi della lettera a), punto 4, della presente sezione di ottenere accesso a informazioni sanitarie protette elettroniche.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
164.308 (a) (3) (i) (3) i) Standard: Sicurezza della forza lavoro. Attuare politiche e procedure per garantire che tutti i membri della sua forza lavoro abbiano accesso adeguato alle informazioni sanitarie protette elettroniche, come previsto alla lettera a), punto 4, della presente sezione, e per impedire ai membri della forza lavoro che non hanno accesso ai sensi della lettera a), punto 4, della presente sezione di ottenere accesso a informazioni sanitarie protette elettroniche.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativa ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
164.308 (a) (3) (i) (3) i) Standard: Sicurezza della forza lavoro. Attuare politiche e procedure per garantire che tutti i membri della sua forza lavoro abbiano accesso adeguato alle informazioni sanitarie protette elettroniche, come previsto alla lettera a), punto 4, della presente sezione, e per impedire ai membri della forza lavoro che non hanno accesso ai sensi della lettera a), punto 4, della presente sezione di ottenere accesso a informazioni sanitarie protette elettroniche.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo agli utenti, ai processi e ai dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
164.308 (a) (3) (i) (3) i) Standard: Sicurezza della forza lavoro. Attuare politiche e procedure per garantire che tutti i membri della sua forza lavoro abbiano accesso adeguato alle informazioni sanitarie protette elettroniche, come previsto alla lettera a), punto 4, della presente sezione, e per impedire ai membri della forza lavoro che non hanno accesso ai sensi della lettera a), punto 4, della presente sezione di ottenere accesso a informazioni sanitarie protette elettroniche.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo agli utenti, ai processi e ai dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
164.308 (a) (3) (i) (3) i) Standard: Sicurezza della forza lavoro. Attuare politiche e procedure per garantire che tutti i membri della sua forza lavoro abbiano accesso adeguato alle informazioni sanitarie protette elettroniche, come previsto alla lettera a), punto 4, della presente sezione, e per impedire ai membri della forza lavoro che non hanno accesso ai sensi della lettera a), punto 4, della presente sezione di ottenere accesso a informazioni sanitarie protette elettroniche.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che Amazon SageMaker i notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
164.308 (a) (3) (i) (3) i) Standard: Sicurezza della forza lavoro. Attuare politiche e procedure per garantire che tutti i membri della sua forza lavoro abbiano accesso adeguato alle informazioni sanitarie protette elettroniche, come previsto alla lettera a), punto 4, della presente sezione, e per impedire ai membri della forza lavoro che non hanno accesso ai sensi della lettera a), punto 4, della presente sezione di ottenere accesso a informazioni sanitarie protette elettroniche.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
164.308 (a) (3) (i) (3) i) Standard: Sicurezza della forza lavoro. Attuare politiche e procedure per garantire che tutti i membri della sua forza lavoro abbiano accesso adeguato alle informazioni sanitarie protette elettroniche, come previsto alla lettera a), punto 4, della presente sezione, e per impedire ai membri della forza lavoro che non hanno accesso ai sensi della lettera a), punto 4, della presente sezione di ottenere accesso a informazioni sanitarie protette elettroniche.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
164.308 (a) (3) (i) (3) i) Standard: Sicurezza della forza lavoro. Attuare politiche e procedure per garantire che tutti i membri della sua forza lavoro abbiano accesso adeguato alle informazioni sanitarie protette elettroniche, come previsto alla lettera a), punto 4, della presente sezione, e per impedire ai membri della forza lavoro che non hanno accesso ai sensi della lettera a), punto 4, della presente sezione di ottenere accesso a informazioni sanitarie protette elettroniche.

ecs-task-definition-user-per-host-mode check

Se una definizione di attività ha privilegi elevati, è perché il cliente ha specificamente optato per tali configurazioni. Questo controllo verifica la presenza di un'escalation imprevista dei privilegi quando una definizione di attività ha abilitato la rete host ma il cliente non ha optato per privilegi elevati.
164.308 (a) (3) (i) (3) i) Standard: Sicurezza della forza lavoro. Attuare politiche e procedure per garantire che tutti i membri della sua forza lavoro abbiano accesso adeguato alle informazioni sanitarie protette elettroniche, come previsto alla lettera a), punto 4, della presente sezione, e per impedire ai membri della forza lavoro che non hanno accesso ai sensi della lettera a), punto 4, della presente sezione di ottenere accesso a informazioni sanitarie protette elettroniche.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
164.308 (a) (3) (i) (3) i) Standard: Sicurezza della forza lavoro. Attuare politiche e procedure per garantire che tutti i membri della sua forza lavoro abbiano accesso adeguato alle informazioni sanitarie protette elettroniche, come previsto alla lettera a), punto 4, della presente sezione, e per impedire ai membri della forza lavoro che non hanno accesso ai sensi della lettera a), punto 4, della presente sezione di ottenere accesso a informazioni sanitarie protette elettroniche.

codebuild-project-envvar-awscred-check

Assicurati che le credenziali di autenticazione AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY non esistano negli ambienti di progetto AWS Codebuild. Non memorizzare queste variabili in testo chiaro. La memorizzazione di queste variabili in testo non crittografato comporta l'esposizione non intenzionale dei dati e l'accesso non autorizzato.
164.308 (a) (3) (i) (3) i) Standard: Sicurezza della forza lavoro. Attuare politiche e procedure per garantire che tutti i membri della sua forza lavoro abbiano accesso adeguato alle informazioni sanitarie protette elettroniche, come previsto alla lettera a), punto 4, della presente sezione, e per impedire ai membri della forza lavoro che non hanno accesso ai sensi della lettera a), punto 4, della presente sezione di ottenere accesso a informazioni sanitarie protette elettroniche.

codebuild-project-source-repo-url-check

Garantire la GitHub o l'URL del repository di origine Bitbucket non contiene token di accesso personali, nome utente e password negli ambienti di progetto AWS Codebuild. Utilizzare OAuth anziché token di accesso personali o un nome utente e una password per concedere l'autorizzazione per accedere GitHub o repository Bitbucket.
164.308 (a) (3) (i) (3) i) Standard: Sicurezza della forza lavoro. Attuare politiche e procedure per garantire che tutti i membri della sua forza lavoro abbiano accesso adeguato alle informazioni sanitarie protette elettroniche, come previsto alla lettera a), punto 4, della presente sezione, e per impedire ai membri della forza lavoro che non hanno accesso ai sensi della lettera a), punto 4, della presente sezione di ottenere accesso a informazioni sanitarie protette elettroniche.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
164.308 (a) (3) (i) (3) i) Standard: Sicurezza della forza lavoro. Attuare politiche e procedure per garantire che tutti i membri della sua forza lavoro abbiano accesso adeguato alle informazioni sanitarie protette elettroniche, come previsto alla lettera a), punto 4, della presente sezione, e per impedire ai membri della forza lavoro che non hanno accesso ai sensi della lettera a), punto 4, della presente sezione di ottenere accesso a informazioni sanitarie protette elettroniche.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non permettere l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse consente di limitare l'accesso remoto.
164.308 (a) (3) (i) (3) i) Standard: Sicurezza della forza lavoro. Attuare politiche e procedure per garantire che tutti i membri della sua forza lavoro abbiano accesso adeguato alle informazioni sanitarie protette elettroniche, come previsto alla lettera a), punto 4, della presente sezione, e per impedire ai membri della forza lavoro che non hanno accesso ai sensi della lettera a), punto 4, della presente sezione di ottenere accesso a informazioni sanitarie protette elettroniche.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
164.308 (a) (3) ii) (A) (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni sanitarie protette elettroniche o in luoghi in cui è possibile accedervi.

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
164.308 (a) (3) ii) (A) (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni sanitarie protette elettroniche o in luoghi in cui è possibile accedervi.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
164.308 (a) (3) ii) (A) (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni sanitarie protette elettroniche o in luoghi in cui è possibile accedervi.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia l'utilizzo delle policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
164.308 (a) (3) ii) (A) (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni sanitarie protette elettroniche o in luoghi in cui è possibile accedervi.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Operazione» :"*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
164.308 (a) (3) ii) (A) (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni sanitarie protette elettroniche o in luoghi in cui è possibile accedervi.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
164.308 (a) (3) ii) (A) (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni sanitarie protette elettroniche o in luoghi in cui è possibile accedervi.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano associate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
164.308 (a) (3) ii) (A) (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni sanitarie protette elettroniche o in luoghi in cui è possibile accedervi.

s3-bucket-policy-grantee-check

Gestisci l'accesso al cloud AWS abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 è limitato da qualsiasi principale di AWS, dagli utenti federati, dai principali dei servizi, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti dall'utente.
164.308 (a) (3) ii) (A) (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni sanitarie protette elettroniche o in luoghi in cui è possibile accedervi.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
164.308 (a) (3) ii) (A) (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni sanitarie protette elettroniche o in luoghi in cui è possibile accedervi.

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può aiutare con la gestione dei privilegi e delle autorizzazioni minimi.
164.308 (a) (3) ii) (A) (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni sanitarie protette elettroniche o in luoghi in cui è possibile accedervi.

ecs-task-definition-user-per-host-mode check

Se una definizione di attività ha privilegi elevati, è perché il cliente ha specificamente optato per tali configurazioni. Questo controllo verifica la presenza di un'escalation imprevista dei privilegi quando una definizione di attività ha abilitato la rete host ma il cliente non ha optato per privilegi elevati.
164.308 (a) (3) ii) (A) (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni sanitarie protette elettroniche o in luoghi in cui è possibile accedervi.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWS CloudTrail i dati forniscono i dettagli dell'attività delle chiamate API all'interno dell'account AWS.
164.308 (a) (3) ii) (A) (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni sanitarie protette elettroniche o in luoghi in cui è possibile accedervi.

cloudtrail-enabled

AWS CloudTrail può aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWS CloudTrail Contenuto dei record.
164.308 (a) (3) ii) (A) (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni sanitarie protette elettroniche o in luoghi in cui è possibile accedervi.

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
164.308 (a) (3) ii) (A) (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni sanitarie protette elettroniche o in luoghi in cui è possibile accedervi.

abilitato per il cloudtrail basato su più regioni

AWS CloudTrail registra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTrail distribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione, CloudTrail creerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
164.308 (a) (3) ii) (A) (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni sanitarie protette elettroniche o in luoghi in cui è possibile accedervi.

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
164.308 (a) (3) ii) (A) (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni sanitarie protette elettroniche o in luoghi in cui è possibile accedervi.

s3-bucket-logging-enabled

La registrazione degli accessi al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
164.308 (a) (3) ii) (A) (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni sanitarie protette elettroniche o in luoghi in cui è possibile accedervi.

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP diretto e proveniente dalle interfacce di rete nel cloud virtuale Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita, il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
164.308 (a) (3) ii) (A) (A) Autorizzazione e/o supervisione (indirizzabile). Implementare procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni sanitarie protette elettroniche o in luoghi in cui è possibile accedervi.

ricerca elastica - logs-to-cloud watch

Garantire Amazon OpenSearch I domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su Amazon CloudWatch Registri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
164.308 (a) (3) ii) (B) B) Procedura di sdoganamento della forza lavoro (indirizzabile). Implementare procedure per determinare che l'accesso di un membro della forza lavoro alle informazioni sanitarie protette elettroniche è appropriato.

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. A questo proposito, il KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
164.308 (a) (3) ii) (B) B) Procedura di sdoganamento della forza lavoro (indirizzabile). Implementare procedure per determinare che l'accesso di un membro della forza lavoro alle informazioni sanitarie protette elettroniche è appropriato.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
164.308 (a) (3) ii) (B) B) Procedura di sdoganamento della forza lavoro (indirizzabile). Implementare procedure per determinare che l'accesso di un membro della forza lavoro alle informazioni sanitarie protette elettroniche è appropriato.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia l'utilizzo delle policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
164.308 (a) (3) ii) (B) B) Procedura di sdoganamento della forza lavoro (indirizzabile). Implementare procedure per determinare che l'accesso di un membro della forza lavoro alle informazioni sanitarie protette elettroniche è appropriato.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Operazione» :"*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
164.308 (a) (3) ii) (B) B) Procedura di sdoganamento della forza lavoro (indirizzabile). Implementare procedure per determinare che l'accesso di un membro della forza lavoro alle informazioni sanitarie protette elettroniche è appropriato.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
164.308 (a) (3) ii) (B) B) Procedura di sdoganamento della forza lavoro (indirizzabile). Implementare procedure per determinare che l'accesso di un membro della forza lavoro alle informazioni sanitarie protette elettroniche è appropriato.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano associate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
164.308 (a) (3) ii) (B) B) Procedura di sdoganamento della forza lavoro (indirizzabile). Implementare procedure per determinare che l'accesso di un membro della forza lavoro alle informazioni sanitarie protette elettroniche è appropriato.

s3-bucket-policy-grantee-check

Gestisci l'accesso al cloud AWS abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 è limitato da qualsiasi principale di AWS, dagli utenti federati, dai principali dei servizi, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti dall'utente.
164.308 (a) (3) ii) (B) B) Procedura di sdoganamento della forza lavoro (indirizzabile). Implementare procedure per determinare che l'accesso di un membro della forza lavoro alle informazioni sanitarie protette elettroniche è appropriato.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
164.308 (a) (3) ii) (B) B) Procedura di sdoganamento della forza lavoro (indirizzabile). Implementare procedure per determinare che l'accesso di un membro della forza lavoro alle informazioni sanitarie protette elettroniche è appropriato.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
164.308 (a) (3) ii) (B) B) Procedura di sdoganamento della forza lavoro (indirizzabile). Implementare procedure per determinare che l'accesso di un membro della forza lavoro alle informazioni sanitarie protette elettroniche è appropriato.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non permettere l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse consente di limitare l'accesso remoto.
164.308 (a) (3) ii) (B) B) Procedura di sdoganamento della forza lavoro (indirizzabile). Implementare procedure per determinare che l'accesso di un membro della forza lavoro alle informazioni sanitarie protette elettroniche è appropriato.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
164.308 (a) (3) ii) (B) B) Procedura di sdoganamento della forza lavoro (indirizzabile). Implementare procedure per determinare che l'accesso di un membro della forza lavoro alle informazioni sanitarie protette elettroniche è appropriato.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
164.308 (a) (4) (i) (4) i) Standard: Gestione dell'accesso alle informazioni. Implementare politiche e procedure per autorizzare l'accesso alle informazioni sanitarie protette elettroniche coerenti con i requisiti applicabili del capitolo E di questa parte.

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. A questo proposito, il KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
164.308 (a) (4) (i) (4) i) Standard: Gestione dell'accesso alle informazioni. Implementare politiche e procedure per autorizzare l'accesso alle informazioni sanitarie protette elettroniche coerenti con i requisiti applicabili del capitolo E di questa parte.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
164.308 (a) (4) (i) (4) i) Standard: Gestione dell'accesso alle informazioni. Implementare politiche e procedure per autorizzare l'accesso alle informazioni sanitarie protette elettroniche coerenti con i requisiti applicabili del capitolo E di questa parte.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia l'utilizzo delle policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
164.308 (a) (4) (i) (4) i) Standard: Gestione dell'accesso alle informazioni. Implementare politiche e procedure per autorizzare l'accesso alle informazioni sanitarie protette elettroniche coerenti con i requisiti applicabili del capitolo E di questa parte.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Operazione» :"*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
164.308 (a) (4) (i) (4) i) Standard: Gestione dell'accesso alle informazioni. Implementare politiche e procedure per autorizzare l'accesso alle informazioni sanitarie protette elettroniche coerenti con i requisiti applicabili del capitolo E di questa parte.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
164.308 (a) (4) (i) (4) i) Standard: Gestione dell'accesso alle informazioni. Implementare politiche e procedure per autorizzare l'accesso alle informazioni sanitarie protette elettroniche coerenti con i requisiti applicabili del capitolo E di questa parte.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano associate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
164.308 (a) (4) (i) (4) i) Standard: Gestione dell'accesso alle informazioni. Implementare politiche e procedure per autorizzare l'accesso alle informazioni sanitarie protette elettroniche coerenti con i requisiti applicabili del capitolo E di questa parte.

s3-bucket-policy-grantee-check

Gestisci l'accesso al cloud AWS abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 è limitato da qualsiasi principale di AWS, dagli utenti federati, dai principali dei servizi, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti dall'utente.
164.308 (a) (4) (i) (4) i) Standard: Gestione dell'accesso alle informazioni. Implementare politiche e procedure per autorizzare l'accesso alle informazioni sanitarie protette elettroniche coerenti con i requisiti applicabili del capitolo E di questa parte.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
164.308 (a) (4) (i) (4) i) Standard: Gestione dell'accesso alle informazioni. Implementare politiche e procedure per autorizzare l'accesso alle informazioni sanitarie protette elettroniche coerenti con i requisiti applicabili del capitolo E di questa parte.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
164.308 (a) (4) (i) (4) i) Standard: Gestione dell'accesso alle informazioni. Implementare politiche e procedure per autorizzare l'accesso alle informazioni sanitarie protette elettroniche coerenti con i requisiti applicabili del capitolo E di questa parte.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non permettere l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse consente di limitare l'accesso remoto.
164.308 (a) (4) (i) (4) i) Standard: Gestione dell'accesso alle informazioni. Implementare politiche e procedure per autorizzare l'accesso alle informazioni sanitarie protette elettroniche coerenti con i requisiti applicabili del capitolo E di questa parte.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
164.308 (a) (4) ii) (A) (A) Isolamento delle funzioni di pulizia dell'assistenza sanitaria (obbligatorio). Se una casa di compensazione sanitaria fa parte di un'organizzazione più ampia, la camera di compensazione deve attuare politiche e procedure che proteggano le informazioni sanitarie protette elettroniche della camera di compensazione dall'accesso non autorizzato da parte dell'organizzazione più grande.

ec2-imdsv2 - controllo

Verifica che il metodo IMDSv2 (Instance Metadata Service Version 2) è abilitato per proteggere l'accesso e il controllo dei metadati dell'istanza Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati su sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze.
164.308 (a) (4) ii) (A) (A) Isolamento delle funzioni di pulizia dell'assistenza sanitaria (obbligatorio). Se una casa di compensazione sanitaria fa parte di un'organizzazione più ampia, la camera di compensazione deve attuare politiche e procedure che proteggano le informazioni sanitarie protette elettroniche della camera di compensazione dall'accesso non autorizzato da parte dell'organizzazione più grande.

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. A questo proposito, il KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
164.308 (a) (4) ii) (A) (A) Isolamento delle funzioni di pulizia dell'assistenza sanitaria (obbligatorio). Se una casa di compensazione sanitaria fa parte di un'organizzazione più ampia, la camera di compensazione deve attuare politiche e procedure che proteggano le informazioni sanitarie protette elettroniche della camera di compensazione dall'accesso non autorizzato da parte dell'organizzazione più grande.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
164.308 (a) (4) ii) (A) (A) Isolamento delle funzioni di pulizia dell'assistenza sanitaria (obbligatorio). Se una casa di compensazione sanitaria fa parte di un'organizzazione più ampia, la camera di compensazione deve attuare politiche e procedure che proteggano le informazioni sanitarie protette elettroniche della camera di compensazione dall'accesso non autorizzato da parte dell'organizzazione più grande.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia l'utilizzo delle policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
164.308 (a) (4) ii) (A) (A) Isolamento delle funzioni di pulizia dell'assistenza sanitaria (obbligatorio). Se una casa di compensazione sanitaria fa parte di un'organizzazione più ampia, la camera di compensazione deve attuare politiche e procedure che proteggano le informazioni sanitarie protette elettroniche della camera di compensazione dall'accesso non autorizzato da parte dell'organizzazione più grande.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Operazione» :"*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
164.308 (a) (4) ii) (A) (A) Isolamento delle funzioni di pulizia dell'assistenza sanitaria (obbligatorio). Se una casa di compensazione sanitaria fa parte di un'organizzazione più ampia, la camera di compensazione deve attuare politiche e procedure che proteggano le informazioni sanitarie protette elettroniche della camera di compensazione dall'accesso non autorizzato da parte dell'organizzazione più grande.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
164.308 (a) (4) ii) (A) (A) Isolamento delle funzioni di pulizia dell'assistenza sanitaria (obbligatorio). Se una casa di compensazione sanitaria fa parte di un'organizzazione più ampia, la camera di compensazione deve attuare politiche e procedure che proteggano le informazioni sanitarie protette elettroniche della camera di compensazione dall'accesso non autorizzato da parte dell'organizzazione più grande.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
164.308 (a) (4) ii) (A) (A) Isolamento delle funzioni di pulizia dell'assistenza sanitaria (obbligatorio). Se una casa di compensazione sanitaria fa parte di un'organizzazione più ampia, la camera di compensazione deve attuare politiche e procedure che proteggano le informazioni sanitarie protette elettroniche della camera di compensazione dall'accesso non autorizzato da parte dell'organizzazione più grande.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano associate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
164.308 (a) (4) ii) (A) (A) Isolamento delle funzioni di pulizia dell'assistenza sanitaria (obbligatorio). Se una casa di compensazione sanitaria fa parte di un'organizzazione più ampia, la camera di compensazione deve attuare politiche e procedure che proteggano le informazioni sanitarie protette elettroniche della camera di compensazione dall'accesso non autorizzato da parte dell'organizzazione più grande.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su MaxCredentialUsageAge (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
164.308 (a) (4) ii) (A) (A) Isolamento delle funzioni di pulizia dell'assistenza sanitaria (obbligatorio). Se una casa di compensazione sanitaria fa parte di un'organizzazione più ampia, la camera di compensazione deve attuare politiche e procedure che proteggano le informazioni sanitarie protette elettroniche della camera di compensazione dall'accesso non autorizzato da parte dell'organizzazione più grande.

s3-bucket-policy-grantee-check

Gestisci l'accesso al cloud AWS abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 è limitato da qualsiasi principale di AWS, dagli utenti federati, dai principali dei servizi, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti dall'utente.
164.308 (a) (4) ii) (A) (A) Isolamento delle funzioni di pulizia dell'assistenza sanitaria (obbligatorio). Se una casa di compensazione sanitaria fa parte di un'organizzazione più ampia, la camera di compensazione deve attuare politiche e procedure che proteggano le informazioni sanitarie protette elettroniche della camera di compensazione dall'accesso non autorizzato da parte dell'organizzazione più grande.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
164.308 (a) (4) ii) (A) (A) Isolamento delle funzioni di pulizia dell'assistenza sanitaria (obbligatorio). Se una casa di compensazione sanitaria fa parte di un'organizzazione più ampia, la camera di compensazione deve attuare politiche e procedure che proteggano le informazioni sanitarie protette elettroniche della camera di compensazione dall'accesso non autorizzato da parte dell'organizzazione più grande.

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può aiutare con la gestione dei privilegi e delle autorizzazioni minimi.
164.308 (a) (4) ii) (A) (A) Isolamento delle funzioni di pulizia dell'assistenza sanitaria (obbligatorio). Se una casa di compensazione sanitaria fa parte di un'organizzazione più ampia, la camera di compensazione deve attuare politiche e procedure che proteggano le informazioni sanitarie protette elettroniche della camera di compensazione dall'accesso non autorizzato da parte dell'organizzazione più grande.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
164.308 (a) (4) ii) (A) (A) Isolamento delle funzioni di pulizia dell'assistenza sanitaria (obbligatorio). Se una casa di compensazione sanitaria fa parte di un'organizzazione più ampia, la camera di compensazione deve attuare politiche e procedure che proteggano le informazioni sanitarie protette elettroniche della camera di compensazione dall'accesso non autorizzato da parte dell'organizzazione più grande.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
164.308 (a) (4) ii) (A) (A) Isolamento delle funzioni di pulizia dell'assistenza sanitaria (obbligatorio). Se una casa di compensazione sanitaria fa parte di un'organizzazione più ampia, la camera di compensazione deve attuare politiche e procedure che proteggano le informazioni sanitarie protette elettroniche della camera di compensazione dall'accesso non autorizzato da parte dell'organizzazione più grande.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
164.308 (a) (4) ii) (A) (A) Isolamento delle funzioni di pulizia dell'assistenza sanitaria (obbligatorio). Se una casa di compensazione sanitaria fa parte di un'organizzazione più ampia, la camera di compensazione deve attuare politiche e procedure che proteggano le informazioni sanitarie protette elettroniche della camera di compensazione dall'accesso non autorizzato da parte dell'organizzazione più grande.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando Amazon OpenSearch I domini di servizio (OpenSearch Service) sono all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un record OpenSearch Il dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Servizi e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
164.308 (a) (4) ii) (A) (A) Isolamento delle funzioni di pulizia dell'assistenza sanitaria (obbligatorio). Se una casa di compensazione sanitaria fa parte di un'organizzazione più ampia, la camera di compensazione deve attuare politiche e procedure che proteggano le informazioni sanitarie protette elettroniche della camera di compensazione dall'accesso non autorizzato da parte dell'organizzazione più grande.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
164.308 (a) (4) ii) (A) (A) Isolamento delle funzioni di pulizia dell'assistenza sanitaria (obbligatorio). Se una casa di compensazione sanitaria fa parte di un'organizzazione più ampia, la camera di compensazione deve attuare politiche e procedure che proteggano le informazioni sanitarie protette elettroniche della camera di compensazione dall'accesso non autorizzato da parte dell'organizzazione più grande.

ec2-instances-in-vpc

Distribuisci le istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un Internet gateway, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
164.308 (a) (4) ii) (A) (A) Isolamento delle funzioni di pulizia dell'assistenza sanitaria (obbligatorio). Se una casa di compensazione sanitaria fa parte di un'organizzazione più ampia, la camera di compensazione deve attuare politiche e procedure che proteggano le informazioni sanitarie protette elettroniche della camera di compensazione dall'accesso non autorizzato da parte dell'organizzazione più grande.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non possano essere accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
164.308 (a) (4) ii) (A) (A) Isolamento delle funzioni di pulizia dell'assistenza sanitaria (obbligatorio). Se una casa di compensazione sanitaria fa parte di un'organizzazione più ampia, la camera di compensazione deve attuare politiche e procedure che proteggano le informazioni sanitarie protette elettroniche della camera di compensazione dall'accesso non autorizzato da parte dell'organizzazione più grande.

lambda-inside-vpc

Utilizza le funzioni AWS Lambda in un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non è necessario disporre di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
164.308 (a) (4) ii) (A) (A) Isolamento delle funzioni di pulizia dell'assistenza sanitaria (obbligatorio). Se una casa di compensazione sanitaria fa parte di un'organizzazione più ampia, la camera di compensazione deve attuare politiche e procedure che proteggano le informazioni sanitarie protette elettroniche della camera di compensazione dall'accesso non autorizzato da parte dell'organizzazione più grande.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
164.308 (a) (4) ii) (A) (A) Isolamento delle funzioni di pulizia dell'assistenza sanitaria (obbligatorio). Se una casa di compensazione sanitaria fa parte di un'organizzazione più ampia, la camera di compensazione deve attuare politiche e procedure che proteggano le informazioni sanitarie protette elettroniche della camera di compensazione dall'accesso non autorizzato da parte dell'organizzazione più grande.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
164.308 (a) (4) ii) (A) (A) Isolamento delle funzioni di pulizia dell'assistenza sanitaria (obbligatorio). Se una casa di compensazione sanitaria fa parte di un'organizzazione più ampia, la camera di compensazione deve attuare politiche e procedure che proteggano le informazioni sanitarie protette elettroniche della camera di compensazione dall'accesso non autorizzato da parte dell'organizzazione più grande.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
164.308 (a) (4) ii) (A) (A) Isolamento delle funzioni di pulizia dell'assistenza sanitaria (obbligatorio). Se una casa di compensazione sanitaria fa parte di un'organizzazione più ampia, la camera di compensazione deve attuare politiche e procedure che proteggano le informazioni sanitarie protette elettroniche della camera di compensazione dall'accesso non autorizzato da parte dell'organizzazione più grande.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativa ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
164.308 (a) (4) ii) (A) (A) Isolamento delle funzioni di pulizia dell'assistenza sanitaria (obbligatorio). Se una casa di compensazione sanitaria fa parte di un'organizzazione più ampia, la camera di compensazione deve attuare politiche e procedure che proteggano le informazioni sanitarie protette elettroniche della camera di compensazione dall'accesso non autorizzato da parte dell'organizzazione più grande.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo agli utenti, ai processi e ai dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
164.308 (a) (4) ii) (A) (A) Isolamento delle funzioni di pulizia dell'assistenza sanitaria (obbligatorio). Se una casa di compensazione sanitaria fa parte di un'organizzazione più ampia, la camera di compensazione deve attuare politiche e procedure che proteggano le informazioni sanitarie protette elettroniche della camera di compensazione dall'accesso non autorizzato da parte dell'organizzazione più grande.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo agli utenti, ai processi e ai dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
164.308 (a) (4) ii) (A) (A) Isolamento delle funzioni di pulizia dell'assistenza sanitaria (obbligatorio). Se una casa di compensazione sanitaria fa parte di un'organizzazione più ampia, la camera di compensazione deve attuare politiche e procedure che proteggano le informazioni sanitarie protette elettroniche della camera di compensazione dall'accesso non autorizzato da parte dell'organizzazione più grande.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che Amazon SageMaker i notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
164.308 (a) (4) ii) (A) (A) Isolamento delle funzioni di pulizia dell'assistenza sanitaria (obbligatorio). Se una casa di compensazione sanitaria fa parte di un'organizzazione più ampia, la camera di compensazione deve attuare politiche e procedure che proteggano le informazioni sanitarie protette elettroniche della camera di compensazione dall'accesso non autorizzato da parte dell'organizzazione più grande.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
164.308 (a) (4) ii) (A) (A) Isolamento delle funzioni di pulizia dell'assistenza sanitaria (obbligatorio). Se una casa di compensazione sanitaria fa parte di un'organizzazione più ampia, la camera di compensazione deve attuare politiche e procedure che proteggano le informazioni sanitarie protette elettroniche della camera di compensazione dall'accesso non autorizzato da parte dell'organizzazione più grande.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
164.308 (a) (4) ii) (A) (A) Isolamento delle funzioni di pulizia dell'assistenza sanitaria (obbligatorio). Se una casa di compensazione sanitaria fa parte di un'organizzazione più ampia, la camera di compensazione deve attuare politiche e procedure che proteggano le informazioni sanitarie protette elettroniche della camera di compensazione dall'accesso non autorizzato da parte dell'organizzazione più grande.

ecs-task-definition-user-per-host-mode check

Se una definizione di attività ha privilegi elevati, è perché il cliente ha specificamente optato per tali configurazioni. Questo controllo verifica la presenza di un'escalation imprevista dei privilegi quando una definizione di attività ha abilitato la rete host ma il cliente non ha optato per privilegi elevati.
164.308 (a) (4) ii) (A) (A) Isolamento delle funzioni di pulizia dell'assistenza sanitaria (obbligatorio). Se una casa di compensazione sanitaria fa parte di un'organizzazione più ampia, la camera di compensazione deve attuare politiche e procedure che proteggano le informazioni sanitarie protette elettroniche della camera di compensazione dall'accesso non autorizzato da parte dell'organizzazione più grande.

codebuild-project-envvar-awscred-check

Assicurati che le credenziali di autenticazione AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY non esistano negli ambienti di progetto AWS Codebuild. Non memorizzare queste variabili in testo chiaro. La memorizzazione di queste variabili in testo non crittografato comporta l'esposizione non intenzionale dei dati e l'accesso non autorizzato.
164.308 (a) (4) ii) (A) (A) Isolamento delle funzioni di pulizia dell'assistenza sanitaria (obbligatorio). Se una casa di compensazione sanitaria fa parte di un'organizzazione più ampia, la camera di compensazione deve attuare politiche e procedure che proteggano le informazioni sanitarie protette elettroniche della camera di compensazione dall'accesso non autorizzato da parte dell'organizzazione più grande.

codebuild-project-source-repo-url-check

Garantire la GitHub o l'URL del repository di origine Bitbucket non contiene token di accesso personali, nome utente e password negli ambienti di progetto AWS Codebuild. Utilizzare OAuth anziché token di accesso personali o un nome utente e una password per concedere l'autorizzazione per accedere GitHub o repository Bitbucket.
164.308 (a) (4) ii) (A) (A) Isolamento delle funzioni di pulizia dell'assistenza sanitaria (obbligatorio). Se una casa di compensazione sanitaria fa parte di un'organizzazione più ampia, la camera di compensazione deve attuare politiche e procedure che proteggano le informazioni sanitarie protette elettroniche della camera di compensazione dall'accesso non autorizzato da parte dell'organizzazione più grande.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
164.308 (a) (4) ii) (A) (A) Isolamento delle funzioni di pulizia dell'assistenza sanitaria (obbligatorio). Se una casa di compensazione sanitaria fa parte di un'organizzazione più ampia, la camera di compensazione deve attuare politiche e procedure che proteggano le informazioni sanitarie protette elettroniche della camera di compensazione dall'accesso non autorizzato da parte dell'organizzazione più grande.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non permettere l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse consente di limitare l'accesso remoto.
164.308 (a) (4) ii) (A) (A) Isolamento delle funzioni di pulizia dell'assistenza sanitaria (obbligatorio). Se una casa di compensazione sanitaria fa parte di un'organizzazione più ampia, la camera di compensazione deve attuare politiche e procedure che proteggano le informazioni sanitarie protette elettroniche della camera di compensazione dall'accesso non autorizzato da parte dell'organizzazione più grande.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
164.308 (a) (4) ii) (A) (A) Isolamento delle funzioni di pulizia dell'assistenza sanitaria (obbligatorio). Se una casa di compensazione sanitaria fa parte di un'organizzazione più ampia, la camera di compensazione deve attuare politiche e procedure che proteggano le informazioni sanitarie protette elettroniche della camera di compensazione dall'accesso non autorizzato da parte dell'organizzazione più grande.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
164.308 (a) (4) ii) (B) (B) Autorizzazione di accesso (indirizzabile). Implementare policy e procedure per la concessione dell'accesso a informazioni sanitarie protette elettroniche, ad esempio tramite l'accesso a una workstation, una transazione, un programma, un processo o altro meccanismo.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
164.308 (a) (4) ii) (B) (B) Autorizzazione di accesso (indirizzabile). Implementare policy e procedure per la concessione dell'accesso a informazioni sanitarie protette elettroniche, ad esempio tramite l'accesso a una workstation, una transazione, un programma, un processo o altro meccanismo.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
164.308 (a) (4) ii) (B) (B) Autorizzazione di accesso (indirizzabile). Implementare policy e procedure per la concessione dell'accesso a informazioni sanitarie protette elettroniche, ad esempio tramite l'accesso a una workstation, una transazione, un programma, un processo o altro meccanismo.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Operazione» :"*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
164.308 (a) (4) ii) (B) (B) Autorizzazione di accesso (indirizzabile). Implementare policy e procedure per la concessione dell'accesso a informazioni sanitarie protette elettroniche, ad esempio tramite l'accesso a una workstation, una transazione, un programma, un processo o altro meccanismo.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano associate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
164.308 (a) (4) ii) (B) (B) Autorizzazione di accesso (indirizzabile). Implementare policy e procedure per la concessione dell'accesso a informazioni sanitarie protette elettroniche, ad esempio tramite l'accesso a una workstation, una transazione, un programma, un processo o altro meccanismo.

access-keys-rotated

Le credenziali vengono controllate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo i criteri organizzativi. La modifica delle chiavi di accesso con una pianificazione regolare è una procedura consigliata per la sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
164.308 (a) (4) ii) (B) (B) Autorizzazione di accesso (indirizzabile). Implementare policy e procedure per la concessione dell'accesso a informazioni sanitarie protette elettroniche, ad esempio tramite l'accesso a una workstation, una transazione, un programma, un processo o altro meccanismo.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
164.308 (a) (4) ii) (B) (B) Autorizzazione di accesso (indirizzabile). Implementare policy e procedure per la concessione dell'accesso a informazioni sanitarie protette elettroniche, ad esempio tramite l'accesso a una workstation, una transazione, un programma, un processo o altro meccanismo.

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativa RequireUppercaseCharacters (Valore AWS Foundational Security Best Practices: true), RequireLowercaseCharacters (Valore AWS Foundational Security Best Practices: true), RequireSymbols (Valore AWS Foundational Security Best Practices: true), RequireNumbers (Valore AWS Foundational Security Best Practices: true), MinimumPasswordLength (Valore AWS Foundational Security Best Practices), PasswordReusePrevention (valore delle best practice per la sicurezza di AWS Foundational: 24) e MaxPasswordAge (Valore Best Practices di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
164.308 (a) (4) ii) (B) (B) Autorizzazione di accesso (indirizzabile). Implementare policy e procedure per la concessione dell'accesso a informazioni sanitarie protette elettroniche, ad esempio tramite l'accesso a una workstation, una transazione, un programma, un processo o altro meccanismo.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su MaxCredentialUsageAge (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
164.308 (a) (4) ii) (B) (B) Autorizzazione di accesso (indirizzabile). Implementare policy e procedure per la concessione dell'accesso a informazioni sanitarie protette elettroniche, ad esempio tramite l'accesso a una workstation, una transazione, un programma, un processo o altro meccanismo.

secretsmanager-rotation-enabled-check

Questa regola assicura che i segreti di AWS Secrets Manager abbiano abilitato la rotazione. La rotazione dei segreti in base a un programma regolare può ridurre il periodo di attività di un segreto e potenzialmente ridurre l'impatto aziendale se il segreto viene compromesso.
164.308 (a) (4) ii) (B) (B) Autorizzazione di accesso (indirizzabile). Implementare policy e procedure per la concessione dell'accesso a informazioni sanitarie protette elettroniche, ad esempio tramite l'accesso a una workstation, una transazione, un programma, un processo o altro meccanismo.

secretsmanager-scheduled-rotation-success-check

Questa regola garantisce che i segreti di AWS Secrets Manager siano stati ruotati correttamente in base al programma di rotazione. La rotazione dei segreti in base a un programma regolare può ridurre il periodo in cui un segreto è attivo e potenzialmente ridurre l'impatto aziendale se viene compromesso.
164.308 (a) (4) ii) (B) (B) Autorizzazione di accesso (indirizzabile). Implementare policy e procedure per la concessione dell'accesso a informazioni sanitarie protette elettroniche, ad esempio tramite l'accesso a una workstation, una transazione, un programma, un processo o altro meccanismo.

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. A questo proposito, il KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
164.308 (a) (4) ii) (B) (B) Autorizzazione di accesso (indirizzabile). Implementare policy e procedure per la concessione dell'accesso a informazioni sanitarie protette elettroniche, ad esempio tramite l'accesso a una workstation, una transazione, un programma, un processo o altro meccanismo.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia l'utilizzo delle policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
164.308 (a) (4) ii) (B) (B) Autorizzazione di accesso (indirizzabile). Implementare policy e procedure per la concessione dell'accesso a informazioni sanitarie protette elettroniche, ad esempio tramite l'accesso a una workstation, una transazione, un programma, un processo o altro meccanismo.

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
164.308 (a) (4) ii) (B) (B) Autorizzazione di accesso (indirizzabile). Implementare policy e procedure per la concessione dell'accesso a informazioni sanitarie protette elettroniche, ad esempio tramite l'accesso a una workstation, una transazione, un programma, un processo o altro meccanismo.

s3-bucket-policy-grantee-check

Gestisci l'accesso al cloud AWS abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 è limitato da qualsiasi principale di AWS, dagli utenti federati, dai principali dei servizi, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti dall'utente.
164.308 (a) (4) ii) (B) (B) Autorizzazione di accesso (indirizzabile). Implementare policy e procedure per la concessione dell'accesso a informazioni sanitarie protette elettroniche, ad esempio tramite l'accesso a una workstation, una transazione, un programma, un processo o altro meccanismo.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
164.308 (a) (4) ii) (B) (B) Autorizzazione di accesso (indirizzabile). Implementare policy e procedure per la concessione dell'accesso a informazioni sanitarie protette elettroniche, ad esempio tramite l'accesso a una workstation, una transazione, un programma, un processo o altro meccanismo.

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può aiutare con la gestione dei privilegi e delle autorizzazioni minimi.
164.308 (a) (4) ii) (B) (B) Autorizzazione di accesso (indirizzabile). Implementare policy e procedure per la concessione dell'accesso a informazioni sanitarie protette elettroniche, ad esempio tramite l'accesso a una workstation, una transazione, un programma, un processo o altro meccanismo.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
164.308 (a) (4) ii) (B) (B) Autorizzazione di accesso (indirizzabile). Implementare policy e procedure per la concessione dell'accesso a informazioni sanitarie protette elettroniche, ad esempio tramite l'accesso a una workstation, una transazione, un programma, un processo o altro meccanismo.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non permettere l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse consente di limitare l'accesso remoto.
164.308 (a) (4) ii) (B) (B) Autorizzazione di accesso (indirizzabile). Implementare policy e procedure per la concessione dell'accesso a informazioni sanitarie protette elettroniche, ad esempio tramite l'accesso a una workstation, una transazione, un programma, un processo o altro meccanismo.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
164.308 (a) (4) ii) (B) (B) Autorizzazione di accesso (indirizzabile). Implementare policy e procedure per la concessione dell'accesso a informazioni sanitarie protette elettroniche, ad esempio tramite l'accesso a una workstation, una transazione, un programma, un processo o altro meccanismo.

secretsmanager-segreto-rotazione periodica

Questa regola garantisce che i segreti di AWS Secrets Manager siano stati ruotati nel numero di giorni specificato negli ultimi giorni. Cambiare segreti in base a un programma regolare è una best practice per la sicurezza. Riduce il periodo in cui un segreto è attivo e riduce l'impatto aziendale in caso di compromissione di un segreto. (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
164.308 (a) (4) ii) (B) (B) Autorizzazione di accesso (indirizzabile). Implementare policy e procedure per la concessione dell'accesso a informazioni sanitarie protette elettroniche, ad esempio tramite l'accesso a una workstation, una transazione, un programma, un processo o altro meccanismo.

secretsmanager-segreto-inutilizzato

Questa regola garantisce l'accesso ai segreti di AWS Secrets Manager entro un determinato numero di giorni. Se vengono identificati questi segreti inutilizzati, è necessario disattivarli e/o rimuoverli, poiché ciò potrebbe violare il principio del privilegio minimo. (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

ec2-imdsv2 - controllo

Verifica che il metodo IMDSv2 (Instance Metadata Service Version 2) è abilitato per proteggere l'accesso e il controllo dei metadati dell'istanza Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati su sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia l'utilizzo delle policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Operazione» :"*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano associate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su MaxCredentialUsageAge (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

s3-bucket-policy-grantee-check

Gestisci l'accesso al cloud AWS abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 è limitato da qualsiasi principale di AWS, dagli utenti federati, dai principali dei servizi, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti dall'utente.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può aiutare con la gestione dei privilegi e delle autorizzazioni minimi.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando Amazon OpenSearch I domini di servizio (OpenSearch Service) sono all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un record OpenSearch Il dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Servizi e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

ec2-instances-in-vpc

Distribuisci le istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un Internet gateway, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non possano essere accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

lambda-inside-vpc

Utilizza le funzioni AWS Lambda in un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non è necessario disporre di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativa ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo agli utenti, ai processi e ai dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo agli utenti, ai processi e ai dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che Amazon SageMaker i notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

ecs-task-definition-user-per-host-mode check

Se una definizione di attività ha privilegi elevati, è perché il cliente ha specificamente optato per tali configurazioni. Questo controllo verifica la presenza di un'escalation imprevista dei privilegi quando una definizione di attività ha abilitato la rete host ma il cliente non ha optato per privilegi elevati.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

codebuild-project-envvar-awscred-check

Assicurati che le credenziali di autenticazione AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY non esistano negli ambienti di progetto AWS Codebuild. Non memorizzare queste variabili in testo chiaro. La memorizzazione di queste variabili in testo non crittografato comporta l'esposizione non intenzionale dei dati e l'accesso non autorizzato.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

codebuild-project-source-repo-url-check

Garantire la GitHub o l'URL del repository di origine Bitbucket non contiene token di accesso personali, nome utente e password negli ambienti di progetto AWS Codebuild. Utilizzare OAuth anziché token di accesso personali o un nome utente e una password per concedere l'autorizzazione per accedere GitHub o repository Bitbucket.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non permettere l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse consente di limitare l'accesso remoto.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
164.308 (a) (4) ii) (C) (C) Istituzione e modifica dell'accesso (indirizzabile). Implementa criteri e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità, stabiliscono, documentano, esaminano e modificano il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.

secretsmanager-segreto-inutilizzato

Questa regola garantisce l'accesso ai segreti di AWS Secrets Manager entro un determinato numero di giorni. Se vengono identificati questi segreti inutilizzati, è necessario disattivarli e/o rimuoverli, poiché ciò potrebbe violare il principio del privilegio minimo. (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
164.308 (a) (5) (i) (5) (i) Standard: Conoscenza e formazione sulla sicurezza. Implementare un programma di sensibilizzazione e formazione sulla sicurezza per tutti i membri della sua forza lavoro (inclusa la gestione). il programma di sensibilizzazione della sicurezza esiste (controllo del processo) Stabilisci e gestisci un programma di sensibilizzazione sulla sicurezza per la tua organizzazione I programmi di sensibilizzazione sulla sicurezza educano i dipendenti su come proteggere la propria organizzazione da varie violazioni o incidenti della sicurezza.
164.308 (a) (5) ii) (A) (A) Promemoria di sicurezza (indirizzabile). Aggiornamenti di sicurezza periodici.

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutare con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
164.308 (a) (5) ii) (A) (A) Promemoria di sicurezza (indirizzabile). Aggiornamenti di sicurezza periodici.

elastic-beanstalk-managed-updates-enabled

L'abilitazione degli aggiornamenti della piattaforma gestita per un ambiente Amazon Elastic Beanstalk garantisce l'installazione delle più recenti correzioni, aggiornamenti e funzionalità della piattaforma disponibili per l'ambiente. Mantenersi aggiornati con l'installazione delle patch è una buona pratica nella protezione dei sistemi.
164.308 (a) (5) ii) (A) (A) Promemoria di sicurezza (indirizzabile). Aggiornamenti di sicurezza periodici.

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. Nello specifico, hanno finestre di manutenzione preferite e periodi di conservazione automatica delle istantanee per il database. Questa regola richiede di impostare allowVersionUpgrade. Il valore predefinito è true. Consente inoltre di impostare facoltativamente preferredMaintenanceWindow (il valore predefinito è sat: 16:00 -sat: 16:30) e automatedSnapshotRetentionPeriod (il valore predefinito è 1). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
164.308 (a) (5) ii) (A) (A) Promemoria di sicurezza (indirizzabile). Aggiornamenti di sicurezza periodici.

rds-automatic-minor-version-upgrade abilitato

Abilita gli aggiornamenti automatici delle versioni secondarie sulle istanze di Amazon Relational Database Service (RDS) per garantire che siano installati gli ultimi aggiornamenti della versione secondaria del Relational Database Management System (RDBMS), che possono includere patch di sicurezza e correzioni di bug.
164.308 (a) (5) ii) (B) (B) Protezione da software dannoso (indirizzabile). Procedure per la protezione, il rilevamento e la segnalazione di software dannoso.

ec2-instance-managed-by-systems-manager

Un inventario delle piattaforme software e delle applicazioni nell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
164.308 (a) (5) ii) (B) (B) Protezione da software dannoso (indirizzabile). Procedure per la protezione, il rilevamento e la segnalazione di software dannoso.

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
164.308 (a) (5) ii) (B) (B) Protezione da software dannoso (indirizzabile). Procedure per la protezione, il rilevamento e la segnalazione di software dannoso.

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutare con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
164.308 (a) (5) ii) (C) (C) Monitoraggio dell'accesso (indirizzabile). Procedure per il monitoraggio dei tentativi di accesso e di segnalazione delle discrepanze.

guardduty-enabled-centralized

Amazon GuardDuty può aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS.
164.308 (a) (5) ii) (C) (C) Monitoraggio dell'accesso (indirizzabile). Procedure per il monitoraggio dei tentativi di accesso e di segnalazione delle discrepanze.

cloudtrail-enabled

AWS CloudTrail può aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWS CloudTrail Contenuto dei record.
164.308 (a) (5) ii) (C) (C) Monitoraggio dell'accesso (indirizzabile). Procedure per il monitoraggio dei tentativi di accesso e di segnalazione delle discrepanze.

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
164.308 (a) (5) ii) (D) (D) Gestione password (indirizzabile). Procedure per la creazione, la modifica e la salvaguardia delle password.

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativa RequireUppercaseCharacters (Valore AWS Foundational Security Best Practices: true), RequireLowercaseCharacters (Valore AWS Foundational Security Best Practices: true), RequireSymbols (Valore AWS Foundational Security Best Practices: true), RequireNumbers (Valore AWS Foundational Security Best Practices: true), MinimumPasswordLength (Valore AWS Foundational Security Best Practices), PasswordReusePrevention (valore delle best practice per la sicurezza di AWS Foundational: 24) e MaxPasswordAge (Valore Best Practices di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
164.308 (a) (6) punto ii) ii) Specifiche di implementazione: Risposta e reporting (obbligatorio). Identificare e rispondere a incidenti di sicurezza sospetti o noti, attenuare, nella misura possibile, gli effetti dannosi degli incidenti di sicurezza noti all'entità interessata e documentare gli incidenti di sicurezza e i loro risultati. response-plan-exists-manutenuto (controllo del processo) Assicurarsi che i piani di risposta agli incidenti siano stabiliti, mantenuti e distribuiti al personale responsabile.
164.308 (a) (6) punto ii) ii) Specifiche di implementazione: Risposta e reporting (obbligatorio). Identificare e rispondere a incidenti di sicurezza sospetti o noti, attenuare, nella misura possibile, gli effetti dannosi degli incidenti di sicurezza noti all'entità interessata e documentare gli incidenti di sicurezza e i loro risultati.

guardduty-enabled-centralized

Amazon GuardDuty può aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS.
164.308 (a) (7) (i) (7) (i) Standard: Piano di emergenza. Stabilire (e implementare secondo necessità) politiche e procedure per rispondere a un'emergenza o ad altri eventi (ad esempio incendi, atti vandalici, guasti del sistema e disastri naturali) che danneggiano i sistemi che contengono informazioni sanitarie protette elettroniche.

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling utilizza il servizio AWS Application Auto Scaling per regolare la capacità di throughput assegnata che risponde in modo automatico ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura/scrittura assegnata per gestire improvvisi aumenti di traffico, senza throttling.
164.308 (a) (7) (i) (7) (i) Standard: Piano di emergenza. Stabilire (e implementare secondo necessità) politiche e procedure per rispondere a un'emergenza o ad altri eventi (ad esempio incendi, atti vandalici, guasti del sistema e disastri naturali) che danneggiano i sistemi che contengono informazioni sanitarie protette elettroniche.

elb-cross-zone-load-balancing-abilitato

Abilita il bilanciamento del carico tra zone per i tuoi Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il sistema di bilanciamento del carico tra zone riduce la necessità di mantenere un numero equivalente di istanze in ciascuna zona di disponibilità abilitata. Migliora inoltre la capacità dell'applicazione di gestire la perdita di una o più istanze.
164.308 (a) (7) (i) (7) (i) Standard: Piano di emergenza. Stabilire (e implementare secondo necessità) politiche e procedure per rispondere a un'emergenza o ad altri eventi (ad esempio incendi, atti vandalici, guasti del sistema e disastri naturali) che danneggiano i sistemi che contengono informazioni sanitarie protette elettroniche.

elb-deletion-protection-enabled

Questa regola garantisce che Elastic Load Balancing abbia la protezione da eliminazione abilitata. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni.
164.308 (a) (7) (i) (7) (i) Standard: Piano di emergenza. Stabilire (e implementare secondo necessità) politiche e procedure per rispondere a un'emergenza o ad altri eventi (ad esempio incendi, atti vandalici, guasti del sistema e disastri naturali) che danneggiano i sistemi che contengono informazioni sanitarie protette elettroniche.

rds-instance-deletion-protection-enabled

Assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) abbiano abilitato la protezione contro l'eliminazione. Utilizza la protezione dall'eliminazione per evitare che le tue istanze Amazon RDS vengano cancellate accidentalmente o dannosamente, il che può comportare una perdita di disponibilità per le tue applicazioni.
164.308 (a) (7) (i) (7) (i) Standard: Piano di emergenza. Stabilire (e implementare secondo necessità) politiche e procedure per rispondere a un'emergenza o ad altri eventi (ad esempio incendi, atti vandalici, guasti del sistema e disastri naturali) che danneggiano i sistemi che contengono informazioni sanitarie protette elettroniche.

rds-multi-az-support

Il supporto Multi-AZ in Amazon Relational Database Service (Amazon RDS) fornisce disponibilità e durata migliorate per le istanze di database. Quando esegui il provisioning di un'istanza di database Multi-AZ, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati in un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura fisica, distinta e indipendente ed è progettata in modo da essere altamente affidabile. In caso di guasto all'infrastruttura, Amazon RDS esegue un failover automatico sullo standby in modo da poter riprendere le operazioni del database non appena il failover è stato completato.
164.308 (a) (7) (i) (7) (i) Standard: Piano di emergenza. Stabilire (e implementare secondo necessità) politiche e procedure per rispondere a un'emergenza o ad altri eventi (ad esempio incendi, atti vandalici, guasti del sistema e disastri naturali) che danneggiano i sistemi che contengono informazioni sanitarie protette elettroniche.

vpc-vpn-2-tunnels-up

Possono essere implementati tunnel Site-to-Site VPN per ottenere requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso una delle connessioni Site-to-Site VPN sia disponibile. Per evitare la perdita di connettività, nel caso in cui il gateway del cliente non sia disponibile, puoi configurare una seconda connessione Site-to-Site VPN al Amazon Virtual Private Cloud (Amazon VPC) e al gateway virtuale privato utilizzando un secondo gateway del cliente.
164.308 (a) (7) (i) (7) (i) Standard: Piano di emergenza. Stabilire (e implementare secondo necessità) politiche e procedure per rispondere a un'emergenza o ad altri eventi (ad esempio incendi, atti vandalici, guasti del sistema e disastri naturali) che danneggiano i sistemi che contengono informazioni sanitarie protette elettroniche.

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea automaticamente uno snapshot dei volumi di storage dell'istanza database, eseguendo il backup dell'intera istanza database. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
164.308 (a) (7) (i) (7) (i) Standard: Piano di emergenza. Stabilire (e implementare secondo necessità) politiche e procedure per rispondere a un'emergenza o ad altri eventi (ad esempio incendi, atti vandalici, guasti del sistema e disastri naturali) che danneggiano i sistemi che contengono informazioni sanitarie protette elettroniche.

dynamic odb-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di rispondere ai requisiti di conformità aziendali e normativi sui backup.
164.308 (a) (7) (i) (7) (i) Standard: Piano di emergenza. Stabilire (e implementare secondo necessità) politiche e procedure per rispondere a un'emergenza o ad altri eventi (ad esempio incendi, atti vandalici, guasti del sistema e disastri naturali) che danneggiano i sistemi che contengono informazioni sanitarie protette elettroniche.

dynamodb-pitr-enabled

Abilitare questa regola per verificare che le informazioni siano state eseguite il backup. Mantiene inoltre i backup garantendo che point-in-time Il ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
164.308 (a) (7) (i) (7) (i) Standard: Piano di emergenza. Stabilire (e implementare secondo necessità) politiche e procedure per rispondere a un'emergenza o ad altri eventi (ad esempio incendi, atti vandalici, guasti del sistema e disastri naturali) che danneggiano i sistemi che contengono informazioni sanitarie protette elettroniche.

ebs-in-backup-plan

Per aiutarti con i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di rispondere ai requisiti di conformità aziendali e normativi sui backup.
164.308 (a) (7) (i) (7) (i) Standard: Piano di emergenza. Stabilire (e implementare secondo necessità) politiche e procedure per rispondere a un'emergenza o ad altri eventi (ad esempio incendi, atti vandalici, guasti del sistema e disastri naturali) che danneggiano i sistemi che contengono informazioni sanitarie protette elettroniche.

ebs-optimized-instance

Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) fornisce capacità aggiuntiva dedicata per le operazioni di I/O Amazon EBS. Questa ottimizzazione fornisce le prestazioni più efficienti per i volumi EBS, riducendo al minimo i conflitti tra le operazioni di I/O Amazon EBS e l'altro traffico proveniente dall'istanza.
164.308 (a) (7) (i) (7) (i) Standard: Piano di emergenza. Stabilire (e implementare secondo necessità) politiche e procedure per rispondere a un'emergenza o ad altri eventi (ad esempio incendi, atti vandalici, guasti del sistema e disastri naturali) che danneggiano i sistemi che contengono informazioni sanitarie protette elettroniche.

efs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di rispondere ai requisiti di conformità aziendali e normativi sui backup.
164.308 (a) (7) (i) (7) (i) Standard: Piano di emergenza. Stabilire (e implementare secondo necessità) politiche e procedure per rispondere a un'emergenza o ad altri eventi (ad esempio incendi, atti vandalici, guasti del sistema e disastri naturali) che danneggiano i sistemi che contengono informazioni sanitarie protette elettroniche.

elasticache-redis-cluster-automatic-backup-check

Quando i backup automatici sono abilitati, Amazon ElastiCache crea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. In caso di esito negativo, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente.
164.308 (a) (7) (i) (7) (i) Standard: Piano di emergenza. Stabilire (e implementare secondo necessità) politiche e procedure per rispondere a un'emergenza o ad altri eventi (ad esempio incendi, atti vandalici, guasti del sistema e disastri naturali) che danneggiano i sistemi che contengono informazioni sanitarie protette elettroniche.

rds-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le istanze Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di rispondere ai requisiti di conformità aziendali e normativi sui backup.
164.308 (a) (7) (i) (7) (i) Standard: Piano di emergenza. Stabilire (e implementare secondo necessità) politiche e procedure per rispondere a un'emergenza o ad altri eventi (ad esempio incendi, atti vandalici, guasti del sistema e disastri naturali) che danneggiano i sistemi che contengono informazioni sanitarie protette elettroniche.

redshift-backup-enabled

Per aiutarti con i processi di backup dei dati, assicurati che i tuoi cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB di modifiche dei dati per nodo, a seconda di quale evento si verifica prima.
164.308 (a) (7) (i) (7) (i) Standard: Piano di emergenza. Stabilire (e implementare secondo necessità) politiche e procedure per rispondere a un'emergenza o ad altri eventi (ad esempio incendi, atti vandalici, guasti del sistema e disastri naturali) che danneggiano i sistemi che contengono informazioni sanitarie protette elettroniche.

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
164.308 (a) (7) (i) (7) (i) Standard: Piano di emergenza. Stabilire (e implementare secondo necessità) politiche e procedure per rispondere a un'emergenza o ad altri eventi (ad esempio incendi, atti vandalici, guasti del sistema e disastri naturali) che danneggiano i sistemi che contengono informazioni sanitarie protette elettroniche.

s3-bucket-versioning-enabled

Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa questa funzione per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni consente il semplice recupero dopo operazioni involontarie dell'utente e guasti dell'applicazione.
164.308 (a) (7) ii) (A) (A) Piano di backup dei dati (obbligatorio). Stabilire e implementare procedure per creare e mantenere copie esatte recuperabili di informazioni sanitarie protette elettroniche.

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea automaticamente uno snapshot dei volumi di storage dell'istanza database, eseguendo il backup dell'intera istanza database. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
164.308 (a) (7) ii) (A) (A) Piano di backup dei dati (obbligatorio). Stabilire e implementare procedure per creare e mantenere copie esatte recuperabili di informazioni sanitarie protette elettroniche.

dynamic odb-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di rispondere ai requisiti di conformità aziendali e normativi sui backup.
164.308 (a) (7) ii) (A) (A) Piano di backup dei dati (obbligatorio). Stabilire e implementare procedure per creare e mantenere copie esatte recuperabili di informazioni sanitarie protette elettroniche.

dynamodb-pitr-enabled

Abilitare questa regola per verificare che le informazioni siano state eseguite il backup. Mantiene inoltre i backup garantendo che point-in-time Il ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
164.308 (a) (7) ii) (A) (A) Piano di backup dei dati (obbligatorio). Stabilire e implementare procedure per creare e mantenere copie esatte recuperabili di informazioni sanitarie protette elettroniche.

ebs-in-backup-plan

Per aiutarti con i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di rispondere ai requisiti di conformità aziendali e normativi sui backup.
164.308 (a) (7) ii) (A) (A) Piano di backup dei dati (obbligatorio). Stabilire e implementare procedure per creare e mantenere copie esatte recuperabili di informazioni sanitarie protette elettroniche.

efs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di rispondere ai requisiti di conformità aziendali e normativi sui backup.
164.308 (a) (7) ii) (A) (A) Piano di backup dei dati (obbligatorio). Stabilire e implementare procedure per creare e mantenere copie esatte recuperabili di informazioni sanitarie protette elettroniche.

elasticache-redis-cluster-automatic-backup-check

Quando i backup automatici sono abilitati, Amazon ElastiCache crea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. In caso di esito negativo, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente.
164.308 (a) (7) ii) (A) (A) Piano di backup dei dati (obbligatorio). Stabilire e implementare procedure per creare e mantenere copie esatte recuperabili di informazioni sanitarie protette elettroniche.

rds-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le istanze Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di rispondere ai requisiti di conformità aziendali e normativi sui backup.
164.308 (a) (7) ii) (A) (A) Piano di backup dei dati (obbligatorio). Stabilire e implementare procedure per creare e mantenere copie esatte recuperabili di informazioni sanitarie protette elettroniche.

redshift-backup-enabled

Per aiutarti con i processi di backup dei dati, assicurati che i tuoi cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB di modifiche dei dati per nodo, a seconda di quale evento si verifica prima.
164.308 (a) (7) ii) (A) (A) Piano di backup dei dati (obbligatorio). Stabilire e implementare procedure per creare e mantenere copie esatte recuperabili di informazioni sanitarie protette elettroniche.

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
164.308 (a) (7) ii) (A) (A) Piano di backup dei dati (obbligatorio). Stabilire e implementare procedure per creare e mantenere copie esatte recuperabili di informazioni sanitarie protette elettroniche.

s3-bucket-versioning-enabled

Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa questa funzione per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni consente il semplice recupero dopo operazioni involontarie dell'utente e guasti dell'applicazione.
164.308 (a) (7) ii) (A) (A) Piano di backup dei dati (obbligatorio). Stabilire e implementare procedure per creare e mantenere copie esatte recuperabili di informazioni sanitarie protette elettroniche.

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. Nello specifico, hanno finestre di manutenzione preferite e periodi di conservazione automatica delle istantanee per il database. Questa regola richiede di impostare allowVersionUpgrade. Il valore predefinito è true. Consente inoltre di impostare facoltativamente preferredMaintenanceWindow (il valore predefinito è sat: 16:00 -sat: 16:30) e automatedSnapshotRetentionPeriod (il valore predefinito è 1). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
164.308 (a) (7) ii) (B) (B) Piano di ripristino di emergenza (obbligatorio). Stabilire (e implementare secondo necessità) procedure per ripristinare qualsiasi perdita di dati.

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea automaticamente uno snapshot dei volumi di storage dell'istanza database, eseguendo il backup dell'intera istanza database. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
164.308 (a) (7) ii) (B) (B) Piano di ripristino di emergenza (obbligatorio). Stabilire (e implementare secondo necessità) procedure per ripristinare qualsiasi perdita di dati.

dynamic odb-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
164.308 (a) (7) ii) (B) (B) Piano di ripristino di emergenza (obbligatorio). Stabilire (e implementare secondo necessità) procedure per ripristinare qualsiasi perdita di dati.

dynamodb-pitr-enabled

Abilitare questa regola per verificare che le informazioni siano state eseguite il backup. Mantiene inoltre i backup garantendo che point-in-time Il ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
164.308 (a) (7) ii) (B) (B) Piano di ripristino di emergenza (obbligatorio). Stabilire (e implementare secondo necessità) procedure per ripristinare qualsiasi perdita di dati.

ebs-in-backup-plan

Per aiutarti con i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
164.308 (a) (7) ii) (B) (B) Piano di ripristino di emergenza (obbligatorio). Stabilire (e implementare secondo necessità) procedure per ripristinare qualsiasi perdita di dati.

efs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
164.308 (a) (7) ii) (B) (B) Piano di ripristino di emergenza (obbligatorio). Stabilire (e implementare secondo necessità) procedure per ripristinare qualsiasi perdita di dati.

elasticache-redis-cluster-automatic-backup-check

Quando i backup automatici sono abilitati, Amazon ElastiCache crea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. In caso di esito negativo, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente.
164.308 (a) (7) ii) (B) (B) Piano di ripristino di emergenza (obbligatorio). Stabilire (e implementare secondo necessità) procedure per ripristinare qualsiasi perdita di dati.

rds-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le istanze Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
164.308 (a) (7) ii) (B) (B) Piano di ripristino di emergenza (obbligatorio). Stabilire (e implementare secondo necessità) procedure per ripristinare qualsiasi perdita di dati.

redshift-backup-enabled

Per aiutarti con i processi di backup dei dati, assicurati che i tuoi cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB di modifiche dei dati per nodo, a seconda di quale evento si verifica prima.
164.308 (a) (7) ii) (B) (B) Piano di ripristino di emergenza (obbligatorio). Stabilire (e implementare secondo necessità) procedure per ripristinare qualsiasi perdita di dati.

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. Il CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
164.308 (a) (7) ii) (B) (B) Piano di ripristino di emergenza (obbligatorio). Stabilire (e implementare secondo necessità) procedure per ripristinare qualsiasi perdita di dati.

s3-bucket-versioning-enabled

Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa questa funzione per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni consente il semplice recupero dopo operazioni involontarie dell'utente e guasti dell'applicazione.
164.308 (a) (7) ii) (C) (C) Piano operativo in modalità di emergenza (obbligatorio). Stabilire (e implementare secondo necessità) procedure per consentire la continuazione dei processi aziendali critici per la protezione della sicurezza delle informazioni sanitarie protette elettroniche durante il funzionamento in modalità di emergenza.

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling utilizza il servizio AWS Application Auto Scaling per regolare la capacità di throughput assegnata che risponde in modo automatico ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura/scrittura assegnata per gestire improvvisi aumenti di traffico, senza throttling.
164.308 (a) (7) ii) (C) (C) Piano operativo in modalità di emergenza (obbligatorio). Stabilire (e implementare secondo necessità) procedure per consentire la continuazione dei processi aziendali critici per la protezione della sicurezza delle informazioni sanitarie protette elettroniche durante il funzionamento in modalità di emergenza.

elb-cross-zone-load-balancing-abilitato

Abilita il bilanciamento del carico tra zone per i tuoi Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il sistema di bilanciamento del carico tra zone riduce la necessità di mantenere un numero equivalente di istanze in ciascuna zona di disponibilità abilitata. Migliora inoltre la capacità dell'applicazione di gestire la perdita di una o più istanze.
164.308 (a) (7) ii) (C) (C) Piano operativo in modalità di emergenza (obbligatorio). Stabilire (e implementare secondo necessità) procedure per consentire la continuazione dei processi aziendali critici per la protezione della sicurezza delle informazioni sanitarie protette elettroniche durante il funzionamento in modalità di emergenza.

elb-deletion-protection-enabled

Questa regola garantisce che Elastic Load Balancing abbia la protezione da eliminazione abilitata. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni.
164.308 (a) (7) ii) (C) (C) Piano operativo in modalità di emergenza (obbligatorio). Stabilire (e implementare secondo necessità) procedure per consentire la continuazione dei processi aziendali critici per la protezione della sicurezza delle informazioni sanitarie protette elettroniche durante il funzionamento in modalità di emergenza.

rds-instance-deletion-protection-enabled

Assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) abbiano abilitato la protezione contro l'eliminazione. Utilizza la protezione dall'eliminazione per evitare che le tue istanze Amazon RDS vengano cancellate accidentalmente o dannosamente, il che può comportare una perdita di disponibilità per le tue applicazioni.
164.308 (a) (7) ii) (C) (C) Piano operativo in modalità di emergenza (obbligatorio). Stabilire (e implementare secondo necessità) procedure per consentire la continuazione dei processi aziendali critici per la protezione della sicurezza delle informazioni sanitarie protette elettroniche durante il funzionamento in modalità di emergenza.

rds-multi-az-support

Il supporto Multi-AZ in Amazon Relational Database Service (Amazon RDS) fornisce disponibilità e durata migliorate per le istanze di database. Quando esegui il provisioning di un'istanza di database Multi-AZ, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati in un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura fisica, distinta e indipendente ed è progettata in modo da essere altamente affidabile. In caso di guasto all'infrastruttura, Amazon RDS esegue un failover automatico sullo standby in modo da poter riprendere le operazioni del database non appena il failover è stato completato.
164.308 (a) (7) ii) (C) (C) Piano operativo in modalità di emergenza (obbligatorio). Stabilire (e implementare secondo necessità) procedure per consentire la continuazione dei processi aziendali critici per la protezione della sicurezza delle informazioni sanitarie protette elettroniche durante il funzionamento in modalità di emergenza.

vpc-vpn-2-tunnels-up

Possono essere implementati tunnel Site-to-Site VPN per ottenere requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso una delle connessioni Site-to-Site VPN sia disponibile. Per evitare la perdita di connettività, nel caso in cui il gateway del cliente non sia disponibile, puoi configurare una seconda connessione Site-to-Site VPN al Amazon Virtual Private Cloud (Amazon VPC) e al gateway virtuale privato utilizzando un secondo gateway del cliente.
164.308 (a) (7) ii) (D) (D) Procedure di test e revisione (indirizzabili). Implementare procedure per i test periodici e la revisione dei piani di emergenza. response-plan-tested (Controllo processo) Assicurati che i piani di risposta agli incidenti e ripristino siano testati. Ciò può aiutare a capire se il piano sarà efficace durante un incidente e se è necessario risolvere eventuali lacune o aggiornamenti.
164.312 (a) (1) a) (1) Standard: Controllo degli accessi Implementare politiche e procedure tecniche per i sistemi informativi elettronici che conservano informazioni sanitarie protette elettroniche per consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi diritti di accesso come specificato al 164.308 (a) (4).

ec2-imdsv2 - controllo

Verifica che il metodo IMDSv2 (Instance Metadata Service Version 2) è abilitato per proteggere l'accesso e il controllo dei metadati dell'istanza Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati su sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze.
164.312 (a) (1) a) (1) Standard: Controllo degli accessi Implementare politiche e procedure tecniche per i sistemi informativi elettronici che conservano informazioni sanitarie protette elettroniche per consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi diritti di accesso come specificato al 164.308 (a) (4).

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
164.312 (a) (1) a) (1) Standard: Controllo degli accessi Implementare politiche e procedure tecniche per i sistemi informativi elettronici che conservano informazioni sanitarie protette elettroniche per consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi diritti di accesso come specificato al 164.308 (a) (4).

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
164.312 (a) (1) a) (1) Standard: Controllo degli accessi Implementare politiche e procedure tecniche per i sistemi informativi elettronici che conservano informazioni sanitarie protette elettroniche per consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi diritti di accesso come specificato al 164.308 (a) (4).

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia l'utilizzo delle policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
164.312 (a) (1) a) (1) Standard: Controllo degli accessi Implementare politiche e procedure tecniche per i sistemi informativi elettronici che conservano informazioni sanitarie protette elettroniche per consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi diritti di accesso come specificato al 164.308 (a) (4).

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Operazione» :"*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
164.312 (a) (1) a) (1) Standard: Controllo degli accessi Implementare politiche e procedure tecniche per i sistemi informativi elettronici che conservano informazioni sanitarie protette elettroniche per consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi diritti di accesso come specificato al 164.308 (a) (4).

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
164.312 (a) (1) a) (1) Standard: Controllo degli accessi Implementare politiche e procedure tecniche per i sistemi informativi elettronici che conservano informazioni sanitarie protette elettroniche per consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi diritti di accesso come specificato al 164.308 (a) (4).

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
164.312 (a) (1) a) (1) Standard: Controllo degli accessi Implementare politiche e procedure tecniche per i sistemi informativi elettronici che conservano informazioni sanitarie protette elettroniche per consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi diritti di accesso come specificato al 164.308 (a) (4).

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
164.312 (a) (1) a) (1) Standard: Controllo degli accessi Implementare politiche e procedure tecniche per i sistemi informativi elettronici che conservano informazioni sanitarie protette elettroniche per consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi diritti di accesso come specificato al 164.308 (a) (4).

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su MaxCredentialUsageAge (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
164.312 (a) (1) a) (1) Standard: Controllo degli accessi Implementare politiche e procedure tecniche per i sistemi informativi elettronici che conservano informazioni sanitarie protette elettroniche per consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi diritti di accesso come specificato al 164.308 (a) (4).

s3-bucket-policy-grantee-check

Gestisci l'accesso al cloud AWS abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 è limitato da qualsiasi principale di AWS, dagli utenti federati, dai principali dei servizi, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti dall'utente.
164.312 (a) (1) a) (1) Standard: Controllo degli accessi Implementare politiche e procedure tecniche per i sistemi informativi elettronici che conservano informazioni sanitarie protette elettroniche per consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi diritti di accesso come specificato al 164.308 (a) (4).

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
164.312 (a) (1) a) (1) Standard: Controllo degli accessi Implementare politiche e procedure tecniche per i sistemi informativi elettronici che conservano informazioni sanitarie protette elettroniche per consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi diritti di accesso come specificato al 164.308 (a) (4).

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può aiutare con la gestione dei privilegi e delle autorizzazioni minimi.
164.312 (a) (1) a) (1) Standard: Controllo degli accessi Implementare politiche e procedure tecniche per i sistemi informativi elettronici che conservano informazioni sanitarie protette elettroniche per consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi diritti di accesso come specificato al 164.308 (a) (4).

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
164.312 (a) (1) a) (1) Standard: Controllo degli accessi Implementare politiche e procedure tecniche per i sistemi informativi elettronici che conservano informazioni sanitarie protette elettroniche per consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi diritti di accesso come specificato al 164.308 (a) (4).

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
164.312 (a) (1) a) (1) Standard: Controllo degli accessi Implementare politiche e procedure tecniche per i sistemi informativi elettronici che conservano informazioni sanitarie protette elettroniche per consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi diritti di accesso come specificato al 164.308 (a) (4).

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
164.312 (a) (1) a) (1) Standard: Controllo degli accessi Implementare politiche e procedure tecniche per i sistemi informativi elettronici che conservano informazioni sanitarie protette elettroniche per consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi diritti di accesso come specificato al 164.308 (a) (4).

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando Amazon OpenSearch I domini di servizio (OpenSearch Service) sono all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un record OpenSearch Il dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Servizi e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
164.312 (a) (1) a) (1) Standard: Controllo degli accessi Implementare politiche e procedure tecniche per i sistemi informativi elettronici che conservano informazioni sanitarie protette elettroniche per consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi diritti di accesso come specificato al 164.308 (a) (4).

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
164.312 (a) (1) a) (1) Standard: Controllo degli accessi Implementare politiche e procedure tecniche per i sistemi informativi elettronici che conservano informazioni sanitarie protette elettroniche per consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi diritti di accesso come specificato al 164.308 (a) (4).

ec2-instances-in-vpc

Distribuisci le istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un Internet gateway, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
164.312 (a) (1) a) (1) Standard: Controllo degli accessi Implementare politiche e procedure tecniche per i sistemi informativi elettronici che conservano informazioni sanitarie protette elettroniche per consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi diritti di accesso come specificato al 164.308 (a) (4).

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non possano essere accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
164.312 (a) (1) a) (1) Standard: Controllo degli accessi Implementare politiche e procedure tecniche per i sistemi informativi elettronici che conservano informazioni sanitarie protette elettroniche per consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi diritti di accesso come specificato al 164.308 (a) (4).

lambda-inside-vpc

Utilizza le funzioni AWS Lambda in un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non è necessario disporre di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
164.312 (a) (1) a) (1) Standard: Controllo degli accessi Implementare politiche e procedure tecniche per i sistemi informativi elettronici che conservano informazioni sanitarie protette elettroniche per consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi diritti di accesso come specificato al 164.308 (a) (4).

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
164.312 (a) (1) a) (1) Standard: Controllo degli accessi Implementare politiche e procedure tecniche per i sistemi informativi elettronici che conservano informazioni sanitarie protette elettroniche per consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi diritti di accesso come specificato al 164.308 (a) (4).

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
164.312 (a) (1) a) (1) Standard: Controllo degli accessi Implementare politiche e procedure tecniche per i sistemi informativi elettronici che conservano informazioni sanitarie protette elettroniche per consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi diritti di accesso come specificato al 164.308 (a) (4).

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
164.312 (a) (1) a) (1) Standard: Controllo degli accessi Implementare politiche e procedure tecniche per i sistemi informativi elettronici che conservano informazioni sanitarie protette elettroniche per consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi diritti di accesso come specificato al 164.308 (a) (4).

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativa ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
164.312 (a) (1) a) (1) Standard: Controllo degli accessi Implementare politiche e procedure tecniche per i sistemi informativi elettronici che conservano informazioni sanitarie protette elettroniche per consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi diritti di accesso come specificato al 164.308 (a) (4).

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo agli utenti, ai processi e ai dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
164.312 (a) (1) a) (1) Standard: Controllo degli accessi Implementare politiche e procedure tecniche per i sistemi informativi elettronici che conservano informazioni sanitarie protette elettroniche per consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi diritti di accesso come specificato al 164.308 (a) (4).

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo agli utenti, ai processi e ai dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
164.312 (a) (1) a) (1) Standard: Controllo degli accessi Implementare politiche e procedure tecniche per i sistemi informativi elettronici che conservano informazioni sanitarie protette elettroniche per consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi diritti di accesso come specificato al 164.308 (a) (4).

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che Amazon SageMaker i notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
164.312 (a) (1) a) (1) Standard: Controllo degli accessi Implementare politiche e procedure tecniche per i sistemi informativi elettronici che conservano informazioni sanitarie protette elettroniche per consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi diritti di accesso come specificato al 164.308 (a) (4).

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
164.312 (a) (1) a) (1) Standard: Controllo degli accessi Implementare politiche e procedure tecniche per i sistemi informativi elettronici che conservano informazioni sanitarie protette elettroniche per consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi diritti di accesso come specificato al 164.308 (a) (4).

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
164.312 (a) (1) a) (1) Standard: Controllo degli accessi Implementare politiche e procedure tecniche per i sistemi informativi elettronici che conservano informazioni sanitarie protette elettroniche per consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi diritti di accesso come specificato al 164.308 (a) (4).

ecs-task-definition-user-per-host-mode check

Se una definizione di attività ha privilegi elevati, è perché il cliente ha specificamente optato per tali configurazioni. Questo controllo verifica la presenza di un'escalation imprevista dei privilegi quando una definizione di attività ha abilitato la rete host ma il cliente non ha optato per privilegi elevati.
164.312 (a) (1) a) (1) Standard: Controllo degli accessi Implementare politiche e procedure tecniche per i sistemi informativi elettronici che conservano informazioni sanitarie protette elettroniche per consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi diritti di accesso come specificato al 164.308 (a) (4).

codebuild-project-envvar-awscred-check

Assicurati che le credenziali di autenticazione AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY non esistano negli ambienti di progetto AWS Codebuild. Non memorizzare queste variabili in testo chiaro. La memorizzazione di queste variabili in testo non crittografato comporta l'esposizione non intenzionale dei dati e l'accesso non autorizzato.
164.312 (a) (1) a) (1) Standard: Controllo degli accessi Implementare politiche e procedure tecniche per i sistemi informativi elettronici che conservano informazioni sanitarie protette elettroniche per consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi diritti di accesso come specificato al 164.308 (a) (4).

codebuild-project-source-repo-url-check

Garantire la GitHub o l'URL del repository di origine Bitbucket non contiene token di accesso personali, nome utente e password negli ambienti di progetto AWS Codebuild. Utilizzare OAuth anziché token di accesso personali o un nome utente e una password per concedere l'autorizzazione per accedere GitHub o repository Bitbucket.
164.312 (a) (1) a) (1) Standard: Controllo degli accessi Implementare politiche e procedure tecniche per i sistemi informativi elettronici che conservano informazioni sanitarie protette elettroniche per consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi diritti di accesso come specificato al 164.308 (a) (4).

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
164.312 (a) (1) a) (1) Standard: Controllo degli accessi Implementare politiche e procedure tecniche per i sistemi informativi elettronici che conservano informazioni sanitarie protette elettroniche per consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi diritti di accesso come specificato al 164.308 (a) (4).

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non permettere l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse consente di limitare l'accesso remoto.
164.312 (a) (1) a) (1) Standard: Controllo degli accessi Implementare politiche e procedure tecniche per i sistemi informativi elettronici che conservano informazioni sanitarie protette elettroniche per consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi diritti di accesso come specificato al 164.308 (a) (4).

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
164.312 (a) (1) a) (1) Standard: Controllo degli accessi Implementare politiche e procedure tecniche per i sistemi informativi elettronici che conservano informazioni sanitarie protette elettroniche per consentire l'accesso solo alle persone o ai programmi software a cui sono stati concessi diritti di accesso come specificato al 164.308 (a) (4).

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
164.312 (a) (2) (i) (2) Specifiche di implementazione: (i) Identificazione univoca dell'utente (obbligatorio). Assegnare un nome e/o un numero univoci per identificare e monitorare l'identità dell'utente.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
164.312 (a) (2) (iv) (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie protette elettroniche.

alb-http-drop-invalid-header-enabled

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati per eliminare le intestazioni http. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
164.312 (a) (2) (iv) (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie protette elettroniche.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
164.312 (a) (2) (iv) (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie protette elettroniche.

api-gw-cache-enabled-and-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per la cache della fase API Gateway. Poiché i dati sensibili possono essere acquisiti per il metodo API, abilitare la crittografia a riposo per proteggere tali dati.
164.312 (a) (2) (iv) (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie protette elettroniche.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
164.312 (a) (2) (iv) (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie protette elettroniche.

cloud-trail-encryption-enabled

Poiché potrebbero esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo AWS CloudTrail sentieri.
164.312 (a) (2) (iv) (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie protette elettroniche.

cloudwatch-log-group-encrypted

Per proteggere i dati sensibili a riposo, assicurati che la crittografia sia abilitata per il tuo Amazon CloudWatch Gruppi di log.
164.312 (a) (2) (iv) (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie protette elettroniche.

dynamodb-table-encrypted-kms

Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Poiché i dati sensibili possono esistere a riposo in queste tabelle, abilitare la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con una chiave master cliente di proprietà AWS (CMK).
164.312 (a) (2) (iv) (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie protette elettroniche.

ec2-ebs-encryption-by-default

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati.
164.312 (a) (2) (iv) (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie protette elettroniche.

efs-encrypted-check

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo Amazon Elastic File System (EFS).
164.312 (a) (2) (iv) (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie protette elettroniche.

elasticsearch-encrypted-at-rest

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per Amazon OpenSearch Domini di servizio (OpenSearch Service).
164.312 (a) (2) (iv) (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie protette elettroniche.

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantire node-to-node Amazon encryption OpenSearch Il servizio è abilitato. La crittografia da nodo a nodo abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
164.312 (a) (2) (iv) (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie protette elettroniche.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
164.312 (a) (2) (iv) (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie protette elettroniche.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
164.312 (a) (2) (iv) (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie protette elettroniche.

encrypted-volumes

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia è abilitata per i volumi Amazon Elastic Block Store (Amazon EBS).
164.312 (a) (2) (iv) (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie protette elettroniche.

rds-snapshot-encrypted

Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
164.312 (a) (2) (iv) (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie protette elettroniche.

rds-storage-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati.
164.312 (a) (2) (iv) (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie protette elettroniche.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore per clusterDbEncrypted (Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
164.312 (a) (2) (iv) (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie protette elettroniche.

redshift-cluster-kms-enabled

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il cluster Amazon Redshift. Poiché i dati sensibili possono esistere a riposo nei cluster Redshift, abilitare la crittografia a riposo per proteggere tali dati.
164.312 (a) (2) (iv) (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie protette elettroniche.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
164.312 (a) (2) (iv) (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie protette elettroniche.

S3-bucket-server-side-encryption-enabled

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati.
164.312 (a) (2) (iv) (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie protette elettroniche.

s3-bucket-ssl-requests-only

Per proteggere i dati durante il transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) impongono l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
164.312 (a) (2) (iv) (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie protette elettroniche.

s3-default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo in un bucket Amazon S3, abilitare la crittografia a riposo per proteggere tali dati.
164.312 (a) (2) (iv) (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie protette elettroniche.

sagemaker-endpoint-configuration-kms-key-configured

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il SageMaker endpoint. Perché i dati sensibili possono esistere a riposo SageMaker endpoint, abilita la crittografia a riposo per proteggere tali dati.
164.312 (a) (2) (iv) (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie protette elettroniche.

sagemaker-notebook-instance-kms-key-configurato

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il SageMaker notebook. Perché i dati sensibili possono esistere a riposo SageMaker notebook, abilita la crittografia a riposo per proteggere tali dati.
164.312 (a) (2) (iv) (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie protette elettroniche.

sns-encrypted-kms

Per proteggere i dati a riposo, assicurati che gli argomenti Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Poiché i dati sensibili possono esistere a riposo nei messaggi pubblicati, abilitare la crittografia a riposo per proteggere tali dati.
164.312 (a) (2) (iv) (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie protette elettroniche.

secretsmanager-using-cmk

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per i segreti AWS Secrets Manager. Poiché i dati sensibili possono esistere a riposo nei segreti di Secrets Manager, abilitare la crittografia a riposo per proteggere tali dati.
164.312 (a) (2) (iv) (iv) Crittografia e decrittografia (indirizzabile). Implementa un meccanismo per crittografare e decrittografare le informazioni sanitarie protette elettroniche.

elbv2-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
164.312 (b) (b) Standard: Controlli di auditing Implementare hardware, software e/o meccanismi procedurali che registrano ed esaminano l'attività nei sistemi informativi che contengono o utilizzano informazioni sanitarie protette elettroniche.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
164.312 (b) (b) Standard: Controlli di auditing Implementare hardware, software e/o meccanismi procedurali che registrano ed esaminano l'attività nei sistemi informativi che contengono o utilizzano informazioni sanitarie protette elettroniche.

autoscaling-group-elb-healthcheck-required

I controlli di integrità Elastic Load Balancer Compute Cloud (Amazon EC2) per i gruppi Auto Scaling di Amazon Elastic Compute Cloud (Amazon EC2) supportano la manutenzione di capacità e disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ping, effettua tentativi di connessione o invia richieste per testare l'integrità delle istanze Amazon EC2 in un gruppo di auto-scaling. Se un'istanza non viene segnalata, il traffico viene inviato a una nuova istanza Amazon EC2.
164.312 (b) (b) Standard: Controlli di auditing. Implementare hardware, software e/o meccanismi procedurali che registrano ed esaminano l'attività nei sistemi informativi che contengono o utilizzano informazioni sanitarie protette elettroniche.

beanstalk-potenziato-health reporting-abilitato

Il reporting avanzato dello stato AWS Elastic Beanstalk consente una risposta più rapida ai cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione. Elastic Beanstalk migliorata segnalazione dello stato fornisce un descrittore di stato per valutare la gravità dei problemi identificati e identificare le possibili cause da indagare.
164.312 (b) (b) Standard: Controlli di auditing Implementare hardware, software e/o meccanismi procedurali che registrano ed esaminano l'attività nei sistemi informativi che contengono o utilizzano informazioni sanitarie protette elettroniche.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWS CloudTrail i dati forniscono i dettagli dell'attività delle chiamate API all'interno dell'account AWS.
164.312 (b) (b) Standard: Controlli di auditing Implementare hardware, software e/o meccanismi procedurali che registrano ed esaminano l'attività nei sistemi informativi che contengono o utilizzano informazioni sanitarie protette elettroniche.

cloudtrail-enabled

AWS CloudTrail può aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWS CloudTrail Contenuto dei record.
164.312 (b) (b) Standard: Controlli di auditing. Implementare hardware, software e/o meccanismi procedurali che registrano ed esaminano l'attività nei sistemi informativi che contengono o utilizzano informazioni sanitarie protette elettroniche.

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
164.312 (b) (b) Standard: Controlli di auditing. Implementare hardware, software e/o meccanismi procedurali che registrano ed esaminano l'attività nei sistemi informativi che contengono o utilizzano informazioni sanitarie protette elettroniche.

cloudwatch-alarm-action-check

Amazon CloudWatch avvisa gli allarmi quando una metrica supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Predefinito: True), insufficientDataActionRequired (Config Default: True), okActionRequired (Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
164.312 (b) (b) Standard: Controlli di auditing. Implementare hardware, software e/o meccanismi procedurali che registrano ed esaminano l'attività nei sistemi informativi che contengono o utilizzano informazioni sanitarie protette elettroniche.

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
164.312 (b) (b) Standard: Controlli di auditing. Implementare hardware, software e/o meccanismi procedurali che registrano ed esaminano l'attività nei sistemi informativi che contengono o utilizzano informazioni sanitarie protette elettroniche.

dynamodb-throughput-limit-check

Attiva questa regola per garantire che la capacità di throughput di provisioning sia controllata sulle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura/scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando il throughput si avvicina al limite massimo per l'account di un cliente. Questa regola consente di impostare facoltativamente i parametri accountRCUThresholdPercentage (Config Default: 80) e accountWCUThresholdPercentage (Config Default: 80). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
164.312 (b) (b) Standard: Controlli di auditing. Implementare hardware, software e/o meccanismi procedurali che registrano ed esaminano l'attività nei sistemi informativi che contengono o utilizzano informazioni sanitarie protette elettroniche.

ec2-instance-detailed-monitoring-enabled

Abilita questa regola per migliorare il monitoraggio dell'istanza Amazon Elastic Compute Cloud (Amazon EC2) nella console Amazon EC2, che visualizza grafici di monitoraggio relativi all'istanza a intervalli di 1 minuto.
164.312 (b) (b) Standard: Controlli di auditing. Implementare hardware, software e/o meccanismi procedurali che registrano ed esaminano l'attività nei sistemi informativi che contengono o utilizzano informazioni sanitarie protette elettroniche.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
164.312 (b) (b) Standard: Controlli di auditing. Implementare hardware, software e/o meccanismi procedurali che registrano ed esaminano l'attività nei sistemi informativi che contengono o utilizzano informazioni sanitarie protette elettroniche.

guardduty-enabled-centralized

Amazon GuardDuty può aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS.
164.312 (b) (b) Standard: Controlli di auditing. Implementare hardware, software e/o meccanismi procedurali che registrano ed esaminano l'attività nei sistemi informativi che contengono o utilizzano informazioni sanitarie protette elettroniche.

lambda-concurrency-check

Questa regola assicura che vengano stabiliti i limiti alti e bassi di concorrenza di una funzione Lambda. Ciò può aiutare a baseline del numero di richieste che la funzione sta elaborando in un dato momento.
164.312 (b) (b) Standard: Controlli di auditing. Implementare hardware, software e/o meccanismi procedurali che registrano ed esaminano l'attività nei sistemi informativi che contengono o utilizzano informazioni sanitarie protette elettroniche.

lambda-dlq-check

Abilita questa regola per informare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione ha fallito.
164.312 (b) (b) Standard: Controlli di auditing. Implementare hardware, software e/o meccanismi procedurali che registrano ed esaminano l'attività nei sistemi informativi che contengono o utilizzano informazioni sanitarie protette elettroniche.

abilitato per il cloudtrail basato su più regioni

AWS CloudTrail registra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTrail distribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione, CloudTrail creerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
164.312 (b) (b) Standard: Controlli di auditing. Implementare hardware, software e/o meccanismi procedurali che registrano ed esaminano l'attività nei sistemi informativi che contengono o utilizzano informazioni sanitarie protette elettroniche.

rds-enhanced-monitoring-enabled

È possibile utilizzare Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità Amazon RDS. Ciò fornisce una visibilità dettagliata dello stato delle istanze di database Amazon RDS. Quando lo storage Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ciascun dispositivo. Inoltre, quando l'istanza del database Amazon RDS è in esecuzione in una distribuzione Multi-AZ, vengono raccolti i dati per ciascun dispositivo sull'host secondario e le metriche dell'host secondario.
164.312 (b) (b) Standard: Controlli di auditing. Implementare hardware, software e/o meccanismi procedurali che registrano ed esaminano l'attività nei sistemi informativi che contengono o utilizzano informazioni sanitarie protette elettroniche.

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
164.312 (b) (b) Standard: Controlli di auditing. Implementare hardware, software e/o meccanismi procedurali che registrano ed esaminano l'attività nei sistemi informativi che contengono o utilizzano informazioni sanitarie protette elettroniche.

s3-bucket-logging-enabled

La registrazione degli accessi al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
164.312 (b) (b) Standard: Controlli di auditing. Implementare hardware, software e/o meccanismi procedurali che registrano ed esaminano l'attività nei sistemi informativi che contengono o utilizzano informazioni sanitarie protette elettroniche.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
164.312 (b) (b) Standard: Controlli di auditing. Implementare hardware, software e/o meccanismi procedurali che registrano ed esaminano l'attività nei sistemi informativi che contengono o utilizzano informazioni sanitarie protette elettroniche.

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP diretto e proveniente dalle interfacce di rete nel cloud virtuale Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita, il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
164.312 (b) (b) Standard: Controlli di auditing. Implementare hardware, software e/o meccanismi procedurali che registrano ed esaminano l'attività nei sistemi informativi che contengono o utilizzano informazioni sanitarie protette elettroniche.

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta.
164.312 (b) (b) Standard: Controlli di auditing. Implementare hardware, software e/o meccanismi procedurali che registrano ed esaminano l'attività nei sistemi informativi che contengono o utilizzano informazioni sanitarie protette elettroniche.

ricerca elastica - logs-to-cloud watch

Garantire Amazon OpenSearch I domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su Amazon CloudWatch Registri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
164.312 (b) (b) Standard: Controlli di auditing. Implementare hardware, software e/o meccanismi procedurali che registrano ed esaminano l'attività nei sistemi informativi che contengono o utilizzano informazioni sanitarie protette elettroniche.

guardduty-non-archived-findings

Amazon GuardDuty aiuta a comprendere l'impatto di un incidente classificando i risultati per gravità: bassa, media e alta. È possibile utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola permette l'impostazione facoltativa daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) e daysHighSev (Config Predefinito: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione.
164.312 (b) (b) Standard: Controlli di auditing. Implementare hardware, software e/o meccanismi procedurali che registrano ed esaminano l'attività nei sistemi informativi che contengono o utilizzano informazioni sanitarie protette elettroniche.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore per clusterDbEncrypted (Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
164.312 (b) (b) Standard: Controlli di auditing. Implementare hardware, software e/o meccanismi procedurali che registrano ed esaminano l'attività nei sistemi informativi che contengono o utilizzano informazioni sanitarie protette elettroniche.

api-gw-xray-enabled

AWS X-Ray raccoglie i dati sulle richieste gestite dall'applicazione e fornisce strumenti che puoi utilizzare per visualizzare, filtrare e analizzare i dati per identificare i problemi e le opportunità di ottimizzazione. Verifica che X-Ray è abilitato in modo da poter visualizzare informazioni dettagliate non solo sulla richiesta e sulla risposta, ma anche sulle chiamate che la tua applicazione effettua verso le risorse AWS, i microservizi, i database e le API Web HTTP a valle.
164.312 (c) (1) c) (1) Standard: Integrità. Implementare politiche e procedure per proteggere le informazioni sanitarie protette elettroniche da alterazioni o distruzione improprie.

s3-bucket-versioning-enabled

Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa questa funzione per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. La funzione versioni multiple consente il semplice recupero dopo errori dell'applicazione e operazioni non intenzionali dell'utente.
164.312 (c) (1) c) (1) Standard: Integrità. Implementare politiche e procedure per proteggere le informazioni sanitarie protette elettroniche da alterazioni o distruzione improprie.

cloud-trail-log-file-validation-enabled

Utilizzo di AWS CloudTrail convalida del file di log per verificare l'integrità di CloudTrail registri. La convalida del file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o invariato dopo CloudTrail l'ha consegnato Questa funzione è costruita utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende impossibile, a livello di programmazione, qualsiasi operazione di modifica, eliminazione o contraffazione CloudTrail file di log senza rilevamento.
164.312 (c) (2) (2) Specifiche di implementazione: Meccanismo per autenticare le informazioni sanitarie protette elettroniche (indirizzabili). Implementare meccanismi elettronici per confermare che le informazioni sanitarie protette elettroniche non siano state alterate o distrutte in modo non autorizzato.

cloud-trail-log-file-validation-enabled

Utilizzo di AWS CloudTrail convalida del file di log per verificare l'integrità di CloudTrail registri. La convalida del file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o invariato dopo CloudTrail l'ha consegnato Questa funzione è costruita utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende impossibile, a livello di programmazione, qualsiasi operazione di modifica, eliminazione o contraffazione CloudTrail file di log senza rilevamento.
164.312 (c) (2) (2) Specifiche di implementazione: Meccanismo per autenticare le informazioni sanitarie protette elettroniche (indirizzabili). Implementare meccanismi elettronici per confermare che le informazioni sanitarie protette elettroniche non siano state alterate o distrutte in modo non autorizzato.

S3-bucket-server-side-encryption-enabled

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati.
164.312 (c) (2) (2) Specifiche di implementazione: Meccanismo per autenticare le informazioni sanitarie protette elettroniche (indirizzabili). Implementare meccanismi elettronici per confermare che le informazioni sanitarie protette elettroniche non siano state alterate o distrutte in modo non autorizzato.

s3-bucket-ssl-requests-only

Per proteggere i dati durante il transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) impongono l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
164.312 (c) (2) (2) Specifiche di implementazione: Meccanismo per autenticare le informazioni sanitarie protette elettroniche (indirizzabili). Implementare meccanismi elettronici per confermare che le informazioni sanitarie protette elettroniche non siano state alterate o distrutte in modo non autorizzato.

s3-bucket-versioning-enabled

Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa questa funzione per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. La funzione versioni multiple consente il semplice recupero dopo errori dell'applicazione e operazioni non intenzionali dell'utente.
164.312 (d) (d) Standard: Autenticazione persona o entità. Implementare procedure per verificare che una persona o un'entità che chiede l'accesso a informazioni sanitarie protette elettroniche sia quella dichiarata.

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativa RequireUppercaseCharacters (Valore AWS Foundational Security Best Practices: true), RequireLowercaseCharacters (Valore AWS Foundational Security Best Practices: true), RequireSymbols (Valore AWS Foundational Security Best Practices: true), RequireNumbers (Valore AWS Foundational Security Best Practices: true), MinimumPasswordLength (Valore AWS Foundational Security Best Practices), PasswordReusePrevention (valore delle best practice per la sicurezza di AWS Foundational: 24) e MaxPasswordAge (Valore Best Practices di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
164.312 (d) (d) Standard: Autenticazione persona o entità. Implementare procedure per verificare che una persona o un'entità che chiede l'accesso a informazioni sanitarie protette elettroniche sia quella dichiarata.

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
164.312 (d) (d) Standard: Autenticazione persona o entità. Implementare procedure per verificare che una persona o un'entità che chiede l'accesso a informazioni sanitarie protette elettroniche sia quella dichiarata.

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
164.312 (d) (d) Standard: Autenticazione persona o entità. Implementare procedure per verificare che una persona o un'entità che chiede l'accesso a informazioni sanitarie protette elettroniche sia quella dichiarata.

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'account con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
164.312 (d) (d) Standard: Autenticazione persona o entità. Implementare procedure per verificare che una persona o un'entità che chiede l'accesso a informazioni sanitarie protette elettroniche sia quella dichiarata.

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'account con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
164.312 (e) (1) e) (1) Standard: Sicurezza di trasmissione. Implementare misure tecniche di sicurezza per evitare l'accesso non autorizzato alle informazioni sanitarie protette elettroniche che vengono trasmesse su una rete di comunicazioni elettroniche.

alb-http-drop-invalid-header-enabled

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati per eliminare le intestazioni http. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
164.312 (e) (1) e) (1) Standard: Sicurezza di trasmissione. Implementare misure tecniche di sicurezza per evitare l'accesso non autorizzato alle informazioni sanitarie protette elettroniche che vengono trasmesse su una rete di comunicazioni elettroniche.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
164.312 (e) (1) e) (1) Standard: Sicurezza di trasmissione. Implementare misure tecniche di sicurezza per evitare l'accesso non autorizzato alle informazioni sanitarie protette elettroniche che vengono trasmesse su una rete di comunicazioni elettroniche.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
164.312 (e) (1) e) (1) Standard: Sicurezza di trasmissione. Implementare misure tecniche di sicurezza per evitare l'accesso non autorizzato alle informazioni sanitarie protette elettroniche che vengono trasmesse su una rete di comunicazioni elettroniche.

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantire node-to-node Amazon encryption OpenSearch Il servizio è abilitato. La crittografia da nodo a nodo abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
164.312 (e) (1) e) (1) Standard: Sicurezza di trasmissione. Implementare misure tecniche di sicurezza per evitare l'accesso non autorizzato alle informazioni sanitarie protette elettroniche che vengono trasmesse su una rete di comunicazioni elettroniche.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
164.312 (e) (1) e) (1) Standard: Sicurezza di trasmissione. Implementare misure tecniche di sicurezza per evitare l'accesso non autorizzato alle informazioni sanitarie protette elettroniche che vengono trasmesse su una rete di comunicazioni elettroniche.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
164.312 (e) (1) e) (1) Standard: Sicurezza di trasmissione. Implementare misure tecniche di sicurezza per evitare l'accesso non autorizzato alle informazioni sanitarie protette elettroniche che vengono trasmesse su una rete di comunicazioni elettroniche.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
164.312 (e) (1) e) (1) Standard: Sicurezza di trasmissione. Implementare misure tecniche di sicurezza per evitare l'accesso non autorizzato alle informazioni sanitarie protette elettroniche che vengono trasmesse su una rete di comunicazioni elettroniche.

s3-bucket-ssl-requests-only

Per proteggere i dati durante il transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) impongono l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
164.312 (e) (1) e) (1) Standard: Sicurezza di trasmissione. Implementare misure tecniche di sicurezza per evitare l'accesso non autorizzato alle informazioni sanitarie protette elettroniche che vengono trasmesse su una rete di comunicazioni elettroniche.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
164.312 (e) (1) e) (1) Standard: Sicurezza di trasmissione. Implementare misure tecniche di sicurezza per evitare l'accesso non autorizzato alle informazioni sanitarie protette elettroniche che vengono trasmesse su una rete di comunicazioni elettroniche.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
164.312 (e) (1) (e) (1) Standard: Sicurezza di trasmissione. Implementare misure tecniche di sicurezza per evitare l'accesso non autorizzato alle informazioni sanitarie protette elettroniche che vengono trasmesse su una rete di comunicazioni elettroniche.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
164.312 (e) (1) (e) (1) Standard: Sicurezza di trasmissione. Implementare misure tecniche di sicurezza per evitare l'accesso non autorizzato alle informazioni sanitarie protette elettroniche che vengono trasmesse su una rete di comunicazioni elettroniche.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando Amazon OpenSearch I domini Service (OpenSearch Service) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un record OpenSearch Il dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Servizi e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
164.312 (e) (1) (e) (1) Standard: Sicurezza di trasmissione. Implementare misure tecniche di sicurezza per evitare l'accesso non autorizzato alle informazioni sanitarie protette elettroniche che vengono trasmesse su una rete di comunicazioni elettroniche.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
164.312 (e) (1) (e) (1) Standard: Sicurezza di trasmissione. Implementare misure tecniche di sicurezza per evitare l'accesso non autorizzato alle informazioni sanitarie protette elettroniche che vengono trasmesse su una rete di comunicazioni elettroniche.

ec2-instances-in-vpc

Distribuisci le istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un Internet gateway, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
164.312 (e) (1) (e) (1) Standard: Sicurezza di trasmissione. Implementare misure tecniche di sicurezza per evitare l'accesso non autorizzato alle informazioni sanitarie protette elettroniche che vengono trasmesse su una rete di comunicazioni elettroniche.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non possano essere accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
164.312 (e) (1) (e) (1) Standard: Sicurezza di trasmissione. Implementare misure tecniche di sicurezza per evitare l'accesso non autorizzato alle informazioni sanitarie protette elettroniche che vengono trasmesse su una rete di comunicazioni elettroniche.

lambda-inside-vpc

Utilizza le funzioni AWS Lambda in un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non è necessario disporre di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
164.312 (e) (1) (e) (1) Standard: Sicurezza di trasmissione. Implementare misure tecniche di sicurezza per evitare l'accesso non autorizzato alle informazioni sanitarie protette elettroniche che vengono trasmesse su una rete di comunicazioni elettroniche.

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
164.312 (e) (1) (e) (1) Standard: Sicurezza di trasmissione. Implementare misure tecniche di sicurezza per evitare l'accesso non autorizzato alle informazioni sanitarie protette elettroniche che vengono trasmesse su una rete di comunicazioni elettroniche.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
164.312 (e) (1) (e) (1) Standard: Sicurezza di trasmissione. Implementare misure tecniche di sicurezza per evitare l'accesso non autorizzato alle informazioni sanitarie protette elettroniche che vengono trasmesse su una rete di comunicazioni elettroniche.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
164.312 (e) (1) (e) (1) Standard: Sicurezza di trasmissione. Implementare misure tecniche di sicurezza per evitare l'accesso non autorizzato alle informazioni sanitarie protette elettroniche che vengono trasmesse su una rete di comunicazioni elettroniche.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
164.312 (e) (1) (e) (1) Standard: Sicurezza di trasmissione. Implementare misure tecniche di sicurezza per evitare l'accesso non autorizzato alle informazioni sanitarie protette elettroniche che vengono trasmesse su una rete di comunicazioni elettroniche.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
164.312 (e) (1) (e) (1) Standard: Sicurezza di trasmissione. Implementare misure tecniche di sicurezza per evitare l'accesso non autorizzato alle informazioni sanitarie protette elettroniche che vengono trasmesse su una rete di comunicazioni elettroniche.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non permettere l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse consente di limitare l'accesso remoto.
164.312 (e) (1) (e) (1) Standard: Sicurezza di trasmissione. Implementare misure tecniche di sicurezza per evitare l'accesso non autorizzato alle informazioni sanitarie protette elettroniche che vengono trasmesse su una rete di comunicazioni elettroniche.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativa ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
164.312 (e) (1) (e) (1) Standard: Sicurezza di trasmissione. Implementare misure tecniche di sicurezza per evitare l'accesso non autorizzato alle informazioni sanitarie protette elettroniche che vengono trasmesse su una rete di comunicazioni elettroniche.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
164.312 (e) (1) (e) (1) Standard: Sicurezza di trasmissione. Implementare misure tecniche di sicurezza per evitare l'accesso non autorizzato alle informazioni sanitarie protette elettroniche che vengono trasmesse su una rete di comunicazioni elettroniche.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo agli utenti, ai processi e ai dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
164.312 (e) (1) (e) (1) Standard: Sicurezza di trasmissione. Implementare misure tecniche di sicurezza per evitare l'accesso non autorizzato alle informazioni sanitarie protette elettroniche che vengono trasmesse su una rete di comunicazioni elettroniche.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo agli utenti, ai processi e ai dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
164.312 (e) (1) (e) (1) Standard: Sicurezza di trasmissione. Implementare misure tecniche di sicurezza per evitare l'accesso non autorizzato alle informazioni sanitarie protette elettroniche che vengono trasmesse su una rete di comunicazioni elettroniche.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che Amazon SageMaker i notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
164.312 (e) (1) (e) (1) Standard: Sicurezza di trasmissione. Implementare misure tecniche di sicurezza per evitare l'accesso non autorizzato alle informazioni sanitarie protette elettroniche che vengono trasmesse su una rete di comunicazioni elettroniche.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
164.312 (e) (1) (e) (1) Standard: Sicurezza di trasmissione. Implementare misure tecniche di sicurezza per evitare l'accesso non autorizzato alle informazioni sanitarie protette elettroniche che vengono trasmesse su una rete di comunicazioni elettroniche.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
164.312 (e) (1) (e) (1) Standard: Sicurezza di trasmissione. Implementare misure tecniche di sicurezza per evitare l'accesso non autorizzato alle informazioni sanitarie protette elettroniche che vengono trasmesse su una rete di comunicazioni elettroniche.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo filtri stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
164.312 (e) (1) (e) (1) Standard: Sicurezza di trasmissione. Implementare misure tecniche di sicurezza per evitare l'accesso non autorizzato alle informazioni sanitarie protette elettroniche che vengono trasmesse su una rete di comunicazioni elettroniche.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
164.312 (e) (1) (e) (1) Standard: Sicurezza di trasmissione. Implementare misure tecniche di sicurezza per evitare l'accesso non autorizzato alle informazioni sanitarie protette elettroniche che vengono trasmesse su una rete di comunicazioni elettroniche.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
164.312 (e) (1) (e) (1) Standard: Sicurezza di trasmissione. Implementare misure tecniche di sicurezza per evitare l'accesso non autorizzato alle informazioni sanitarie protette elettroniche che vengono trasmesse su una rete di comunicazioni elettroniche.

redshift-enhanced-vpc-routing-enabled

Il routing VPC avanzato costringe il passaggio di tutto il traffico dei comandi COPY e UNLOAD tra il cluster e i repository di dati a passare attraverso Amazon VPC. È quindi possibile utilizzare funzionalità VPC come gruppi di sicurezza e elenchi di controllo dell'accesso alla rete per proteggere il traffico di rete. È inoltre possibile utilizzare i registri di flusso VPC per monitorare il traffico di rete.
164.312 (e) (2) (i) (i) Controlli di integrità (indirizzabile). Implementare misure di sicurezza per garantire che le informazioni sanitarie protette elettroniche trasmesse elettronicamente non vengano modificate in modo improprio senza rilevamento fino a quando non vengono smaltite.

alb-http-drop-invalid-header-enabled

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati per eliminare le intestazioni http. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
164.312 (e) (2) (i) (i) Controlli di integrità (indirizzabile). Implementare misure di sicurezza per garantire che le informazioni sanitarie protette elettroniche trasmesse elettronicamente non vengano modificate in modo improprio senza rilevamento fino a quando non vengono smaltite.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
164.312 (e) (2) (i) (i) Controlli di integrità (indirizzabile). Implementare misure di sicurezza per garantire che le informazioni sanitarie protette elettroniche trasmesse elettronicamente non vengano modificate in modo improprio senza rilevamento fino a quando non vengono smaltite.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
164.312 (e) (2) (i) (i) Controlli di integrità (indirizzabile). Implementare misure di sicurezza per garantire che le informazioni sanitarie protette elettroniche trasmesse elettronicamente non vengano modificate in modo improprio senza rilevamento fino a quando non vengono smaltite.

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantire node-to-node Amazon encryption OpenSearch Il servizio è abilitato. La crittografia da nodo a nodo abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
164.312 (e) (2) (i) (i) Controlli di integrità (indirizzabile). Implementare misure di sicurezza per garantire che le informazioni sanitarie protette elettroniche trasmesse elettronicamente non vengano modificate in modo improprio senza rilevamento fino a quando non vengono smaltite.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
164.312 (e) (2) (i) (i) Controlli di integrità (indirizzabile). Implementare misure di sicurezza per garantire che le informazioni sanitarie protette elettroniche trasmesse elettronicamente non vengano modificate in modo improprio senza rilevamento fino a quando non vengono smaltite.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
164.312 (e) (2) (i) (i) Controlli di integrità (indirizzabile). Implementare misure di sicurezza per garantire che le informazioni sanitarie protette elettroniche trasmesse elettronicamente non vengano modificate in modo improprio senza rilevamento fino a quando non vengono smaltite.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
164.312 (e) (2) (i) (i) Controlli di integrità (indirizzabile). Implementare misure di sicurezza per garantire che le informazioni sanitarie protette elettroniche trasmesse elettronicamente non vengano modificate in modo improprio senza rilevamento fino a quando non vengono smaltite.

s3-bucket-ssl-requests-only

Per proteggere i dati durante il transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) impongono l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
164.312 (e) (2) punto ii) (ii) Crittografia (indirizzabile). Implementare un meccanismo per crittografare le informazioni sanitarie protette elettroniche quando si ritiene opportuno.

alb-http-drop-invalid-header-enabled

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati per eliminare le intestazioni http. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
164.312 (e) (2) punto ii) (ii) Crittografia (indirizzabile). Implementare un meccanismo per crittografare le informazioni sanitarie protette elettroniche quando si ritiene opportuno.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
164.312 (e) (2) punto ii) (ii) Crittografia (indirizzabile). Implementare un meccanismo per crittografare le informazioni sanitarie protette elettroniche quando si ritiene opportuno.

api-gw-cache-enabled-and-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per la cache della fase API Gateway. Poiché i dati sensibili possono essere acquisiti per il metodo API, abilitare la crittografia a riposo per proteggere tali dati.
164.312 (e) (2) punto ii) (ii) Crittografia (indirizzabile). Implementare un meccanismo per crittografare le informazioni sanitarie protette elettroniche quando si ritiene opportuno.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
164.312 (e) (2) punto ii) (ii) Crittografia (indirizzabile). Implementare un meccanismo per crittografare le informazioni sanitarie protette elettroniche quando si ritiene opportuno.

cloud-trail-encryption-enabled

Poiché potrebbero esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo AWS CloudTrail sentieri.
164.312 (e) (2) punto ii) (ii) Crittografia (indirizzabile). Implementare un meccanismo per crittografare le informazioni sanitarie protette elettroniche quando si ritiene opportuno.

cloudwatch-log-group-encrypted

Per proteggere i dati sensibili a riposo, assicurati che la crittografia sia abilitata per il tuo Amazon CloudWatch Gruppi di log.
164.312 (e) (2) punto ii) (ii) Crittografia (indirizzabile). Implementare un meccanismo per crittografare le informazioni sanitarie protette elettroniche quando si ritiene opportuno.

dynamodb-table-encrypted-kms

Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Poiché i dati sensibili possono esistere a riposo in queste tabelle, abilitare la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con una chiave master cliente di proprietà AWS (CMK).
164.312 (e) (2) punto ii) (ii) Crittografia (indirizzabile). Implementare un meccanismo per crittografare le informazioni sanitarie protette elettroniche quando si ritiene opportuno.

ec2-ebs-encryption-by-default

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati.
164.312 (e) (2) punto ii) (ii) Crittografia (indirizzabile). Implementare un meccanismo per crittografare le informazioni sanitarie protette elettroniche quando si ritiene opportuno.

efs-encrypted-check

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo Amazon Elastic File System (EFS).
164.312 (e) (2) punto ii) (ii) Crittografia (indirizzabile). Implementare un meccanismo per crittografare le informazioni sanitarie protette elettroniche quando si ritiene opportuno.

elasticsearch-encrypted-at-rest

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per Amazon OpenSearch Domini di servizio (OpenSearch Service).
164.312 (e) (2) punto ii) (ii) Crittografia (indirizzabile). Implementare un meccanismo per crittografare le informazioni sanitarie protette elettroniche quando si ritiene opportuno.

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantire node-to-node Amazon encryption OpenSearch Il servizio è abilitato. La crittografia da nodo a nodo abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
164.312 (e) (2) punto ii) (ii) Crittografia (indirizzabile). Implementare un meccanismo per crittografare le informazioni sanitarie protette elettroniche quando si ritiene opportuno.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
164.312 (e) (2) punto ii) (ii) Crittografia (indirizzabile). Implementare un meccanismo per crittografare le informazioni sanitarie protette elettroniche quando si ritiene opportuno.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
164.312 (e) (2) punto ii) (ii) Crittografia (indirizzabile). Implementare un meccanismo per crittografare le informazioni sanitarie protette elettroniche quando si ritiene opportuno.

encrypted-volumes

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia è abilitata per i volumi Amazon Elastic Block Store (Amazon EBS).
164.312 (e) (2) punto ii) (ii) Crittografia (indirizzabile). Implementare un meccanismo per crittografare le informazioni sanitarie protette elettroniche quando si ritiene opportuno.

rds-snapshot-encrypted

Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
164.312 (e) (2) punto ii) (ii) Crittografia (indirizzabile). Implementare un meccanismo per crittografare le informazioni sanitarie protette elettroniche quando si ritiene opportuno.

rds-storage-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati.
164.312 (e) (2) punto ii) (ii) Crittografia (indirizzabile). Implementare un meccanismo per crittografare le informazioni sanitarie protette elettroniche quando si ritiene opportuno.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore per clusterDbEncrypted (Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
164.312 (e) (2) punto ii) (ii) Crittografia (indirizzabile). Implementare un meccanismo per crittografare le informazioni sanitarie protette elettroniche quando si ritiene opportuno.

redshift-cluster-kms-enabled

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il cluster Amazon Redshift. Poiché i dati sensibili possono esistere a riposo nei cluster Redshift, abilitare la crittografia a riposo per proteggere tali dati.
164.312 (e) (2) punto ii) (ii) Crittografia (indirizzabile). Implementare un meccanismo per crittografare le informazioni sanitarie protette elettroniche quando si ritiene opportuno.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
164.312 (e) (2) punto ii) (ii) Crittografia (indirizzabile). Implementare un meccanismo per crittografare le informazioni sanitarie protette elettroniche quando si ritiene opportuno.

S3-bucket-server-side-encryption-enabled

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati.
164.312 (e) (2) punto ii) (ii) Crittografia (indirizzabile). Implementare un meccanismo per crittografare le informazioni sanitarie protette elettroniche quando si ritiene opportuno.

s3-bucket-ssl-requests-only

Per proteggere i dati durante il transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) impongono l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
164.312 (e) (2) punto ii) (ii) Crittografia (indirizzabile). Implementare un meccanismo per crittografare le informazioni sanitarie protette elettroniche quando si ritiene opportuno.

s3-default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo in un bucket Amazon S3, abilitare la crittografia a riposo per proteggere tali dati.
164.312 (e) (2) punto ii) (ii) Crittografia (indirizzabile). Implementare un meccanismo per crittografare le informazioni sanitarie protette elettroniche quando si ritiene opportuno.

sagemaker-endpoint-configuration-kms-key-configured

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il SageMaker endpoint. Perché i dati sensibili possono esistere a riposo SageMaker endpoint, abilita la crittografia a riposo per proteggere tali dati.
164.312 (e) (2) punto ii) (ii) Crittografia (indirizzabile). Implementare un meccanismo per crittografare le informazioni sanitarie protette elettroniche quando si ritiene opportuno.

sagemaker-notebook-instance-kms-key-configurato

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il SageMaker notebook. Perché i dati sensibili possono esistere a riposo SageMaker notebook, abilita la crittografia a riposo per proteggere tali dati.
164.312 (e) (2) punto ii) (ii) Crittografia (indirizzabile). Implementare un meccanismo per crittografare le informazioni sanitarie protette elettroniche quando si ritiene opportuno.

sns-encrypted-kms

Per proteggere i dati a riposo, assicurati che gli argomenti Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Poiché i dati sensibili possono esistere a riposo nei messaggi pubblicati, abilitare la crittografia a riposo per proteggere tali dati.
164.312 (e) (2) punto ii) (ii) Crittografia (indirizzabile). Implementare un meccanismo per crittografare le informazioni sanitarie protette elettroniche quando si ritiene opportuno.

secretsmanager-using-cmk

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per i segreti AWS Secrets Manager. Poiché i dati sensibili possono esistere a riposo nei segreti di Secrets Manager, abilitare la crittografia a riposo per proteggere tali dati.
164.312 (e) (2) punto ii) (ii) Crittografia (indirizzabile). Implementare un meccanismo per crittografare le informazioni sanitarie protette elettroniche quando si ritiene opportuno.

elbv2-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.

Modello

Il modello è disponibile su GitHub: Best practice operative per la sicurezza HIPAA.