Best practice operative per NBC TRMG - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice operative per NBC TRMG

I pacchetti di conformità forniscono un framework di conformità generico progettato per consentire di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando gestiti o personalizzatiAWS Configregole eAWS Configazioni di risanamento. I Conformance Pack, come modelli di esempio, non sono progettati per garantire la piena conformità con uno standard di governance o conformità specifici. L'utente è responsabile di valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.

Di seguito viene fornito un esempio di mappatura tra il framework delle linee guida TRM (Technology Risk Management) della National Bank of Cambodia (NBC) e le regole di Config gestite da AWS. Ciascuna regola di Config si applica a uno specificoAWSrisorsa e si riferisce a una o più linee guida TRM NBC. Una linea guida TRM NBC può essere correlata a più regole di Config. Fare riferimento alla tabella sottostante per ulteriori dettagli e indicazioni relative a queste mappature.

Questo modello di pacchetto di conformità di esempio contiene mappature ai controlli all'interno del quadro delle linee guida per la gestione del rischio tecnologico (TRM) della National Bank of Cambodia (NBC), a cui è possibile accedere qui: Banca nazionale della Cambogia: Linee guida per la gestione del rischio tecnologico.

Regione AWS:Tutto supportatoRegioni AWStranne Medio Oriente (Bahrein)

ID controllo Descrizione del controllo Regola AWS Config Linee guida di
3.1.1 (d) d) Tra i controlli importanti che devono essere considerati: - Un processo sistematico di applicazione e autorizzazione della creazione di ID utente e della matrice di controllo degli accessi - Condurre una valutazione del rischio e concedere diritti di accesso basati sullo stesso. - Implementazione del controllo degli accessi basato sui ruoli progettato per garantire un'efficace separazione dei compiti - Modifica dei nomi utente e/o delle password predefiniti dei sistemi e vietare la condivisione di ID utente e password di account generici - Modifica dei diritti di accesso ogni volta che si verifica un cambiamento di ruolo o responsabilità e rimozione dei diritti di accesso in caso di cessazione del lavoro/contratto - Processi per notificare tempestivamente la funzione di sicurezza delle informazioni relative alle aggiunte, alle cancellazioni e ai cambiamenti di ruolo degli utenti - Riconciliazione periodica degli ID utente in un sistema e degli utenti effettivi necessari per avere accesso e cancellazione di eventuali inutili ID, se presenti - Controllo, registrazione e monitoraggio dell'accesso alle risorse IT da parte di tutti gli utenti e - Considerare la disattivazione degli ID utente degli utenti di applicazioni critiche in congedo prolungato

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
3.1.1 (d) d) Tra i controlli importanti che devono essere considerati: - Un processo sistematico di applicazione e autorizzazione della creazione di ID utente e della matrice di controllo degli accessi - Condurre una valutazione del rischio e concedere diritti di accesso basati sullo stesso. - Implementazione del controllo degli accessi basato sui ruoli progettato per garantire un'efficace separazione dei compiti - Modifica dei nomi utente e/o delle password predefiniti dei sistemi e vietare la condivisione di ID utente e password di account generici - Modifica dei diritti di accesso ogni volta che si verifica un cambiamento di ruolo o responsabilità e rimozione dei diritti di accesso in caso di cessazione del lavoro/contratto - Processi per notificare tempestivamente la funzione di sicurezza delle informazioni relative alle aggiunte, alle cancellazioni e ai cambiamenti di ruolo degli utenti - Riconciliazione periodica degli ID utente in un sistema e degli utenti effettivi necessari per avere accesso e cancellazione di eventuali inutili ID, se presenti - Controllo, registrazione e monitoraggio dell'accesso alle risorse IT da parte di tutti gli utenti e - Considerare la disattivazione degli ID utente degli utenti di applicazioni critiche in congedo prolungato

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
(d) d) Tra i controlli importanti che devono essere considerati: - Un processo sistematico di applicazione e autorizzazione della creazione di ID utente e della matrice di controllo degli accessi - Condurre una valutazione del rischio e concedere diritti di accesso basati sullo stesso. - Implementazione del controllo degli accessi basato sui ruoli progettato per garantire un'efficace separazione dei compiti - Modifica dei nomi utente e/o delle password predefiniti dei sistemi e vietare la condivisione di ID utente e password di account generici - Modifica dei diritti di accesso ogni volta che si verifica un cambiamento di ruolo o responsabilità e rimozione dei diritti di accesso in caso di cessazione del lavoro/contratto - Processi per notificare tempestivamente la funzione di sicurezza delle informazioni relative alle aggiunte, alle cancellazioni e ai cambiamenti di ruolo degli utenti - Riconciliazione periodica degli ID utente in un sistema e degli utenti effettivi necessari per avere accesso e cancellazione di eventuali inutili ID, se presenti - Controllo, registrazione e monitoraggio dell'accesso alle risorse IT da parte di tutti gli utenti e - Considerare la disattivazione degli ID utente degli utenti di applicazioni critiche in congedo prolungato

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati forniscono dettagli sull'attività delle chiamate API nell'account AWS.
(d) d) Tra i controlli importanti che devono essere considerati: - Un processo sistematico di applicazione e autorizzazione della creazione di ID utente e della matrice di controllo degli accessi - Condurre una valutazione del rischio e concedere diritti di accesso basati sullo stesso. - Implementazione del controllo degli accessi basato sui ruoli progettato per garantire un'efficace separazione dei compiti - Modifica dei nomi utente e/o delle password predefiniti dei sistemi e vietare la condivisione di ID utente e password di account generici - Modifica dei diritti di accesso ogni volta che si verifica un cambiamento di ruolo o responsabilità e rimozione dei diritti di accesso in caso di cessazione del lavoro/contratto - Processi per notificare tempestivamente la funzione di sicurezza delle informazioni relative alle aggiunte, alle cancellazioni e ai cambiamenti di ruolo degli utenti - Riconciliazione periodica degli ID utente in un sistema e degli utenti effettivi necessari per avere accesso e cancellazione di eventuali inutili ID, se presenti - Controllo, registrazione e monitoraggio dell'accesso alle risorse IT da parte di tutti gli utenti e - Considerare la disattivazione degli ID utente degli utenti di applicazioni critiche in congedo prolungato

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record di contenuti.
(d) d) Tra i controlli importanti che devono essere considerati: - Un processo sistematico di applicazione e autorizzazione della creazione di ID utente e della matrice di controllo degli accessi - Condurre una valutazione del rischio e concedere diritti di accesso basati sullo stesso. - Implementazione del controllo degli accessi basato sui ruoli progettato per garantire un'efficace separazione dei compiti - Modifica dei nomi utente e/o delle password predefiniti dei sistemi e vietare la condivisione di ID utente e password di account generici - Modifica dei diritti di accesso ogni volta che si verifica un cambiamento di ruolo o responsabilità e rimozione dei diritti di accesso in caso di cessazione del lavoro/contratto - Processi per notificare tempestivamente la funzione di sicurezza delle informazioni relative alle aggiunte, alle cancellazioni e ai cambiamenti di ruolo degli utenti - Riconciliazione periodica degli ID utente in un sistema e degli utenti effettivi necessari per avere accesso e cancellazione di eventuali inutili ID, se presenti - Controllo, registrazione e monitoraggio dell'accesso alle risorse IT da parte di tutti gli utenti e - Considerare la disattivazione degli ID utente degli utenti di applicazioni critiche in congedo prolungato

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
(d) d) Tra i controlli importanti che devono essere considerati: - Un processo sistematico di applicazione e autorizzazione della creazione di ID utente e della matrice di controllo degli accessi - Condurre una valutazione del rischio e concedere diritti di accesso basati sullo stesso. - Implementazione del controllo degli accessi basato sui ruoli progettato per garantire un'efficace separazione dei compiti - Modifica dei nomi utente e/o delle password predefiniti dei sistemi e vietare la condivisione di ID utente e password di account generici - Modifica dei diritti di accesso ogni volta che si verifica un cambiamento di ruolo o responsabilità e rimozione dei diritti di accesso in caso di cessazione del lavoro/contratto - Processi per notificare tempestivamente la funzione di sicurezza delle informazioni relative alle aggiunte, alle cancellazioni e ai cambiamenti di ruolo degli utenti - Riconciliazione periodica degli ID utente in un sistema e degli utenti effettivi necessari per avere accesso e cancellazione di eventuali inutili ID, se presenti - Controllo, registrazione e monitoraggio dell'accesso alle risorse IT da parte di tutti gli utenti e - Considerare la disattivazione degli ID utente degli utenti di applicazioni critiche in congedo prolungato

cloudwatch-alarm-action-check

AmazonCloudWatchavvisi quando una metrica supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionRichiesto (Config predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
(d) d) Tra i controlli importanti che devono essere considerati: - Un processo sistematico di applicazione e autorizzazione della creazione di ID utente e della matrice di controllo degli accessi - Condurre una valutazione del rischio e concedere diritti di accesso basati sullo stesso. - Implementazione del controllo degli accessi basato sui ruoli progettato per garantire un'efficace separazione dei compiti - Modifica dei nomi utente e/o delle password predefiniti dei sistemi e vietare la condivisione di ID utente e password di account generici - Modifica dei diritti di accesso ogni volta che si verifica un cambiamento di ruolo o responsabilità e rimozione dei diritti di accesso in caso di cessazione del lavoro/contratto - Processi per notificare tempestivamente la funzione di sicurezza delle informazioni relative alle aggiunte, alle cancellazioni e ai cambiamenti di ruolo degli utenti - Riconciliazione periodica degli ID utente in un sistema e degli utenti effettivi necessari per avere accesso e cancellazione di eventuali inutili ID, se presenti - Controllo, registrazione e monitoraggio dell'accesso alle risorse IT da parte di tutti gli utenti e - Considerare la disattivazione degli ID utente degli utenti di applicazioni critiche in congedo prolungato

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
3.1.1 (d) d) Tra i controlli importanti che devono essere considerati: - Un processo sistematico di applicazione e autorizzazione della creazione di ID utente e della matrice di controllo degli accessi - Condurre una valutazione del rischio e concedere diritti di accesso basati sullo stesso. - Implementazione del controllo degli accessi basato sui ruoli progettato per garantire un'efficace separazione dei compiti - Modifica dei nomi utente e/o delle password predefiniti dei sistemi e vietare la condivisione di ID utente e password di account generici - Modifica dei diritti di accesso ogni volta che si verifica un cambiamento di ruolo o responsabilità e rimozione dei diritti di accesso in caso di cessazione del lavoro/contratto - Processi per notificare tempestivamente la funzione di sicurezza delle informazioni relative alle aggiunte, alle cancellazioni e ai cambiamenti di ruolo degli utenti - Riconciliazione periodica degli ID utente in un sistema e degli utenti effettivi necessari per avere accesso e cancellazione di eventuali inutili ID, se presenti - Controllo, registrazione e monitoraggio dell'accesso alle risorse IT da parte di tutti gli utenti e - Considerare la disattivazione degli ID utente degli utenti di applicazioni critiche in congedo prolungato

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
3.1.1 (d) d) Tra i controlli importanti che devono essere considerati: - Un processo sistematico di applicazione e autorizzazione della creazione di ID utente e della matrice di controllo degli accessi - Condurre una valutazione del rischio e concedere diritti di accesso basati sullo stesso. - Implementazione del controllo degli accessi basato sui ruoli progettato per garantire un'efficace separazione dei compiti - Modifica dei nomi utente e/o delle password predefiniti dei sistemi e vietare la condivisione di ID utente e password di account generici - Modifica dei diritti di accesso ogni volta che si verifica un cambiamento di ruolo o responsabilità e rimozione dei diritti di accesso in caso di cessazione del lavoro/contratto - Processi per notificare tempestivamente la funzione di sicurezza delle informazioni relative alle aggiunte, alle cancellazioni e ai cambiamenti di ruolo degli utenti - Riconciliazione periodica degli ID utente in un sistema e degli utenti effettivi necessari per avere accesso e cancellazione di eventuali inutili ID, se presenti - Controllo, registrazione e monitoraggio dell'accesso alle risorse IT da parte di tutti gli utenti e - Considerare la disattivazione degli ID utente degli utenti di applicazioni critiche in congedo prolungato

lambda-dlq-check

Abilita questa regola per informare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione non ha funzionato.
3.1.1 (d) d) Tra i controlli importanti che devono essere considerati: - Un processo sistematico di applicazione e autorizzazione della creazione di ID utente e della matrice di controllo degli accessi - Condurre una valutazione del rischio e concedere diritti di accesso basati sullo stesso. - Implementazione del controllo degli accessi basato sui ruoli progettato per garantire un'efficace separazione dei compiti - Modifica dei nomi utente e/o delle password predefiniti dei sistemi e vietare la condivisione di ID utente e password di account generici - Modifica dei diritti di accesso ogni volta che si verifica un cambiamento di ruolo o responsabilità e rimozione dei diritti di accesso in caso di cessazione del lavoro/contratto - Processi per notificare tempestivamente la funzione di sicurezza delle informazioni relative alle aggiunte, alle cancellazioni e ai cambiamenti di ruolo degli utenti - Riconciliazione periodica degli ID utente in un sistema e degli utenti effettivi necessari per avere accesso e cancellazione di eventuali inutili ID, se presenti - Controllo, registrazione e monitoraggio dell'accesso alle risorse IT da parte di tutti gli utenti e - Considerare la disattivazione degli ID utente degli utenti di applicazioni critiche in congedo prolungato

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
3.1.1 (d) d) Tra i controlli importanti che devono essere considerati: - Un processo sistematico di applicazione e autorizzazione della creazione di ID utente e della matrice di controllo degli accessi - Condurre una valutazione del rischio e concedere diritti di accesso basati sullo stesso. - Implementazione del controllo degli accessi basato sui ruoli progettato per garantire un'efficace separazione dei compiti - Modifica dei nomi utente e/o delle password predefiniti dei sistemi e vietare la condivisione di ID utente e password di account generici - Modifica dei diritti di accesso ogni volta che si verifica un cambiamento di ruolo o responsabilità e rimozione dei diritti di accesso in caso di cessazione del lavoro/contratto - Processi per notificare tempestivamente la funzione di sicurezza delle informazioni relative alle aggiunte, alle cancellazioni e ai cambiamenti di ruolo degli utenti - Riconciliazione periodica degli ID utente in un sistema e degli utenti effettivi necessari per avere accesso e cancellazione di eventuali inutili ID, se presenti - Controllo, registrazione e monitoraggio dell'accesso alle risorse IT da parte di tutti gli utenti e - Considerare la disattivazione degli ID utente degli utenti di applicazioni critiche in congedo prolungato

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
3.1.1 (d) d) Tra i controlli importanti che devono essere considerati: - Un processo sistematico di applicazione e autorizzazione della creazione di ID utente e della matrice di controllo degli accessi - Condurre una valutazione del rischio e concedere diritti di accesso basati sullo stesso. - Implementazione del controllo degli accessi basato sui ruoli progettato per garantire un'efficace separazione dei compiti - Modifica dei nomi utente e/o delle password predefiniti dei sistemi e vietare la condivisione di ID utente e password di account generici - Modifica dei diritti di accesso ogni volta che si verifica un cambiamento di ruolo o responsabilità e rimozione dei diritti di accesso in caso di cessazione del lavoro/contratto - Processi per notificare tempestivamente la funzione di sicurezza delle informazioni relative alle aggiunte, alle cancellazioni e ai cambiamenti di ruolo degli utenti - Riconciliazione periodica degli ID utente in un sistema e degli utenti effettivi necessari per avere accesso e cancellazione di eventuali inutili ID, se presenti - Controllo, registrazione e monitoraggio dell'accesso alle risorse IT da parte di tutti gli utenti e - Considerare la disattivazione degli ID utente degli utenti di applicazioni critiche in congedo prolungato

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
3.1.1 (d) d) Tra i controlli importanti che devono essere considerati: - Un processo sistematico di applicazione e autorizzazione della creazione di ID utente e della matrice di controllo degli accessi - Condurre una valutazione del rischio e concedere diritti di accesso basati sullo stesso. - Implementazione del controllo degli accessi basato sui ruoli progettato per garantire un'efficace separazione dei compiti - Modifica dei nomi utente e/o delle password predefiniti dei sistemi e vietare la condivisione di ID utente e password di account generici - Modifica dei diritti di accesso ogni volta che si verifica un cambiamento di ruolo o responsabilità e rimozione dei diritti di accesso in caso di cessazione del lavoro/contratto - Processi per notificare tempestivamente la funzione di sicurezza delle informazioni relative alle aggiunte, alle cancellazioni e ai cambiamenti di ruolo degli utenti - Riconciliazione periodica degli ID utente in un sistema e degli utenti effettivi necessari per avere accesso e cancellazione di eventuali inutili ID, se presenti - Controllo, registrazione e monitoraggio dell'accesso alle risorse IT da parte di tutti gli utenti e - Considerare la disattivazione degli ID utente degli utenti di applicazioni critiche in congedo prolungato

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per le informazioni sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record di log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
3.1.1 (d) d) Tra i controlli importanti che devono essere considerati: - Un processo sistematico di applicazione e autorizzazione della creazione di ID utente e della matrice di controllo degli accessi - Condurre una valutazione del rischio e concedere diritti di accesso basati sullo stesso. - Implementazione del controllo degli accessi basato sui ruoli progettato per garantire un'efficace separazione dei compiti - Modifica dei nomi utente e/o delle password predefiniti dei sistemi e vietare la condivisione di ID utente e password di account generici - Modifica dei diritti di accesso ogni volta che si verifica un cambiamento di ruolo o responsabilità e rimozione dei diritti di accesso in caso di cessazione del lavoro/contratto - Processi per notificare tempestivamente la funzione di sicurezza delle informazioni relative alle aggiunte, alle cancellazioni e ai cambiamenti di ruolo degli utenti - Riconciliazione periodica degli ID utente in un sistema e degli utenti effettivi necessari per avere accesso e cancellazione di eventuali inutili ID, se presenti - Controllo, registrazione e monitoraggio dell'accesso alle risorse IT da parte di tutti gli utenti e - Considerare la disattivazione degli ID utente degli utenti di applicazioni critiche in congedo prolungato

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
3.1.1 (d) d) Tra i controlli importanti che devono essere considerati: - Un processo sistematico di applicazione e autorizzazione della creazione di ID utente e della matrice di controllo degli accessi - Condurre una valutazione del rischio e concedere diritti di accesso basati sullo stesso. - Implementazione del controllo degli accessi basato sui ruoli progettato per garantire un'efficace separazione dei compiti - Modifica dei nomi utente e/o delle password predefiniti dei sistemi e vietare la condivisione di ID utente e password di account generici - Modifica dei diritti di accesso ogni volta che si verifica un cambiamento di ruolo o responsabilità e rimozione dei diritti di accesso in caso di cessazione del lavoro/contratto - Processi per notificare tempestivamente la funzione di sicurezza delle informazioni relative alle aggiunte, alle cancellazioni e ai cambiamenti di ruolo degli utenti - Riconciliazione periodica degli ID utente in un sistema e degli utenti effettivi necessari per avere accesso e cancellazione di eventuali inutili ID, se presenti - Controllo, registrazione e monitoraggio dell'accesso alle risorse IT da parte di tutti gli utenti e - Considerare la disattivazione degli ID utente degli utenti di applicazioni critiche in congedo prolungato

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
3.1.1 (d) d) Tra i controlli importanti che devono essere considerati: - Un processo sistematico di applicazione e autorizzazione della creazione di ID utente e della matrice di controllo degli accessi - Condurre una valutazione del rischio e concedere diritti di accesso basati sullo stesso. - Implementazione del controllo degli accessi basato sui ruoli progettato per garantire un'efficace separazione dei compiti - Modifica dei nomi utente e/o delle password predefiniti dei sistemi e vietare la condivisione di ID utente e password di account generici - Modifica dei diritti di accesso ogni volta che si verifica un cambiamento di ruolo o responsabilità e rimozione dei diritti di accesso in caso di cessazione del lavoro/contratto - Processi per notificare tempestivamente la funzione di sicurezza delle informazioni relative alle aggiunte, alle cancellazioni e ai cambiamenti di ruolo degli utenti - Riconciliazione periodica degli ID utente in un sistema e degli utenti effettivi necessari per avere accesso e cancellazione di eventuali inutili ID, se presenti - Controllo, registrazione e monitoraggio dell'accesso alle risorse IT da parte di tutti gli utenti e - Considerare la disattivazione degli ID utente degli utenti di applicazioni critiche in congedo prolungato

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta.
3.1.1 (d) d) Tra i controlli importanti che devono essere considerati: - Un processo sistematico di applicazione e autorizzazione della creazione di ID utente e della matrice di controllo degli accessi - Condurre una valutazione del rischio e concedere diritti di accesso basati sullo stesso. - Implementazione del controllo degli accessi basato sui ruoli progettato per garantire un'efficace separazione dei compiti - Modifica dei nomi utente e/o delle password predefiniti dei sistemi e vietare la condivisione di ID utente e password di account generici - Modifica dei diritti di accesso ogni volta che si verifica un cambiamento di ruolo o responsabilità e rimozione dei diritti di accesso in caso di cessazione del lavoro/contratto - Processi per notificare tempestivamente la funzione di sicurezza delle informazioni relative alle aggiunte, alle cancellazioni e ai cambiamenti di ruolo degli utenti - Riconciliazione periodica degli ID utente in un sistema e degli utenti effettivi necessari per avere accesso e cancellazione di eventuali inutili ID, se presenti - Controllo, registrazione e monitoraggio dell'accesso alle risorse IT da parte di tutti gli utenti e - Considerare la disattivazione degli ID utente degli utenti di applicazioni critiche in congedo prolungato

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
R 3.1.1 d) Tra i controlli importanti che devono essere considerati: - Un processo sistematico di applicazione e autorizzazione della creazione di ID utente e della matrice di controllo degli accessi - Condurre una valutazione del rischio e concedere diritti di accesso basati sullo stesso. - Implementazione del controllo degli accessi basato sui ruoli progettato per garantire un'efficace separazione dei compiti - Modifica dei nomi utente e/o delle password predefiniti dei sistemi e vietare la condivisione di ID utente e password di account generici - Modifica dei diritti di accesso ogni volta che si verifica un cambiamento di ruolo o responsabilità e rimozione dei diritti di accesso in caso di cessazione del lavoro/contratto - Processi per notificare tempestivamente la funzione di sicurezza delle informazioni relative alle aggiunte, alle cancellazioni e ai cambiamenti di ruolo degli utenti - Riconciliazione periodica degli ID utente in un sistema e degli utenti effettivi necessari per avere accesso e cancellazione di eventuali inutili ID, se presenti - Controllo, registrazione e monitoraggio dell'accesso alle risorse IT da parte di tutti gli utenti e - Considerare la disattivazione degli ID utente degli utenti di applicazioni critiche in congedo prolungato

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore per ilmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
R 3.1.1 d) Tra i controlli importanti che devono essere considerati: - Un processo sistematico di applicazione e autorizzazione della creazione di ID utente e della matrice di controllo degli accessi - Condurre una valutazione del rischio e concedere diritti di accesso basati sullo stesso. - Implementazione del controllo degli accessi basato sui ruoli progettato per garantire un'efficace separazione dei compiti - Modifica dei nomi utente e/o delle password predefiniti dei sistemi e vietare la condivisione di ID utente e password di account generici - Modifica dei diritti di accesso ogni volta che si verifica un cambiamento di ruolo o responsabilità e rimozione dei diritti di accesso in caso di cessazione del lavoro/contratto - Processi per notificare tempestivamente la funzione di sicurezza delle informazioni relative alle aggiunte, alle cancellazioni e ai cambiamenti di ruolo degli utenti - Riconciliazione periodica degli ID utente in un sistema e degli utenti effettivi necessari per avere accesso e cancellazione di eventuali inutili ID, se presenti - Controllo, registrazione e monitoraggio dell'accesso alle risorse IT da parte di tutti gli utenti e - Considerare la disattivazione degli ID utente degli utenti di applicazioni critiche in congedo prolungato

account-parte delle organizzazioni

La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata dell'account può portare a configurazioni di account incoerenti, che possono esporre risorse e dati sensibili.
R 3.1.1 d) Tra i controlli importanti che devono essere considerati: - Un processo sistematico di applicazione e autorizzazione della creazione di ID utente e della matrice di controllo degli accessi - Condurre una valutazione del rischio e concedere diritti di accesso basati sullo stesso. - Implementazione del controllo degli accessi basato sui ruoli progettato per garantire un'efficace separazione dei compiti - Modifica dei nomi utente e/o delle password predefiniti dei sistemi e vietare la condivisione di ID utente e password di account generici - Modifica dei diritti di accesso ogni volta che si verifica un cambiamento di ruolo o responsabilità e rimozione dei diritti di accesso in caso di cessazione del lavoro/contratto - Processi per notificare tempestivamente la funzione di sicurezza delle informazioni relative alle aggiunte, alle cancellazioni e ai cambiamenti di ruolo degli utenti - Riconciliazione periodica degli ID utente in un sistema e degli utenti effettivi necessari per avere accesso e cancellazione di eventuali inutili ID, se presenti - Controllo, registrazione e monitoraggio dell'accesso alle risorse IT da parte di tutti gli utenti e - Considerare la disattivazione degli ID utente degli utenti di applicazioni critiche in congedo prolungato

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e la separazione dei doveri. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione
R 3.1.1 d) Tra i controlli importanti che devono essere considerati: - Un processo sistematico di applicazione e autorizzazione della creazione di ID utente e della matrice di controllo degli accessi - Condurre una valutazione del rischio e concedere diritti di accesso basati sullo stesso. - Implementazione del controllo degli accessi basato sui ruoli progettato per garantire un'efficace separazione dei compiti - Modifica dei nomi utente e/o delle password predefiniti dei sistemi e vietare la condivisione di ID utente e password di account generici - Modifica dei diritti di accesso ogni volta che si verifica un cambiamento di ruolo o responsabilità e rimozione dei diritti di accesso in caso di cessazione del lavoro/contratto - Processi per notificare tempestivamente la funzione di sicurezza delle informazioni relative alle aggiunte, alle cancellazioni e ai cambiamenti di ruolo degli utenti - Riconciliazione periodica degli ID utente in un sistema e degli utenti effettivi necessari per avere accesso e cancellazione di eventuali inutili ID, se presenti - Controllo, registrazione e monitoraggio dell'accesso alle risorse IT da parte di tutti gli utenti e - Considerare la disattivazione degli ID utente degli utenti di applicazioni critiche in congedo prolungato

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
R 3.1.1 d) Tra i controlli importanti che devono essere considerati: - Un processo sistematico di applicazione e autorizzazione della creazione di ID utente e della matrice di controllo degli accessi - Condurre una valutazione del rischio e concedere diritti di accesso basati sullo stesso. - Implementazione del controllo degli accessi basato sui ruoli progettato per garantire un'efficace separazione dei compiti - Modifica dei nomi utente e/o delle password predefiniti dei sistemi e vietare la condivisione di ID utente e password di account generici - Modifica dei diritti di accesso ogni volta che si verifica un cambiamento di ruolo o responsabilità e rimozione dei diritti di accesso in caso di cessazione del lavoro/contratto - Processi per notificare tempestivamente la funzione di sicurezza delle informazioni relative alle aggiunte, alle cancellazioni e ai cambiamenti di ruolo degli utenti - Riconciliazione periodica degli ID utente in un sistema e degli utenti effettivi necessari per avere accesso e cancellazione di eventuali inutili ID, se presenti - Controllo, registrazione e monitoraggio dell'accesso alle risorse IT da parte di tutti gli utenti e - Considerare la disattivazione degli ID utente degli utenti di applicazioni critiche in congedo prolungato

azioni iam-inline-policy-blocked-kms-actions

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
R 3.1.1 d) Tra i controlli importanti che devono essere considerati: - Un processo sistematico di applicazione e autorizzazione della creazione di ID utente e della matrice di controllo degli accessi - Condurre una valutazione del rischio e concedere diritti di accesso basati sullo stesso. - Implementazione del controllo degli accessi basato sui ruoli progettato per garantire un'efficace separazione dei compiti - Modifica dei nomi utente e/o delle password predefiniti dei sistemi e vietare la condivisione di ID utente e password di account generici - Modifica dei diritti di accesso ogni volta che si verifica un cambiamento di ruolo o responsabilità e rimozione dei diritti di accesso in caso di cessazione del lavoro/contratto - Processi per notificare tempestivamente la funzione di sicurezza delle informazioni relative alle aggiunte, alle cancellazioni e ai cambiamenti di ruolo degli utenti - Riconciliazione periodica degli ID utente in un sistema e degli utenti effettivi necessari per avere accesso e cancellazione di eventuali inutili ID, se presenti - Controllo, registrazione e monitoraggio dell'accesso alle risorse IT da parte di tutti gli utenti e - Considerare la disattivazione degli ID utente degli utenti di applicazioni critiche in congedo prolungato

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
R 3.1.1 d) Tra i controlli importanti che devono essere considerati: - Un processo sistematico di applicazione e autorizzazione della creazione di ID utente e della matrice di controllo degli accessi - Condurre una valutazione del rischio e concedere diritti di accesso basati sullo stesso. - Implementazione del controllo degli accessi basato sui ruoli progettato per garantire un'efficace separazione dei compiti - Modifica dei nomi utente e/o delle password predefiniti dei sistemi e vietare la condivisione di ID utente e password di account generici - Modifica dei diritti di accesso ogni volta che si verifica un cambiamento di ruolo o responsabilità e rimozione dei diritti di accesso in caso di cessazione del lavoro/contratto - Processi per notificare tempestivamente la funzione di sicurezza delle informazioni relative alle aggiunte, alle cancellazioni e ai cambiamenti di ruolo degli utenti - Riconciliazione periodica degli ID utente in un sistema e degli utenti effettivi necessari per avere accesso e cancellazione di eventuali inutili ID, se presenti - Controllo, registrazione e monitoraggio dell'accesso alle risorse IT da parte di tutti gli utenti e - Considerare la disattivazione degli ID utente degli utenti di applicazioni critiche in congedo prolungato

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può aiutare con la gestione dei privilegi e delle autorizzazioni minimi.
R 3.1.1 d) Tra i controlli importanti che devono essere considerati: - Un processo sistematico di applicazione e autorizzazione della creazione di ID utente e della matrice di controllo degli accessi - Condurre una valutazione del rischio e concedere diritti di accesso basati sullo stesso. - Implementazione del controllo degli accessi basato sui ruoli progettato per garantire un'efficace separazione dei compiti - Modifica dei nomi utente e/o delle password predefiniti dei sistemi e vietare la condivisione di ID utente e password di account generici - Modifica dei diritti di accesso ogni volta che si verifica un cambiamento di ruolo o responsabilità e rimozione dei diritti di accesso in caso di cessazione del lavoro/contratto - Processi per notificare tempestivamente la funzione di sicurezza delle informazioni relative alle aggiunte, alle cancellazioni e ai cambiamenti di ruolo degli utenti - Riconciliazione periodica degli ID utente in un sistema e degli utenti effettivi necessari per avere accesso e cancellazione di eventuali inutili ID, se presenti - Controllo, registrazione e monitoraggio dell'accesso alle risorse IT da parte di tutti gli utenti e - Considerare la disattivazione degli ID utente degli utenti di applicazioni critiche in congedo prolungato

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
R 3.1.1 d) Tra i controlli importanti che devono essere considerati: - Un processo sistematico di applicazione e autorizzazione della creazione di ID utente e della matrice di controllo degli accessi - Condurre una valutazione del rischio e concedere diritti di accesso basati sullo stesso. - Implementazione del controllo degli accessi basato sui ruoli progettato per garantire un'efficace separazione dei compiti - Modifica dei nomi utente e/o delle password predefiniti dei sistemi e vietare la condivisione di ID utente e password di account generici - Modifica dei diritti di accesso ogni volta che si verifica un cambiamento di ruolo o responsabilità e rimozione dei diritti di accesso in caso di cessazione del lavoro/contratto - Processi per notificare tempestivamente la funzione di sicurezza delle informazioni relative alle aggiunte, alle cancellazioni e ai cambiamenti di ruolo degli utenti - Riconciliazione periodica degli ID utente in un sistema e degli utenti effettivi necessari per avere accesso e cancellazione di eventuali inutili ID, se presenti - Controllo, registrazione e monitoraggio dell'accesso alle risorse IT da parte di tutti gli utenti e - Considerare la disattivazione degli ID utente degli utenti di applicazioni critiche in congedo prolungato

ecs-task-definition-user-per-host-mode check

Se una definizione di attività ha privilegi elevati, è perché il cliente ha specificamente optato per tali configurazioni. Questo controllo verifica la presenza di un'escalation imprevista dei privilegi quando una definizione di attività ha abilitato la rete host ma il cliente non ha optato per privilegi elevati.
R 3.1.1 d) Tra i controlli importanti che devono essere considerati: - Un processo sistematico di applicazione e autorizzazione della creazione di ID utente e della matrice di controllo degli accessi - Condurre una valutazione del rischio e concedere diritti di accesso basati sullo stesso. - Implementazione del controllo degli accessi basato sui ruoli progettato per garantire un'efficace separazione dei compiti - Modifica dei nomi utente e/o delle password predefiniti dei sistemi e vietare la condivisione di ID utente e password di account generici - Modifica dei diritti di accesso ogni volta che si verifica un cambiamento di ruolo o responsabilità e rimozione dei diritti di accesso in caso di cessazione del lavoro/contratto - Processi per notificare tempestivamente la funzione di sicurezza delle informazioni relative alle aggiunte, alle cancellazioni e ai cambiamenti di ruolo degli utenti - Riconciliazione periodica degli ID utente in un sistema e degli utenti effettivi necessari per avere accesso e cancellazione di eventuali inutili ID, se presenti - Controllo, registrazione e monitoraggio dell'accesso alle risorse IT da parte di tutti gli utenti e - Considerare la disattivazione degli ID utente degli utenti di applicazioni critiche in congedo prolungato

ricerca elastica - logs-to-cloud watch

Garantire AmazonOpenSearchI domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su AmazonCloudWatchRegistri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
R 3.1.1 h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Istituzione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

access-keys-rotated

Le credenziali vengono controllate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo i criteri organizzativi. La modifica delle chiavi di accesso con una pianificazione regolare è una procedura consigliata per la sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
R 3.1.1 h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Istituzione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono eseguire l'autenticazione sono denominati principali. I principali si trovano all'interno di un regno Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC si autentica emettendo dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
R 3.1.1 h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Istituzione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
R 3.1.1 h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Istituzione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Operazione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
R 3.1.1 h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Istituzione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
R 3.1.1 h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Istituzione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce l'abilitazione dell'autenticazione a più fattori (MFA) per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
R 3.1.1 h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Istituzione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

iam-user-no-policies-check

Tale regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
R 3.1.1 h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Istituzione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore per ilmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
R 3.1.1 h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Istituzione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
R 3.1.1 h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Istituzione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente più privilegiato in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
R 3.1.1 h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Istituzione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente più privilegiato in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
R 3.1.1 h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Istituzione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
R 3.1.1 h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Istituzione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
R 3.1.1 h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Istituzione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati forniscono dettagli sull'attività delle chiamate API nell'account AWS.
R 3.1.1 h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Istituzione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record di contenuti.
3.1.1 (h) h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Implementazione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
3.1.1 (h) h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Implementazione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
3.1.1 (h) h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Istituzione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
3.1.1 (h) h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Implementazione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
3.1.1 (h) h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Implementazione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per le informazioni sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record di log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
3.1.1 (h) h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Istituzione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
3.1.1 (h) h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Istituzione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
3.1.1 (h) h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Istituzione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta.
3.1.1 (h) h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Istituzione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
3.1.1 (h) h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Istituzione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

account-parte delle organizzazioni

La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata dell'account può portare a configurazioni di account incoerenti, che possono esporre risorse e dati sensibili.
3.1.1 (h) h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Istituzione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e la separazione dei doveri. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione
3.1.1 (h) h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Istituzione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
3.1.1 (h) h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Istituzione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

azioni iam-inline-policy-blocked-kms-actions

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
3.1.1 (h) h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Istituzione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
3.1.1 (h) h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Istituzione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può aiutare con la gestione dei privilegi e delle autorizzazioni minimi.
3.1.1 (h) h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Istituzione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
3.1.1 (h) h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Istituzione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

ecs-task-definition-user-per-host-mode check

Se una definizione di attività ha privilegi elevati, è perché il cliente ha specificamente optato per tali configurazioni. Questo controllo verifica la presenza di un'escalation imprevista dei privilegi quando una definizione di attività ha abilitato la rete host ma il cliente non ha optato per privilegi elevati.
3.1.1 (h) h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Istituzione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

ricerca elastica - logs-to-cloud watch

Garantire AmazonOpenSearchI domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su AmazonCloudWatchRegistri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
3.1.1 (h) h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Istituzione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

rds-snapshot-encrypted

Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
3.1.1 (h) h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Istituzione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

rds-storage-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze di Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati.
3.1.1 (h) h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Istituzione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

ec2-ebs-encryption-by-default

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati.
3.1.1 (h) h) Gli amministratori di sistema, i responsabili della sicurezza, i programmatori e il personale che eseguono operazioni critiche possiedono invariabilmente la capacità di infliggere gravi danni ai sistemi finanziari che mantengono o gestiscono in virtù delle loro funzioni lavorative e dell'accesso privilegiato. Il personale con diritti di accesso al sistema elevati dovrebbe essere attentamente controllato con tutte le attività di sistema registrate, in quanto dispone di conoscenze privilegiate e delle risorse necessarie per aggirare i controlli dei sistemi e le procedure di sicurezza. Alcune delle pratiche di controllo e sicurezza elencate di seguito devono essere prese in considerazione: - Implementazione dell'autenticazione a due fattori per utenti privilegiati - Istituzione di controlli solidi sull'accesso remoto da parte di utenti privilegiati - Limitazione del numero di utenti privilegiati - Concessione dell'accesso privilegiato su un 'need-to-have'oppure'need-to-do«base - Mantenere la registrazione di audit delle attività di sistema eseguite da utenti privilegiati - Garantire che gli utenti privilegiati non abbiano accesso ai registri di sistema in cui vengono acquisite le loro attività - Effettuare regolari controlli o revisione della gestione dei registri - Proibire la condivisione degli ID privilegiati e dei loro codici di accesso - Impedire a fornitori e appaltatori di ottenere un accesso privilegiato ai sistemi senza una stretta supervisione e monitoraggio e _ Proteggere i dati di backup da accessi non autorizzati

efs-encrypted-check

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo Amazon Elastic File System (EFS).
3.1.2 (a) a) Il BFI dovrebbe installare dispositivi di sicurezza di rete, come firewall, software anti-virus/anti-malware, nonché sistemi di rilevamento e prevenzione delle intrusioni, nei momenti critici della sua infrastruttura IT, per proteggere i perimetri di rete.

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive nell'ambiente.
3.1.2 (a) a) Il BFI dovrebbe installare dispositivi di sicurezza di rete, come firewall, software anti-virus/anti-malware, nonché sistemi di rilevamento e prevenzione delle intrusioni, nei momenti critici della sua infrastruttura IT, per proteggere i perimetri di rete.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
3.1.2 (a) a) Il BFI dovrebbe installare dispositivi di sicurezza di rete, come firewall, software anti-virus/anti-malware, nonché sistemi di rilevamento e prevenzione delle intrusioni, nei momenti critici della sua infrastruttura IT, per proteggere i perimetri di rete.

api-gw-associato-con-waf

AWS WAF consente di configurare un set di regole (denominato lista di controllo accessi Web (web ACL)) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi
3.1.2 (c) c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere presi in considerazione i seguenti elementi: - Dovrebbero essere stabilite responsabilità e procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

acm-certificate-expiration-check

Assicurati che l'integrità della rete sia protetta assicurando che i certificati X509 vengano emessi da AWS ACM. Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore perdaysToExpiration(Valore AWS Foundational Security Best Practices: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
3.1.2 (c) c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere presi in considerazione i seguenti elementi: - Dovrebbero essere stabilite responsabilità e procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
3.1.2 (c) c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere presi in considerazione i seguenti elementi: - Dovrebbero essere stabilite responsabilità e procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
3.1.2 (c) c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere presi in considerazione i seguenti elementi: - Dovrebbero essere stabilite responsabilità e procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
3.1.2 (c) c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere presi in considerazione i seguenti elementi: - Dovrebbero essere stabilite responsabilità e procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

s3-bucket-ssl-requests-only

Per proteggere i dati durante il trasporto, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
3.1.2 (c) c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere presi in considerazione i seguenti elementi: - Dovrebbero essere stabilite responsabilità e procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

alb-http-drop-invalid-header-enabled

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati per eliminare le intestazioni http. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
3.1.2 (c) c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere presi in considerazione i seguenti elementi: - Dovrebbero essere stabilite responsabilità e procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantirenode-to-nodecrittografia per AmazonOpenSearchIl servizio è abilitato. Node-to-nodeLa crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
3.1.2 (c) c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere presi in considerazione i seguenti elementi: - Dovrebbero essere stabilite responsabilità e procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
3.1.2 (c) c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere presi in considerazione i seguenti elementi: - Dovrebbero essere stabilite responsabilità e procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
3.1.2 (c) c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere presi in considerazione i seguenti elementi: - Dovrebbero essere stabilite responsabilità e procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati forniscono dettagli sull'attività delle chiamate API nell'account AWS.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Dovrebbero essere stabilite responsabilità e procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record di contenuti.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Dovrebbero essere stabilite responsabilità e procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Dovrebbero essere stabilite responsabilità e procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

cloudwatch-alarm-action-check

AmazonCloudWatchavvisi quando una metrica supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionRichiesto (Config predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
3.1.2 (c) c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere presi in considerazione i seguenti elementi: - Dovrebbero essere stabilite responsabilità e procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere presi in considerazione i seguenti elementi: - Dovrebbero essere stabilite responsabilità e procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Dovrebbero essere stabilite responsabilità e procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

lambda-dlq-check

Abilita questa regola per informare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione non ha funzionato.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Dovrebbero essere stabilite responsabilità e procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Dovrebbero essere stabilite responsabilità e procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Dovrebbero essere stabilite responsabilità e procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Dovrebbero essere stabilite responsabilità e procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Dovrebbero essere stabilite responsabilità e procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Dovrebbero essere stabilite responsabilità e procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Dovrebbero essere stabilite responsabilità e procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Dovrebbero essere stabilite responsabilità e procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Dovrebbero essere stabilite responsabilità e procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Dovrebbero essere stabilite responsabilità e procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (OpenSearchI domini Service) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizio e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Dovrebbero essere stabilite responsabilità e procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Dovrebbero essere stabilite responsabilità e procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non permettendo l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Dovrebbero essere stabilite responsabilità e procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

ec2-instances-in-vpc

Distribuisci le istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Dovrebbero essere stabilite responsabilità e procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

internet-gateway-authorized-vpc-only

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud autorizzato (Amazon VPC). I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Dovrebbero essere stabilite responsabilità e procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Dovrebbero essere stabilite responsabilità e procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

lambda-inside-vpc

Utilizza le funzioni AWS Lambda in un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non sono necessari gateway Internet, dispositivo NAT o connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Dovrebbero essere stabilite responsabilità e procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Dovrebbero essere stabilite responsabilità e procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Dovrebbero essere stabilite responsabilità e procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Occorre stabilire le responsabilità e le procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Occorre stabilire le responsabilità e le procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo agli utenti, ai processi e ai dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Occorre stabilire le responsabilità e le procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo agli utenti, ai processi e ai dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Dovrebbero essere stabilite responsabilità e procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Occorre stabilire le responsabilità e le procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Occorre stabilire le responsabilità e le procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato ai sistemi interni.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Occorre stabilire le responsabilità e le procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Occorre stabilire le responsabilità e le procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Occorre stabilire le responsabilità e le procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Occorre stabilire le responsabilità e le procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Occorre stabilire le responsabilità e le procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

redshift-enhanced-vpc-routing-enabled

Il routing VPC avanzato impone a tutto il traffico COPY e UNLOAD tra il cluster e i repository di dati a passare attraverso Amazon VPC. È quindi possibile utilizzare funzionalità VPC come gruppi di sicurezza e elenchi di controllo dell'accesso alla rete per proteggere il traffico di rete. È inoltre possibile utilizzare i registri di flusso VPC per monitorare il traffico di rete.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Occorre stabilire le responsabilità e le procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Occorre stabilire le responsabilità e le procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

elbv2-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Occorre stabilire le responsabilità e le procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

ricerca elastica - logs-to-cloud watch

Garantire AmazonOpenSearchI domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su AmazonCloudWatchRegistri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Occorre stabilire le responsabilità e le procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
(c) 3.1.2 c) Dovrebbero essere attuati controlli per garantire la sicurezza delle informazioni nelle reti e la protezione dei servizi connessi da accessi non autorizzati. In particolare, devono essere considerati i seguenti elementi: - Occorre stabilire le responsabilità e le procedure per la gestione delle apparecchiature di rete - La responsabilità operativa delle reti dovrebbe essere separata, se del caso, dalle operazioni informatiche - Dovrebbero essere istituiti controlli speciali per salvaguardare la riservatezza e l'integrità dei dati che trasmettono reti pubbliche o su reti wireless e per proteggere i sistemi e le applicazioni connessi (includere protocolli di crittografia di rete durante la connessione a sistemi/reti non attendibili). - Occorre applicare la registrazione e il monitoraggio adeguati per consentire la registrazione e l'individuazione di azioni che possono influire o siano pertinenti alla sicurezza delle informazioni - Le attività di gestione dovrebbero essere strettamente coordinate sia per ottimizzare il servizio all'organizzazione sia per garantire che i controlli siano applicati in modo coerente nell'infrastruttura di elaborazione delle informazioni - I sistemi sulla rete devono essere autenticati e - Le connessioni di sistema non attendibili alla rete devono essere limitate

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
(e) 3.1.2 e) I servizi di rete possono variare dalla semplice larghezza di banda non gestita a servizi sofisticati come VPN, Voice over IP, VSAT, ecc. Le caratteristiche di sicurezza dei servizi di rete dovrebbero essere: - Tecnologia applicata per la sicurezza dei servizi di rete, come l'autenticazione, la crittografia e i controlli della connessione di rete - Parametri tecnici necessari per la connessione protetta con i servizi di rete in conformità con le regole di sicurezza e di connessione di rete e - Procedure per l'utilizzo del servizio di rete limitare l'accesso ai servizi o alle applicazioni di rete, se necessario

acm-certificate-expiration-check

Assicurati che l'integrità della rete sia protetta assicurando che i certificati X509 vengano emessi da AWS ACM. Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore perdaysToExpiration(Valore AWS Foundational Security Best Practices: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
(e) 3.1.2 e) I servizi di rete possono variare dalla semplice larghezza di banda non gestita a servizi sofisticati come VPN, Voice over IP, VSAT, ecc. Le caratteristiche di sicurezza dei servizi di rete dovrebbero essere: - Tecnologia applicata per la sicurezza dei servizi di rete, come l'autenticazione, la crittografia e i controlli della connessione di rete - Parametri tecnici necessari per la connessione protetta con i servizi di rete in conformità con le regole di sicurezza e di connessione di rete e - Procedure per l'utilizzo del servizio di rete limitare l'accesso ai servizi o alle applicazioni di rete, se necessario

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
(e) 3.1.2 e) I servizi di rete possono variare dalla semplice larghezza di banda non gestita a servizi sofisticati come VPN, Voice over IP, VSAT, ecc. Le caratteristiche di sicurezza dei servizi di rete dovrebbero essere: - Tecnologia applicata per la sicurezza dei servizi di rete, come l'autenticazione, la crittografia e i controlli della connessione di rete - Parametri tecnici necessari per la connessione protetta con i servizi di rete in conformità con le regole di sicurezza e di connessione di rete e - Procedure per l'utilizzo del servizio di rete limitare l'accesso ai servizi o alle applicazioni di rete, se necessario

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
(e) 3.1.2 e) I servizi di rete possono variare dalla semplice larghezza di banda non gestita a servizi sofisticati come VPN, Voice over IP, VSAT, ecc. Le caratteristiche di sicurezza dei servizi di rete dovrebbero essere: - Tecnologia applicata per la sicurezza dei servizi di rete, come l'autenticazione, la crittografia e i controlli della connessione di rete - Parametri tecnici necessari per la connessione protetta con i servizi di rete in conformità con le regole di sicurezza e di connessione di rete e - Procedure per l'utilizzo del servizio di rete limitare l'accesso ai servizi o alle applicazioni di rete, se necessario

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
(e) 3.1.2 e) I servizi di rete possono variare dalla semplice larghezza di banda non gestita a servizi sofisticati come VPN, Voice over IP, VSAT, ecc. Le caratteristiche di sicurezza dei servizi di rete dovrebbero essere: - Tecnologia applicata per la sicurezza dei servizi di rete, come l'autenticazione, la crittografia e i controlli della connessione di rete - Parametri tecnici necessari per la connessione protetta con i servizi di rete in conformità con le regole di sicurezza e di connessione di rete e - Procedure per l'utilizzo del servizio di rete limitare l'accesso ai servizi o alle applicazioni di rete, se necessario

s3-bucket-ssl-requests-only

Per proteggere i dati durante il trasporto, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
(e) 3.1.2 e) I servizi di rete possono variare dalla semplice larghezza di banda non gestita a servizi sofisticati come VPN, Voice over IP, VSAT, ecc. Le caratteristiche di sicurezza dei servizi di rete dovrebbero essere: - Tecnologia applicata per la sicurezza dei servizi di rete, come l'autenticazione, la crittografia e i controlli della connessione di rete - Parametri tecnici necessari per la connessione protetta con i servizi di rete in conformità con le regole di sicurezza e di connessione di rete e - Procedure per l'utilizzo del servizio di rete limitare l'accesso ai servizi o alle applicazioni di rete, se necessario

alb-http-drop-invalid-header-enabled

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati per eliminare le intestazioni http. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
(e) 3.1.2 e) I servizi di rete possono variare dalla semplice larghezza di banda non gestita a servizi sofisticati come VPN, Voice over IP, VSAT, ecc. Le caratteristiche di sicurezza dei servizi di rete dovrebbero essere: - Tecnologia applicata per la sicurezza dei servizi di rete, come l'autenticazione, la crittografia e i controlli della connessione di rete - Parametri tecnici necessari per la connessione protetta con i servizi di rete in conformità con le regole di sicurezza e di connessione di rete e - Procedure per l'utilizzo del servizio di rete limitare l'accesso ai servizi o alle applicazioni di rete, se necessario

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantirenode-to-nodecrittografia per AmazonOpenSearchIl servizio è abilitato. Node-to-nodeLa crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
(e) 3.1.2 e) I servizi di rete possono variare dalla semplice larghezza di banda non gestita a servizi sofisticati come VPN, Voice over IP, VSAT, ecc. Le caratteristiche di sicurezza dei servizi di rete dovrebbero essere: - Tecnologia applicata per la sicurezza dei servizi di rete, come l'autenticazione, la crittografia e i controlli della connessione di rete - Parametri tecnici necessari per la connessione protetta con i servizi di rete in conformità con le regole di sicurezza e di connessione di rete e - Procedure per l'utilizzo del servizio di rete limitare l'accesso ai servizi o alle applicazioni di rete, se necessario

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
(e) 3.1.2 e) I servizi di rete possono variare dalla semplice larghezza di banda non gestita a servizi sofisticati come VPN, Voice over IP, VSAT, ecc. Le caratteristiche di sicurezza dei servizi di rete dovrebbero essere: - Tecnologia applicata per la sicurezza dei servizi di rete, come l'autenticazione, la crittografia e i controlli della connessione di rete - Parametri tecnici necessari per la connessione protetta con i servizi di rete in conformità con le regole di sicurezza e di connessione di rete e - Procedure per l'utilizzo del servizio di rete limitare l'accesso ai servizi o alle applicazioni di rete, se necessario

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
(e) 3.1.2 e) I servizi di rete possono variare dalla semplice larghezza di banda non gestita a servizi sofisticati come VPN, Voice over IP, VSAT, ecc. Le caratteristiche di sicurezza dei servizi di rete dovrebbero essere: - Tecnologia applicata per la sicurezza dei servizi di rete, come l'autenticazione, la crittografia e i controlli della connessione di rete - Parametri tecnici necessari per la connessione protetta con i servizi di rete in conformità con le regole di sicurezza e di connessione di rete e - Procedure per l'utilizzo del servizio di rete limitare l'accesso ai servizi o alle applicazioni di rete, se necessario

elbv2-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
(e) 3.1.3 e) Utilizzare la crittografia per proteggere i canali di comunicazione tra il dispositivo di accesso remoto e l'istituzione per limitare i rischi connessi allo spoofing della rete.

acm-certificate-expiration-check

Assicurati che l'integrità della rete sia protetta assicurando che i certificati X509 vengano emessi da AWS ACM. Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore perdaysToExpiration(Valore AWS Foundational Security Best Practices: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
(e) 3.1.3 e) Utilizzare la crittografia per proteggere i canali di comunicazione tra il dispositivo di accesso remoto e l'istituzione per limitare i rischi connessi allo spoofing della rete.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
(e) 3.1.3 e) Utilizzare la crittografia per proteggere i canali di comunicazione tra il dispositivo di accesso remoto e l'istituzione per limitare i rischi connessi allo spoofing della rete.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
(e) 3.1.3 e) Utilizzare la crittografia per proteggere i canali di comunicazione tra il dispositivo di accesso remoto e l'istituzione per limitare i rischi connessi allo spoofing della rete.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
(e) 3.1.3 e) Utilizzare la crittografia per proteggere i canali di comunicazione tra il dispositivo di accesso remoto e l'istituzione per limitare i rischi connessi allo spoofing della rete.

s3-bucket-ssl-requests-only

Per proteggere i dati durante il trasporto, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
(e) 3.1.3 e) Utilizzare la crittografia per proteggere i canali di comunicazione tra il dispositivo di accesso remoto e l'istituzione per limitare i rischi connessi allo spoofing della rete.

alb-http-drop-invalid-header-enabled

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati per eliminare le intestazioni http. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
(e) 3.1.3 e) Utilizzare la crittografia per proteggere i canali di comunicazione tra il dispositivo di accesso remoto e l'istituzione per limitare i rischi connessi allo spoofing della rete.

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantirenode-to-nodecrittografia per AmazonOpenSearchIl servizio è abilitato. Node-to-nodeLa crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
(e) 3.1.3 e) Utilizzare la crittografia per proteggere i canali di comunicazione tra il dispositivo di accesso remoto e l'istituzione per limitare i rischi connessi allo spoofing della rete.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
(e) 3.1.3 e) Utilizzare la crittografia per proteggere i canali di comunicazione tra il dispositivo di accesso remoto e l'istituzione per limitare i rischi connessi allo spoofing della rete.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
3.1.3 (e) e) Utilizzare la crittografia per proteggere i canali di comunicazione tra il dispositivo di accesso remoto e l'istituzione per limitare i rischi connessi allo spoofing della rete.

elbv2-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
3.1.3 (g) g) Mantenere i registri per le comunicazioni di accesso remoto. I registri devono includere la data, l'ora, l'utente, la posizione dell'utente, la durata e lo scopo di tutti gli accessi remoti, incluse tutte le attività svolte tramite accesso remoto

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
3.1.3 (g) g) Mantenere i registri per le comunicazioni di accesso remoto. I registri devono includere la data, l'ora, l'utente, la posizione dell'utente, la durata e lo scopo di tutti gli accessi remoti, incluse tutte le attività svolte tramite accesso remoto

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati forniscono dettagli sull'attività delle chiamate API nell'account AWS.
3.1.3 (g) g) Mantenere i registri per le comunicazioni di accesso remoto. I registri devono includere la data, l'ora, l'utente, la posizione dell'utente, la durata e lo scopo di tutti gli accessi remoti, incluse tutte le attività svolte tramite accesso remoto

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record di contenuti.
3.1.3 (g) g) Mantenere i registri per le comunicazioni di accesso remoto. I registri devono includere la data, l'ora, l'utente, la posizione dell'utente, la durata e lo scopo di tutti gli accessi remoti, incluse tutte le attività svolte tramite accesso remoto

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
3.1.3 (g) g) Mantenere i registri per le comunicazioni di accesso remoto. I registri devono includere la data, l'ora, l'utente, la posizione dell'utente, la durata e lo scopo di tutti gli accessi remoti, incluse tutte le attività svolte tramite accesso remoto

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
3.1.3 (g) g) Mantenere i registri per le comunicazioni di accesso remoto. I registri devono includere la data, l'ora, l'utente, la posizione dell'utente, la durata e lo scopo di tutti gli accessi remoti, incluse tutte le attività svolte tramite accesso remoto

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
3.1.3 (g) g) Mantenere i registri per le comunicazioni di accesso remoto. I registri devono includere la data, l'ora, l'utente, la posizione dell'utente, la durata e lo scopo di tutti gli accessi remoti, incluse tutte le attività svolte tramite accesso remoto

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
3.1.3 (g) g) Mantenere i registri per le comunicazioni di accesso remoto. I registri devono includere la data, l'ora, l'utente, la posizione dell'utente, la durata e lo scopo di tutti gli accessi remoti, incluse tutte le attività svolte tramite accesso remoto

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per le informazioni sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record di log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
3.1.3 (g) g) Mantenere i registri per le comunicazioni di accesso remoto. I registri devono includere la data, l'ora, l'utente, la posizione dell'utente, la durata e lo scopo di tutti gli accessi remoti, incluse tutte le attività svolte tramite accesso remoto

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
3.1.3 (g) g) Mantenere i registri per le comunicazioni di accesso remoto. I registri devono includere la data, l'ora, l'utente, la posizione dell'utente, la durata e lo scopo di tutti gli accessi remoti, incluse tutte le attività svolte tramite accesso remoto

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
3.1.3 (g) g) Mantenere i registri per le comunicazioni di accesso remoto. I registri devono includere la data, l'ora, l'utente, la posizione dell'utente, la durata e lo scopo di tutti gli accessi remoti, incluse tutte le attività svolte tramite accesso remoto

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta.
3.1.3 (g) g) Mantenere i registri per le comunicazioni di accesso remoto. I registri devono includere la data, l'ora, l'utente, la posizione dell'utente, la durata e lo scopo di tutti gli accessi remoti, incluse tutte le attività svolte tramite accesso remoto

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
3.1.3 (g) g) Mantenere i registri per le comunicazioni di accesso remoto. I registri devono includere la data, l'ora, l'utente, la posizione dell'utente, la durata e lo scopo di tutti gli accessi remoti, incluse tutte le attività svolte tramite accesso remoto

ricerca elastica - logs-to-cloud watch

Garantire AmazonOpenSearchI domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su AmazonCloudWatchRegistri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
3.1.3 (i) i) Applicare un processo di autenticazione a due fattori per l'accesso remoto (ad esempio, una scheda token basata su PIN con un generatore di password casuale una tantum o PKI basato su token)

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce l'abilitazione dell'autenticazione a più fattori (MFA) per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
3.1.3 (i) i) Applicare un processo di autenticazione a due fattori per l'accesso remoto (ad esempio, una scheda token basata su PIN con un generatore di password casuale una tantum o PKI basato su token)

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
3.1.3 (i) i) Applicare un processo di autenticazione a due fattori per l'accesso remoto (ad esempio, una scheda token basata su PIN con un generatore di password casuale una tantum o PKI basato su token)

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente più privilegiato in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
3.1.3 (i) i) Applicare un processo di autenticazione a due fattori per l'accesso remoto (ad esempio, una scheda token basata su PIN con un generatore di password casuale una tantum o PKI basato su token)

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente più privilegiato in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
3.1.4 (c) (e) c) Il processo di gestione delle patch dovrebbe includere aspetti come: - Determinazione dei metodi per ottenere e convalidare le patch per garantire che la patch proviene da una fonte autorizzata - Identificazione delle vulnerabilità applicabili alle applicazioni e ai sistemi utilizzati dall'organizzazione - Valutazione dell'impatto aziendale dell'implementazione delle patch (o non implementazione di una determinata patch) - Garantire il test delle patch - Descrivere i metodi per la distribuzione delle patch, ad esempio automaticamente - Segnalazione dello stato della distribuzione delle patch nell'organizzazione e - Includere i metodi per gestire la distribuzione non riuscita di una patch (ad esempio, la ridistribuzione della patch). e) I BFI dovrebbero distribuire patch automatizzate strumenti di gestione e strumenti di aggiornamento software per tutti i sistemi per i quali tali strumenti sono disponibili e sicuri

ec2-instance-managed-by-systems-manager

Un inventario delle piattaforme software e delle applicazioni nell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
3.1.4 (c) (e) c) Il processo di gestione delle patch dovrebbe includere aspetti come: - Determinazione dei metodi per ottenere e convalidare le patch per garantire che la patch proviene da una fonte autorizzata - Identificazione delle vulnerabilità applicabili alle applicazioni e ai sistemi utilizzati dall'organizzazione - Valutazione dell'impatto aziendale dell'implementazione delle patch (o non implementazione di una determinata patch) - Garantire il test delle patch - Descrivere i metodi per la distribuzione delle patch, ad esempio automaticamente - Segnalazione dello stato della distribuzione delle patch nell'organizzazione e - Includere i metodi per gestire la distribuzione non riuscita di una patch (ad esempio, la ridistribuzione della patch). e) I BFI dovrebbero distribuire patch automatizzate strumenti di gestione e strumenti di aggiornamento software per tutti i sistemi per i quali tali strumenti sono disponibili e sicuri

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
3.1.4 (c) (e) c) Il processo di gestione delle patch dovrebbe includere aspetti come: - Determinazione dei metodi per ottenere e convalidare le patch per garantire che la patch proviene da una fonte autorizzata - Identificazione delle vulnerabilità applicabili alle applicazioni e ai sistemi utilizzati dall'organizzazione - Valutazione dell'impatto aziendale dell'implementazione delle patch (o non implementazione di una determinata patch) - Garantire il test delle patch - Descrivere i metodi per la distribuzione delle patch, ad esempio automaticamente - Segnalazione dello stato della distribuzione delle patch nell'organizzazione e - Includere i metodi per gestire la distribuzione non riuscita di una patch (ad esempio, la ridistribuzione della patch). e) I BFI dovrebbero distribuire patch automatizzate strumenti di gestione e strumenti di aggiornamento software per tutti i sistemi per i quali tali strumenti sono disponibili e sicuri

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutarti con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
3.1.4 (c) (e) c) Il processo di gestione delle patch dovrebbe includere aspetti come: - Determinazione dei metodi per ottenere e convalidare le patch per garantire che la patch proviene da una fonte autorizzata - Identificazione delle vulnerabilità applicabili alle applicazioni e ai sistemi utilizzati dall'organizzazione - Valutazione dell'impatto aziendale dell'implementazione delle patch (o non implementazione di una determinata patch) - Garantire il test delle patch - Descrivere i metodi per la distribuzione delle patch, ad esempio automaticamente - Segnalazione dello stato della distribuzione delle patch nell'organizzazione e - Includere i metodi per gestire la distribuzione non riuscita di una patch (ad esempio, la ridistribuzione della patch). e) I BFI dovrebbero distribuire patch automatizzate strumenti di gestione e strumenti di aggiornamento software per tutti i sistemi per i quali tali strumenti sono disponibili e sicuri

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. Nello specifico, hanno finestre di manutenzione preferite e periodi di conservazione automatica delle istantanee per il database. Questa regola richiede di impostare ilallowVersionUpgrade. Il valore predefinito è true. Consente inoltre di impostare facoltativamentepreferredMaintenanceWindow(il valore predefinito è sat: 16:00 -sab: 16:30) e ilautomatedSnapshotRetentionPeriodo (il valore predefinito è 1). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
3.1.4 (c) (e) c) Il processo di gestione delle patch dovrebbe includere aspetti come: - Determinazione dei metodi per ottenere e convalidare le patch per garantire che la patch proviene da una fonte autorizzata - Identificazione delle vulnerabilità applicabili alle applicazioni e ai sistemi utilizzati dall'organizzazione - Valutazione dell'impatto aziendale dell'implementazione delle patch (o non implementazione di una determinata patch) - Garantire il test delle patch - Descrivere i metodi per la distribuzione delle patch, ad esempio automaticamente - Segnalazione dello stato della distribuzione delle patch nell'organizzazione e - Includere i metodi per gestire la distribuzione non riuscita di una patch (ad esempio, la ridistribuzione della patch). e) I BFI dovrebbero distribuire patch automatizzate strumenti di gestione e strumenti di aggiornamento software per tutti i sistemi per i quali tali strumenti sono disponibili e sicuri

elastic-beanstalk-managed-updates-enabled

L'abilitazione degli aggiornamenti della piattaforma gestita per un ambiente Amazon Elastic Beanstalk garantisce l'installazione delle più recenti correzioni, aggiornamenti e funzionalità della piattaforma disponibili per l'ambiente. Mantenersi aggiornati con l'installazione delle patch è una buona pratica nella protezione dei sistemi.
3.1.4 (c) (e) c) Il processo di gestione delle patch dovrebbe includere aspetti come: - Determinazione dei metodi per ottenere e convalidare le patch per garantire che la patch proviene da una fonte autorizzata - Identificazione delle vulnerabilità applicabili alle applicazioni e ai sistemi utilizzati dall'organizzazione - Valutazione dell'impatto aziendale dell'implementazione delle patch (o non implementazione di una determinata patch) - Garantire il test delle patch - Descrivere i metodi per la distribuzione delle patch, ad esempio automaticamente - Segnalazione dello stato della distribuzione delle patch nell'organizzazione e - Includere i metodi per gestire la distribuzione non riuscita di una patch (ad esempio, la ridistribuzione della patch). e) I BFI dovrebbero distribuire patch automatizzate strumenti di gestione e strumenti di aggiornamento software per tutti i sistemi per i quali tali strumenti sono disponibili e sicuri

rds-automatic-minor-version-upgrade abilitato

Abilita gli aggiornamenti automatici delle versioni secondarie sulle istanze di Amazon Relational Database Service (RDS) per garantire che siano installati gli ultimi aggiornamenti della versione secondaria del Relational Database Management System (RDBMS), che possono includere patch di sicurezza e correzioni di bug.
3.1.5 (d) (e) d) Una gestione appropriata delle chiavi richiede processi sicuri per la generazione, l'archiviazione, il recupero, la distribuzione, il ritiro e la distruzione di chiavi crittografiche e) Tutte le chiavi crittografiche devono essere protette da modifiche e perdite. Inoltre, le chiavi segrete e private necessitano di protezione contro l'uso non autorizzato e la divulgazione. Le apparecchiature utilizzate per generare, archiviare e archiviare le chiavi devono essere fisicamente protette

kms-cmk-not-scheduled-for-deletion

Per proteggere i dati inattivi, assicurarsi che le chiavi master cliente (CMK) necessarie non siano pianificate per l'eliminazione in AWS Key Management Service (AWS KMS). Poiché a volte è necessaria l'eliminazione della chiave, questa regola può aiutare a controllare tutte le chiavi pianificate per l'eliminazione, nel caso in cui una chiave sia stata pianificata involontariamente.
3.1.5 (d) (e) d) Una gestione appropriata delle chiavi richiede processi sicuri per la generazione, l'archiviazione, il recupero, la distribuzione, il ritiro e la distruzione di chiavi crittografiche e) Tutte le chiavi crittografiche devono essere protette da modifiche e perdite. Inoltre, le chiavi segrete e private necessitano di protezione contro l'uso non autorizzato e la divulgazione. Le apparecchiature utilizzate per generare, archiviare e archiviare le chiavi devono essere fisicamente protette

cmk-backing-key-rotation-enabled

È possibile attivare la rotazione delle chiavi per assicurarsi che le chiavi siano ruotate una volta che hanno raggiunto la fine del loro periodo di crittografia.
3.1.5 (d) (e) d) Una gestione appropriata delle chiavi richiede processi sicuri per la generazione, l'archiviazione, il recupero, la distribuzione, il ritiro e la distruzione di chiavi crittografiche e) Tutte le chiavi crittografiche devono essere protette da modifiche e perdite. Inoltre, le chiavi segrete e private necessitano di protezione contro l'uso non autorizzato e la divulgazione. Le apparecchiature utilizzate per generare, archiviare e archiviare le chiavi devono essere fisicamente protette

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e la separazione dei doveri. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione
3.1.5 (d) (e) d) Una gestione appropriata delle chiavi richiede processi sicuri per la generazione, l'archiviazione, il recupero, la distribuzione, il ritiro e la distruzione di chiavi crittografiche e) Tutte le chiavi crittografiche devono essere protette da modifiche e perdite. Inoltre, le chiavi segrete e private necessitano di protezione contro l'uso non autorizzato e la divulgazione. Le apparecchiature utilizzate per generare, archiviare e archiviare le chiavi devono essere fisicamente protette

azioni iam-inline-policy-blocked-kms-actions

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
3.1.5 (f) f) Un sistema di gestione delle chiavi dovrebbe basarsi su un insieme concordato di standard, procedure e metodi sicuri per፦ generazione di chiavi per diversi sistemi crittografici e applicazioni diverse - rilascio e ottenimento di certificati a chiave pubblica - distribuzione delle chiavi alle entità destinate, incluso il modo in cui le chiavi dovrebbero essere attivato al momento della ricezione - memorizzazione delle chiavi, incluso il modo in cui gli utenti autorizzati ottengono l'accesso alle chiavi - modifica o aggiornamento delle chiavi, incluse le regole su quando le chiavi devono essere modificate e su come farlo - gestire le chiavi compromesse - revoca delle chiavi incluso il modo in cui le chiavi devono essere ritirate o disattivate, ad esempio quando le chiavi sono stati compromessi o quando un utente lascia un'organizzazione (nel qual caso devono essere archiviate anche le chiavi) - recupero di chiavi perse o danneggiate - backup o archiviazione delle chiavi - distruggendo le chiavi e - registrazione e verifica delle attività correlate alla gestione delle chiavi.

kms-cmk-not-scheduled-for-deletion

Per proteggere i dati inattivi, assicurarsi che le chiavi master cliente (CMK) necessarie non siano pianificate per l'eliminazione in AWS Key Management Service (AWS KMS). Poiché a volte è necessaria l'eliminazione della chiave, questa regola può aiutare a controllare tutte le chiavi pianificate per l'eliminazione, nel caso in cui una chiave sia stata pianificata involontariamente.
3.1.5 (f) f) Un sistema di gestione delle chiavi dovrebbe basarsi su un insieme concordato di standard, procedure e metodi sicuri per፦ generazione di chiavi per diversi sistemi crittografici e applicazioni diverse - rilascio e ottenimento di certificati a chiave pubblica - distribuzione delle chiavi alle entità destinate, incluso il modo in cui le chiavi dovrebbero essere attivato al momento della ricezione - memorizzazione delle chiavi, incluso il modo in cui gli utenti autorizzati ottengono l'accesso alle chiavi - modifica o aggiornamento delle chiavi, incluse le regole su quando le chiavi devono essere modificate e su come farlo - gestire le chiavi compromesse - revoca delle chiavi incluso il modo in cui le chiavi devono essere ritirate o disattivate, ad esempio quando le chiavi sono stati compromessi o quando un utente lascia un'organizzazione (nel qual caso devono essere archiviate anche le chiavi) - recupero di chiavi perse o danneggiate - backup o archiviazione delle chiavi - distruggendo le chiavi e - registrazione e verifica delle attività correlate alla gestione delle chiavi.

cmk-backing-key-rotation-enabled

È possibile attivare la rotazione delle chiavi per assicurarsi che le chiavi siano ruotate una volta che hanno raggiunto la fine del loro periodo di crittografia.
3.1.5 (f) f) Un sistema di gestione delle chiavi dovrebbe basarsi su un insieme concordato di standard, procedure e metodi sicuri per፦ generazione di chiavi per diversi sistemi crittografici e applicazioni diverse - rilascio e ottenimento di certificati a chiave pubblica - distribuzione delle chiavi alle entità destinate, incluso il modo in cui le chiavi dovrebbero essere attivato al momento della ricezione - memorizzazione delle chiavi, incluso il modo in cui gli utenti autorizzati ottengono l'accesso alle chiavi - modifica o aggiornamento delle chiavi, incluse le regole su quando le chiavi devono essere modificate e su come farlo - gestire le chiavi compromesse - revoca delle chiavi incluso il modo in cui le chiavi devono essere ritirate o disattivate, ad esempio quando le chiavi sono stati compromessi o quando un utente lascia un'organizzazione (nel qual caso devono essere archiviate anche le chiavi) - recupero di chiavi perse o danneggiate - backup o archiviazione delle chiavi - distruggendo le chiavi e - registrazione e verifica delle attività correlate alla gestione delle chiavi.

acm-certificate-expiration-check

Assicurati che l'integrità della rete sia protetta assicurando che i certificati X509 vengano emessi da AWS ACM. Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore perdaysToExpiration(Valore AWS Foundational Security Best Practices: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
3.1.5 (f) f) Un sistema di gestione delle chiavi dovrebbe basarsi su un insieme concordato di standard, procedure e metodi sicuri per፦ generazione di chiavi per diversi sistemi crittografici e applicazioni diverse - rilascio e ottenimento di certificati a chiave pubblica - distribuzione delle chiavi alle entità destinate, incluso il modo in cui le chiavi dovrebbero essere attivato al momento della ricezione - memorizzazione delle chiavi, incluso il modo in cui gli utenti autorizzati ottengono l'accesso alle chiavi - modifica o aggiornamento delle chiavi, incluse le regole su quando le chiavi devono essere modificate e su come farlo - gestire le chiavi compromesse - revoca delle chiavi incluso il modo in cui le chiavi devono essere ritirate o disattivate, ad esempio quando le chiavi sono stati compromessi o quando un utente lascia un'organizzazione (nel qual caso devono essere archiviate anche le chiavi) - recupero di chiavi perse o danneggiate - backup o archiviazione delle chiavi - distruggendo le chiavi e - registrazione e verifica delle attività correlate alla gestione delle chiavi.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
3.1.5 (f) f) Un sistema di gestione delle chiavi dovrebbe basarsi su un insieme concordato di standard, procedure e metodi sicuri per፦ generazione di chiavi per diversi sistemi crittografici e applicazioni diverse - rilascio e ottenimento di certificati a chiave pubblica - distribuzione delle chiavi alle entità destinate, incluso il modo in cui le chiavi dovrebbero essere attivato al momento della ricezione - memorizzazione delle chiavi, incluso il modo in cui gli utenti autorizzati ottengono l'accesso alle chiavi - modifica o aggiornamento delle chiavi, incluse le regole su quando le chiavi devono essere modificate e su come farlo - gestire le chiavi compromesse - revoca delle chiavi incluso il modo in cui le chiavi devono essere ritirate o disattivate, ad esempio quando le chiavi sono stati compromessi o quando un utente lascia un'organizzazione (nel qual caso devono essere archiviate anche le chiavi) - recupero di chiavi perse o danneggiate - backup o archiviazione delle chiavi - distruggendo le chiavi e - registrazione e verifica delle attività correlate alla gestione delle chiavi.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record di contenuti.
3.1.5 (f) f) Un sistema di gestione delle chiavi dovrebbe basarsi su un insieme concordato di standard, procedure e metodi sicuri per፦ generazione di chiavi per diversi sistemi crittografici e applicazioni diverse - rilascio e ottenimento di certificati a chiave pubblica - distribuzione delle chiavi alle entità destinate, incluso il modo in cui le chiavi dovrebbero essere attivato al momento della ricezione - memorizzazione delle chiavi, incluso il modo in cui gli utenti autorizzati ottengono l'accesso alle chiavi - modifica o aggiornamento delle chiavi, incluse le regole su quando le chiavi devono essere modificate e su come farlo - gestire le chiavi compromesse - revoca delle chiavi incluso il modo in cui le chiavi devono essere ritirate o disattivate, ad esempio quando le chiavi sono stati compromessi o quando un utente lascia un'organizzazione (nel qual caso devono essere archiviate anche le chiavi) - recupero di chiavi perse o danneggiate - backup o archiviazione delle chiavi - distruggendo le chiavi e - registrazione e verifica delle attività correlate alla gestione delle chiavi.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
3.1.5 (f) f) Un sistema di gestione delle chiavi dovrebbe basarsi su un insieme concordato di standard, procedure e metodi sicuri per፦ generazione di chiavi per diversi sistemi crittografici e applicazioni diverse - rilascio e ottenimento di certificati a chiave pubblica - distribuzione delle chiavi alle entità destinate, incluso il modo in cui le chiavi dovrebbero essere attivato al momento della ricezione - memorizzazione delle chiavi, incluso il modo in cui gli utenti autorizzati ottengono l'accesso alle chiavi - modifica o aggiornamento delle chiavi, incluse le regole su quando le chiavi devono essere modificate e su come farlo - gestire le chiavi compromesse - revoca delle chiavi incluso il modo in cui le chiavi devono essere ritirate o disattivate, ad esempio quando le chiavi sono stati compromessi o quando un utente lascia un'organizzazione (nel qual caso devono essere archiviate anche le chiavi) - recupero di chiavi perse o danneggiate - backup o archiviazione delle chiavi - distruggendo le chiavi e - registrazione e verifica delle attività correlate alla gestione delle chiavi.

elbv2-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
3.1.6 (a) a) Il BFI dovrebbe implementare una combinazione di strumenti automatizzati e tecniche manuali per eseguire un VA completo su base periodica. Per i sistemi esterni basati su Web, l'ambito di VA dovrebbe includere vulnerabilità Web comuni come SQL injection e cross-site scripting.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
3.1.6 (a) a) Il BFI dovrebbe implementare una combinazione di strumenti automatizzati e tecniche manuali per eseguire un VA completo su base periodica. Per i sistemi esterni basati su Web, l'ambito di VA dovrebbe includere vulnerabilità Web comuni come SQL injection e cross-site scripting.

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive nell'ambiente.
3.1.6 (a) a) Il BFI dovrebbe implementare una combinazione di strumenti automatizzati e tecniche manuali per eseguire un VA completo su base periodica. Per i sistemi esterni basati su Web, l'ambito di VA dovrebbe includere vulnerabilità Web comuni come SQL injection e cross-site scripting.

api-gw-associato-con-waf

AWS WAF consente di configurare un set di regole (denominato lista di controllo accessi Web (web ACL)) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi
3.1.6 (f) f) La funzione di sicurezza dovrebbe fornire aggiornamenti di stato per quanto riguarda il numero di vulnerabilità critiche e non attenuate, per ciascun dipartimento/divisione, e pianificare periodicamente la mitigazione dell'alto dirigente

guardduty-non-archived-findings

AmazonGuardDutyaiuta a comprendere l'impatto di un incidente classificando i risultati per gravità: bassa, media e alta. È possibile utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola permette l'impostazione facoltativadaysLowSev(Impostazione predefinita: 30),daysMediumSev(Config Default: 7) edaysHighSev(Config Predefinito: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione.
3.1.8 Formazione e consapevolezza degli utenti security-awareness-program-esiste Stabilisci e gestisci un programma di sensibilizzazione sulla sicurezza per la tua organizzazione I programmi di sensibilizzazione sulla sicurezza educano i dipendenti su come proteggere la propria organizzazione da varie violazioni o incidenti della sicurezza.
3.10 (b) b) Le informazioni sensibili come la documentazione di sistema, il codice sorgente dell'applicazione e i dati delle transazioni di produzione dovrebbero avere controlli più estesi per evitare alterazioni (ad esempio, controlli di integrità, hash crittografici). Inoltre, le politiche dovrebbero ridurre al minimo la distribuzione di informazioni sensibili, incluse le stampe che contengono le informazioni.

cloud-trail-encryption-enabled

Poiché potrebbero esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo AWSCloudTrailsentieri.
3.10 (b) b) Le informazioni sensibili come la documentazione di sistema, il codice sorgente dell'applicazione e i dati delle transazioni di produzione dovrebbero avere controlli più estesi per evitare alterazioni (ad esempio, controlli di integrità, hash crittografici). Inoltre, le politiche dovrebbero ridurre al minimo la distribuzione di informazioni sensibili, incluse le stampe che contengono le informazioni.

cloudwatch-log-group-encrypted

Per proteggere i dati sensibili a riposo, assicurati che la crittografia sia abilitata per il tuo AmazonCloudWatchGruppi di log di.
3.1.10 (b) b) Le informazioni sensibili come la documentazione di sistema, il codice sorgente dell'applicazione e i dati delle transazioni di produzione dovrebbero avere controlli più estesi per evitare alterazioni (ad esempio, controlli di integrità, hash crittografici). Inoltre, le politiche dovrebbero ridurre al minimo la distribuzione di informazioni sensibili, incluse le stampe che contengono le informazioni.

efs-encrypted-check

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo Amazon Elastic File System (EFS).
3.10 (b) b) Le informazioni sensibili come la documentazione di sistema, il codice sorgente dell'applicazione e i dati delle transazioni di produzione dovrebbero avere controlli più estesi per evitare alterazioni (ad esempio, controlli di integrità, hash crittografici). Inoltre, le politiche dovrebbero ridurre al minimo la distribuzione di informazioni sensibili, incluse le stampe che contengono le informazioni.

elasticsearch-encrypted-at-rest

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per AmazonOpenSearchService (OpenSearchDomini Service).
3.10 (b) b) Le informazioni sensibili come la documentazione di sistema, il codice sorgente dell'applicazione e i dati delle transazioni di produzione dovrebbero avere controlli più estesi per evitare alterazioni (ad esempio, controlli di integrità, hash crittografici). Inoltre, le politiche dovrebbero ridurre al minimo la distribuzione di informazioni sensibili, incluse le stampe che contengono le informazioni.

encrypted-volumes

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS).
3.1.10 (b) b) Le informazioni sensibili come la documentazione di sistema, il codice sorgente dell'applicazione e i dati delle transazioni di produzione dovrebbero avere controlli più estesi per evitare alterazioni (ad esempio, controlli di integrità, hash crittografici). Inoltre, le politiche dovrebbero ridurre al minimo la distribuzione di informazioni sensibili, incluse le stampe che contengono le informazioni.

rds-storage-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze di Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati.
3.1.10 (b) b) Le informazioni sensibili come la documentazione di sistema, il codice sorgente dell'applicazione e i dati delle transazioni di produzione dovrebbero avere controlli più estesi per evitare alterazioni (ad esempio, controlli di integrità, hash crittografici). Inoltre, le politiche dovrebbero ridurre al minimo la distribuzione di informazioni sensibili, incluse le stampe che contengono le informazioni.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
3.1.10 (b) b) Le informazioni sensibili come la documentazione di sistema, il codice sorgente dell'applicazione e i dati delle transazioni di produzione dovrebbero avere controlli più estesi per evitare alterazioni (ad esempio, controlli di integrità, hash crittografici). Inoltre, le politiche dovrebbero ridurre al minimo la distribuzione di informazioni sensibili, incluse le stampe che contengono le informazioni.

S3-bucket-server-side-encryption-enabled

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati.
3.1.10 (b) b) Le informazioni sensibili come la documentazione di sistema, il codice sorgente dell'applicazione e i dati delle transazioni di produzione dovrebbero avere controlli più estesi per evitare alterazioni (ad esempio, controlli di integrità, hash crittografici). Inoltre, le politiche dovrebbero ridurre al minimo la distribuzione di informazioni sensibili, incluse le stampe che contengono le informazioni.

sagemaker-endpoint-configuration-kms-key-configured

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per ilSageMakerendpoint. Perché i dati sensibili possono esistere a riposoSageMakerendpoint, abilita la crittografia a riposo per proteggere tali dati.
3.1.10 (b) b) Le informazioni sensibili come la documentazione di sistema, il codice sorgente dell'applicazione e i dati delle transazioni di produzione dovrebbero avere controlli più estesi per evitare alterazioni (ad esempio, controlli di integrità, hash crittografici). Inoltre, le politiche dovrebbero ridurre al minimo la distribuzione di informazioni sensibili, incluse le stampe che contengono le informazioni.

sagemaker-notebook-instance-kms-key-configurato

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per ilSageMakernotebook. Perché i dati sensibili possono esistere a riposoSageMakernotebook, abilita la crittografia a riposo per proteggere tali dati.
3.1.10 (b) b) Le informazioni sensibili come la documentazione di sistema, il codice sorgente dell'applicazione e i dati delle transazioni di produzione dovrebbero avere controlli più estesi per evitare alterazioni (ad esempio, controlli di integrità, hash crittografici). Inoltre, le politiche dovrebbero ridurre al minimo la distribuzione di informazioni sensibili, incluse le stampe che contengono le informazioni.

sns-encrypted-kms

Per proteggere i dati a riposo, assicurati che gli argomenti Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Poiché i dati sensibili possono esistere a riposo nei messaggi pubblicati, abilitare la crittografia a riposo per proteggere tali dati.
3.1.10 (b) b) Le informazioni sensibili come la documentazione di sistema, il codice sorgente dell'applicazione e i dati delle transazioni di produzione dovrebbero avere controlli più estesi per evitare alterazioni (ad esempio, controlli di integrità, hash crittografici). Inoltre, le politiche dovrebbero ridurre al minimo la distribuzione di informazioni sensibili, incluse le stampe che contengono le informazioni.

ec2-ebs-encryption-by-default

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati.
3.1.10 (b) b) Le informazioni sensibili come la documentazione di sistema, il codice sorgente dell'applicazione e i dati delle transazioni di produzione dovrebbero avere controlli più estesi per evitare alterazioni (ad esempio, controlli di integrità, hash crittografici). Inoltre, le politiche dovrebbero ridurre al minimo la distribuzione di informazioni sensibili, incluse le stampe che contengono le informazioni.

rds-snapshot-encrypted

Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
3.1.10 (b) b) Le informazioni sensibili come la documentazione di sistema, il codice sorgente dell'applicazione e i dati delle transazioni di produzione dovrebbero avere controlli più estesi per evitare alterazioni (ad esempio, controlli di integrità, hash crittografici). Inoltre, le politiche dovrebbero ridurre al minimo la distribuzione di informazioni sensibili, incluse le stampe che contengono le informazioni.

s3-default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo in un bucket Amazon S3, abilitare la crittografia a riposo per proteggere tali dati.
3.1.10 (b) b) Le informazioni sensibili come la documentazione di sistema, il codice sorgente dell'applicazione e i dati delle transazioni di produzione dovrebbero avere controlli più estesi per evitare alterazioni (ad esempio, controlli di integrità, hash crittografici). Inoltre, le politiche dovrebbero ridurre al minimo la distribuzione di informazioni sensibili, incluse le stampe che contengono le informazioni.

api-gw-cache-enabled-and-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per la cache della fase API Gateway. Poiché i dati sensibili possono essere acquisiti per il metodo API, abilitare la crittografia a riposo per proteggere tali dati.
3.1.10 (b) b) Le informazioni sensibili come la documentazione di sistema, il codice sorgente dell'applicazione e i dati delle transazioni di produzione dovrebbero avere controlli più estesi per evitare alterazioni (ad esempio, controlli di integrità, hash crittografici). Inoltre, le politiche dovrebbero ridurre al minimo la distribuzione di informazioni sensibili, incluse le stampe che contengono le informazioni.

dynamodb-table-encrypted-kms

Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Poiché i dati sensibili possono esistere a riposo in queste tabelle, abilitare la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB vengono crittografate con una chiave master cliente di proprietà AWS.
3.1.10 (b) b) Le informazioni sensibili come la documentazione di sistema, il codice sorgente dell'applicazione e i dati delle transazioni di produzione dovrebbero avere controlli più estesi per evitare alterazioni (ad esempio, controlli di integrità, hash crittografici). Inoltre, le politiche dovrebbero ridurre al minimo la distribuzione di informazioni sensibili, incluse le stampe che contengono le informazioni.

redshift-cluster-kms-enabled

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il cluster Amazon Redshift. Poiché i dati sensibili possono esistere a riposo nei cluster Redshift, abilitare la crittografia a riposo per proteggere tali dati.
3.1.10 (b) b) Le informazioni sensibili come la documentazione di sistema, il codice sorgente dell'applicazione e i dati delle transazioni di produzione dovrebbero avere controlli più estesi per evitare alterazioni (ad esempio, controlli di integrità, hash crittografici). Inoltre, le politiche dovrebbero ridurre al minimo la distribuzione di informazioni sensibili, incluse le stampe che contengono le informazioni.

secretsmanager-using-cmk

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per i segreti AWS Secrets Manager. Poiché i dati sensibili possono esistere a riposo nei segreti di Secrets Manager, abilitare la crittografia a riposo per proteggere tali dati.
3.2.1 (h) h) Per ridurre al minimo i rischi associati alle modifiche, le BFI devono eseguire backup dei sistemi o delle applicazioni interessati prima della modifica. I BFI dovrebbero stabilire un piano di rollback per ripristinare una versione precedente del sistema o dell'applicazione se si verifica un problema durante o dopo la distribuzione.

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea automaticamente uno snapshot del volume di storage dell'istanza database, eseguendo il backup dell'intera istanza database. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
3.2.1 (h) h) Per ridurre al minimo i rischi associati alle modifiche, le BFI devono eseguire backup dei sistemi o delle applicazioni interessati prima della modifica. I BFI dovrebbero stabilire un piano di rollback per ripristinare una versione precedente del sistema o dell'applicazione se si verifica un problema durante o dopo la distribuzione.

dynamodb-pitr-enabled

Abilitare questa regola per verificare che le informazioni siano state eseguite il backup. Mantiene inoltre i backup garantendo chepoint-in-timeIl ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
3.2.1 (h) h) Per ridurre al minimo i rischi associati alle modifiche, le BFI devono eseguire backup dei sistemi o delle applicazioni interessati prima della modifica. I BFI dovrebbero stabilire un piano di rollback per ripristinare una versione precedente del sistema o dell'applicazione se si verifica un problema durante o dopo la distribuzione.

ebs-optimized-instance

Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) fornisce capacità aggiuntiva dedicata per le operazioni di I/O Amazon EBS. Tale ottimizzazione fornisce le prestazioni più efficienti per i volumi EBS, riducendo al minimo i conflitti tra le operazioni di I/O Amazon EBS e l'altro traffico proveniente dall'istanza.
3.2.1 (h) h) Per ridurre al minimo i rischi associati alle modifiche, le BFI devono eseguire backup dei sistemi o delle applicazioni interessati prima della modifica. I BFI dovrebbero stabilire un piano di rollback per ripristinare una versione precedente del sistema o dell'applicazione se si verifica un problema durante o dopo la distribuzione.

elasticache-redis-cluster-automatic-backup-check

Quando i backup automatici sono abilitati, AmazonElastiCachecrea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, è possibile creare un nuovo cluster che ripristina i dati dal backup più recente.
3.2.1 (h) h) Per ridurre al minimo i rischi associati alle modifiche, le BFI devono eseguire backup dei sistemi o delle applicazioni interessati prima della modifica. I BFI dovrebbero stabilire un piano di rollback per ripristinare una versione precedente del sistema o dell'applicazione se si verifica un problema durante o dopo la distribuzione.

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
3.2.1 (h) h) Per ridurre al minimo i rischi associati alle modifiche, le BFI devono eseguire backup dei sistemi o delle applicazioni interessati prima della modifica. I BFI dovrebbero stabilire un piano di rollback per ripristinare una versione precedente del sistema o dell'applicazione se si verifica un problema durante o dopo la distribuzione.

s3-bucket-versioning-enabled

Il controllo delle versioni bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa questa funzione per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni consente il facile recupero dopo errori dell'applicazione e operazioni involontarie dell'utente.
3.2.1 (h) h) Per ridurre al minimo i rischi associati alle modifiche, le BFI devono eseguire backup dei sistemi o delle applicazioni interessati prima della modifica. I BFI dovrebbero stabilire un piano di rollback per ripristinare una versione precedente del sistema o dell'applicazione se si verifica un problema durante o dopo la distribuzione.

dynamic odb-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup.
3.2.1 (h) h) Per ridurre al minimo i rischi associati alle modifiche, le BFI devono eseguire backup dei sistemi o delle applicazioni interessati prima della modifica. I BFI dovrebbero stabilire un piano di rollback per ripristinare una versione precedente del sistema o dell'applicazione se si verifica un problema durante o dopo la distribuzione.

ebs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) fanno parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup.
3.2.1 (h) h) Per ridurre al minimo i rischi associati alle modifiche, le BFI devono eseguire backup dei sistemi o delle applicazioni interessati prima della modifica. I BFI dovrebbero stabilire un piano di rollback per ripristinare una versione precedente del sistema o dell'applicazione se si verifica un problema durante o dopo la distribuzione.

efs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup.
3.2.1 (h) h) Per ridurre al minimo i rischi associati alle modifiche, le BFI devono eseguire backup dei sistemi o delle applicazioni interessati prima della modifica. I BFI dovrebbero stabilire un piano di rollback per ripristinare una versione precedente del sistema o dell'applicazione se si verifica un problema durante o dopo la distribuzione.

rds-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le istanze Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup.
3.2.1 (h) h) Per ridurre al minimo i rischi associati alle modifiche, le BFI devono eseguire backup dei sistemi o delle applicazioni interessati prima della modifica. I BFI dovrebbero stabilire un piano di rollback per ripristinare una versione precedente del sistema o dell'applicazione se si verifica un problema durante o dopo la distribuzione.

redshift-backup-enabled

Per aiutarti con i processi di backup dei dati, assicurati che i tuoi cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot di quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB di modifiche dei dati per nodo, a seconda di quale evento si verifica prima.
3.2.1 (km) k) I registri di controllo e sicurezza sono informazioni utili che facilitano le indagini e la risoluzione dei problemi. Il BFI dovrebbe garantire che la funzionalità di registrazione sia abilitata a registrare le attività eseguite durante il processo di migrazione.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
3.2.1 (km) k) I registri di controllo e sicurezza sono informazioni utili che facilitano le indagini e la risoluzione dei problemi. Il BFI dovrebbe garantire che la funzionalità di registrazione sia abilitata a registrare le attività eseguite durante il processo di migrazione.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati forniscono dettagli sull'attività delle chiamate API nell'account AWS.
3.2.1 (km) k) I registri di controllo e sicurezza sono informazioni utili che facilitano le indagini e la risoluzione dei problemi. Il BFI dovrebbe garantire che la funzionalità di registrazione sia abilitata a registrare le attività eseguite durante il processo di migrazione.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record di contenuti.
3.2.1 (km) k) I registri di controllo e sicurezza sono informazioni utili che facilitano le indagini e la risoluzione dei problemi. Il BFI dovrebbe garantire che la funzionalità di registrazione sia abilitata a registrare le attività eseguite durante il processo di migrazione.

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
3.2.1 (km) k) I registri di controllo e sicurezza sono informazioni utili che facilitano le indagini e la risoluzione dei problemi. Il BFI dovrebbe garantire che la funzionalità di registrazione sia abilitata a registrare le attività eseguite durante il processo di migrazione.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
3.2.1 (km) k) I registri di controllo e sicurezza sono informazioni utili che facilitano le indagini e la risoluzione dei problemi. Il BFI dovrebbe garantire che la funzionalità di registrazione sia abilitata a registrare le attività eseguite durante il processo di migrazione.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
3.2.1 (km) k) I registri di controllo e sicurezza sono informazioni utili che facilitano le indagini e la risoluzione dei problemi. Il BFI dovrebbe garantire che la funzionalità di registrazione sia abilitata a registrare le attività eseguite durante il processo di migrazione.

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
3.2.1 (km) k) I registri di controllo e sicurezza sono informazioni utili che facilitano le indagini e la risoluzione dei problemi. Il BFI dovrebbe garantire che la funzionalità di registrazione sia abilitata a registrare le attività eseguite durante il processo di migrazione.

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per le informazioni sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record di log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
3.2.1 (km) k) I registri di controllo e sicurezza sono informazioni utili che facilitano le indagini e la risoluzione dei problemi. Il BFI dovrebbe garantire che la funzionalità di registrazione sia abilitata a registrare le attività eseguite durante il processo di migrazione.

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
3.2.1 (km) k) I registri di controllo e sicurezza sono informazioni utili che facilitano le indagini e la risoluzione dei problemi. Il BFI dovrebbe garantire che la funzionalità di registrazione sia abilitata a registrare le attività eseguite durante il processo di migrazione.

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
3.2.1 (km) k) I registri di controllo e sicurezza sono informazioni utili che facilitano le indagini e la risoluzione dei problemi. Il BFI dovrebbe garantire che la funzionalità di registrazione sia abilitata a registrare le attività eseguite durante il processo di migrazione.

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta.
3.2.1 (km) k) I registri di controllo e sicurezza sono informazioni utili che facilitano le indagini e la risoluzione dei problemi. Il BFI dovrebbe garantire che la funzionalità di registrazione sia abilitata a registrare le attività eseguite durante il processo di migrazione.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
3.2.1 (km) k) I registri di controllo e sicurezza sono informazioni utili che facilitano le indagini e la risoluzione dei problemi. Il BFI dovrebbe garantire che la funzionalità di registrazione sia abilitata a registrare le attività eseguite durante il processo di migrazione.

ricerca elastica - logs-to-cloud watch

Garantire AmazonOpenSearchI domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su AmazonCloudWatchRegistri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
(a) a) Sviluppare e implementare processi per prevenire, rilevare, analizzare e rispondere agli incidenti di sicurezza delle informazioni.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
3.2.3 (a) a) Sviluppare e implementare processi per prevenire, rilevare, analizzare e rispondere agli incidenti di sicurezza delle informazioni.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
3.2.3 (a) a) Sviluppare e implementare processi per prevenire, rilevare, analizzare e rispondere agli incidenti di sicurezza delle informazioni. response-plan-exists-mantenuto Assicurarsi che i piani di risposta agli incidenti siano stabiliti, mantenuti e distribuiti al personale responsabile.
R 3.2.3 (i) Testare e perfezionare periodicamente i piani di risposta agli incidenti di sicurezza delle informazioni. response-plan-tested Assicurati che i piani di risposta agli incidenti e ripristino siano testati. Ciò può aiutare a capire se il piano sarà efficace durante un incidente e se è necessario risolvere eventuali lacune o aggiornamenti.
lettera 3.3.1 a) Considerare fattori importanti associati al mantenimento di elevata disponibilità del sistema, capacità adeguata, prestazioni affidabili, tempi di risposta rapidi, scalabilità come parte della progettazione del sistema.

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling utilizza il servizio AWS Application Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura/scrittura assegnata per gestire improvvisi aumenti di traffico, senza limitazioni.
lettera 3.3.1 a) Considerare fattori importanti associati al mantenimento di elevata disponibilità del sistema, capacità adeguata, prestazioni affidabili, tempi di risposta rapidi, scalabilità come parte della progettazione del sistema.

dynamodb-pitr-enabled

Abilitare questa regola per verificare che le informazioni siano state eseguite il backup. Mantiene inoltre i backup garantendo chepoint-in-timeIl ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
lettera 3.3.1 a) Considerare fattori importanti associati al mantenimento di elevata disponibilità del sistema, capacità adeguata, prestazioni affidabili, tempi di risposta rapidi, scalabilità come parte della progettazione del sistema.

ebs-optimized-instance

Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) fornisce capacità aggiuntiva dedicata per le operazioni di I/O Amazon EBS. Tale ottimizzazione fornisce le prestazioni più efficienti per i volumi EBS, riducendo al minimo i conflitti tra le operazioni di I/O Amazon EBS e l'altro traffico proveniente dall'istanza.
lettera 3.3.1 a) Considerare fattori importanti associati al mantenimento di elevata disponibilità del sistema, capacità adeguata, prestazioni affidabili, tempi di risposta rapidi, scalabilità come parte della progettazione del sistema.

elb-deletion-protection-enabled

Questa regola garantisce che Elastic Load Balancing abbia la protezione da eliminazione abilitata. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni.
lettera 3.3.1 a) Considerare fattori importanti associati al mantenimento di elevata disponibilità del sistema, capacità adeguata, prestazioni affidabili, tempi di risposta rapidi, scalabilità come parte della progettazione del sistema.

rds-multi-az-support

Il supporto Multi-AZ in Amazon Relational Database Service (Amazon RDS) fornisce disponibilità e durata migliorate per le istanze di database. Quando esegui il provisioning di un'istanza di database Multi-AZ, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati in un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità viene eseguita su una propria infrastruttura fisica, distinta e indipendente ed è progettata per essere altamente affidabile. In caso di guasto all'infrastruttura, Amazon RDS esegue un failover automatico sullo standby in modo da poter riprendere le operazioni del database non appena il failover è stato completato.
lettera 3.3.1 a) Considerare fattori importanti associati al mantenimento di elevata disponibilità del sistema, capacità adeguata, prestazioni affidabili, tempi di risposta rapidi, scalabilità come parte della progettazione del sistema.

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
lettera 3.3.1 a) Considerare fattori importanti associati al mantenimento di elevata disponibilità del sistema, capacità adeguata, prestazioni affidabili, tempi di risposta rapidi, scalabilità come parte della progettazione del sistema.

s3-bucket-versioning-enabled

Il controllo delle versioni bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa questa funzione per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni consente il facile recupero dopo errori dell'applicazione e operazioni involontarie dell'utente.
lettera 3.3.1 a) Considerare fattori importanti associati al mantenimento di elevata disponibilità del sistema, capacità adeguata, prestazioni affidabili, tempi di risposta rapidi, scalabilità come parte della progettazione del sistema.

vpc-vpn-2-tunnels-up

I tunnel Site-to-Site VPN ridondanti possono essere implementati per ottenere requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso una delle connessioni Site-to-Site VPN non sia disponibile. Per evitare la perdita di connettività, nel caso in cui il gateway del cliente non sia disponibile, puoi configurare una seconda connessione Site-to-Site VPN al Amazon Virtual Private Cloud (Amazon VPC) e al gateway virtuale privato utilizzando un secondo gateway del cliente.
lettera 3.3.1 a) Considerare fattori importanti associati al mantenimento di elevata disponibilità del sistema, capacità adeguata, prestazioni affidabili, tempi di risposta rapidi, scalabilità come parte della progettazione del sistema.

elb-cross-zone-load-balancing-abilitato

Abilita il bilanciamento del carico tra zone per i tuoi Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere un numero equivalente di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze.
lettera 3.3.1 a) Considerare fattori importanti associati al mantenimento di elevata disponibilità del sistema, capacità adeguata, prestazioni affidabili, tempi di risposta rapidi, scalabilità come parte della progettazione del sistema.

rds-instance-deletion-protection-enabled

Assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) abbiano abilitata la protezione dall'eliminazione. Utilizza la protezione dall'eliminazione per evitare che le tue istanze Amazon RDS vengano cancellate accidentalmente o dannosamente, il che può comportare una perdita di disponibilità per le tue applicazioni.
lettera 3.3.1 a) Considerare fattori importanti associati al mantenimento di elevata disponibilità del sistema, capacità adeguata, prestazioni affidabili, tempi di risposta rapidi, scalabilità come parte della progettazione del sistema.

autoscaling-group-elb-healthcheck-required

I controlli di integrità Elastic Load Balancer (ELB) per i gruppi Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) supportano il mantenimento di capacità e disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ping, effettua tentativi di connessione o invia richieste per testare l'integrità delle istanze Amazon EC2 in un gruppo di auto-scaling. Se un'istanza non viene segnalata, il traffico viene inviato a una nuova istanza Amazon EC2.
lettera 3.3.1 a) Considerare fattori importanti associati al mantenimento di elevata disponibilità del sistema, capacità adeguata, prestazioni affidabili, tempi di risposta rapidi, scalabilità come parte della progettazione del sistema.

dynamodb-throughput-limit-check

Attiva questa regola per garantire che la capacità di throughput di provisioning sia controllata sulle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura/scrittura che ciascuna tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando il throughput si avvicina al limite massimo per l'account di un cliente. Questa regola permette l'impostazione facoltativa AccountRCUThresholdPercentage(Config Default: 80) e accountWCUThresholdPercentage(Config Default: 80) parametri. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
lettera 3.3.1 a) Considerare fattori importanti associati al mantenimento di elevata disponibilità del sistema, capacità adeguata, prestazioni affidabili, tempi di risposta rapidi, scalabilità come parte della progettazione del sistema.

lambda-concurrency-check

Questa regola assicura che vengano stabiliti i limiti alti e bassi di concorrenza di una funzione Lambda. Questo può aiutare a baseline il numero di richieste che la funzione sta eseguendo in un dato momento.
3.4 a) b) c) f) (j) a) Assicurarsi che le registrazioni dell'accesso degli utenti siano identificate e registrate in modo univoco per scopi di audit e revisione. b) Documentare la responsabilità e l'identificazione dell'accesso non autorizzato. c) Abilitare la registrazione di audit delle attività di sistema eseguite da utenti privilegiati. f) Assicurarsi che la registrazione e il monitoraggio siano adeguati applicato per abilitare la registrazione e il rilevamento di azioni che possono influire o sono rilevanti per la sicurezza delle informazioni. j) Assicurarsi che la registrazione degli eventi costituisca le basi per sistemi di monitoraggio automatizzati in grado di generare report consolidati e avvisi sulla sicurezza del sistema.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
3.4 a) b) c) f) (j) a) Assicurarsi che le registrazioni dell'accesso degli utenti siano identificate e registrate in modo univoco per scopi di audit e revisione. b) Documentare la responsabilità e l'identificazione dell'accesso non autorizzato. c) Abilitare la registrazione di audit delle attività di sistema eseguite da utenti privilegiati. f) Assicurarsi che la registrazione e il monitoraggio siano adeguati applicato per abilitare la registrazione e il rilevamento di azioni che possono influire o sono rilevanti per la sicurezza delle informazioni. j) Assicurarsi che la registrazione degli eventi costituisca le basi per sistemi di monitoraggio automatizzati in grado di generare report consolidati e avvisi sulla sicurezza del sistema.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati forniscono dettagli sull'attività delle chiamate API nell'account AWS.
3.4 a) b) c) f) (j) a) Assicurarsi che le registrazioni dell'accesso degli utenti siano identificate e registrate in modo univoco per scopi di audit e revisione. b) Documentare la responsabilità e l'identificazione dell'accesso non autorizzato. c) Abilitare la registrazione di audit delle attività di sistema eseguite da utenti privilegiati. f) Assicurarsi che la registrazione e il monitoraggio siano adeguati applicato per abilitare la registrazione e il rilevamento di azioni che possono influire o sono rilevanti per la sicurezza delle informazioni. j) Assicurarsi che la registrazione degli eventi costituisca le basi per sistemi di monitoraggio automatizzati in grado di generare report consolidati e avvisi sulla sicurezza del sistema.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record di contenuti.
3.4 a) b) c) f) (j) a) Assicurarsi che le registrazioni dell'accesso degli utenti siano identificate e registrate in modo univoco per scopi di audit e revisione. b) Documentare la responsabilità e l'identificazione dell'accesso non autorizzato. c) Abilitare la registrazione di audit delle attività di sistema eseguite da utenti privilegiati. f) Assicurarsi che la registrazione e il monitoraggio siano adeguati applicato per abilitare la registrazione e il rilevamento di azioni che possono influire o sono rilevanti per la sicurezza delle informazioni. j) Assicurarsi che la registrazione degli eventi costituisca le basi per sistemi di monitoraggio automatizzati in grado di generare report consolidati e avvisi sulla sicurezza del sistema.

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
3.4 a) b) c) f) (j) a) Assicurarsi che le registrazioni dell'accesso degli utenti siano identificate e registrate in modo univoco per scopi di audit e revisione. b) Documentare la responsabilità e l'identificazione dell'accesso non autorizzato. c) Abilitare la registrazione di audit delle attività di sistema eseguite da utenti privilegiati. f) Assicurarsi che la registrazione e il monitoraggio siano adeguati applicato per abilitare la registrazione e il rilevamento di azioni che possono influire o sono rilevanti per la sicurezza delle informazioni. j) Assicurarsi che la registrazione degli eventi costituisca le basi per sistemi di monitoraggio automatizzati in grado di generare report consolidati e avvisi sulla sicurezza del sistema.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
3.4 a) b) c) f) (j) a) Assicurarsi che le registrazioni dell'accesso degli utenti siano identificate e registrate in modo univoco per scopi di audit e revisione. b) Documentare la responsabilità e l'identificazione dell'accesso non autorizzato. c) Abilitare la registrazione di audit delle attività di sistema eseguite da utenti privilegiati. f) Assicurarsi che la registrazione e il monitoraggio siano adeguati applicato per abilitare la registrazione e il rilevamento di azioni che possono influire o sono rilevanti per la sicurezza delle informazioni. j) Assicurarsi che la registrazione degli eventi costituisca le basi per sistemi di monitoraggio automatizzati in grado di generare report consolidati e avvisi sulla sicurezza del sistema.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
3.4 a) b) c) f) (j) a) Assicurarsi che le registrazioni dell'accesso degli utenti siano identificate e registrate in modo univoco per scopi di audit e revisione. b) Documentare la responsabilità e l'identificazione dell'accesso non autorizzato. c) Abilitare la registrazione di audit delle attività di sistema eseguite da utenti privilegiati. f) Assicurarsi che la registrazione e il monitoraggio siano adeguati applicato per abilitare la registrazione e il rilevamento di azioni che possono influire o sono rilevanti per la sicurezza delle informazioni. j) Assicurarsi che la registrazione degli eventi costituisca le basi per sistemi di monitoraggio automatizzati in grado di generare report consolidati e avvisi sulla sicurezza del sistema.

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
3.4 a) b) c) f) (j) a) Assicurarsi che le registrazioni dell'accesso degli utenti siano identificate e registrate in modo univoco per scopi di audit e revisione. b) Documentare la responsabilità e l'identificazione dell'accesso non autorizzato. c) Abilitare la registrazione di audit delle attività di sistema eseguite da utenti privilegiati. f) Assicurarsi che la registrazione e il monitoraggio siano adeguati applicato per abilitare la registrazione e il rilevamento di azioni che possono influire o sono rilevanti per la sicurezza delle informazioni. j) Assicurarsi che la registrazione degli eventi costituisca le basi per sistemi di monitoraggio automatizzati in grado di generare report consolidati e avvisi sulla sicurezza del sistema.

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per le informazioni sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record di log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
3.4 a) b) c) f) (j) a) Assicurarsi che le registrazioni dell'accesso degli utenti siano identificate e registrate in modo univoco per scopi di audit e revisione. b) Documentare la responsabilità e l'identificazione dell'accesso non autorizzato. c) Abilitare la registrazione di audit delle attività di sistema eseguite da utenti privilegiati. f) Assicurarsi che la registrazione e il monitoraggio siano adeguati applicato per abilitare la registrazione e il rilevamento di azioni che possono influire o sono rilevanti per la sicurezza delle informazioni. j) Assicurarsi che la registrazione degli eventi costituisca le basi per sistemi di monitoraggio automatizzati in grado di generare report consolidati e avvisi sulla sicurezza del sistema.

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
3.4 a) b) c) f) (j) a) Assicurarsi che le registrazioni dell'accesso degli utenti siano identificate e registrate in modo univoco per scopi di audit e revisione. b) Documentare la responsabilità e l'identificazione dell'accesso non autorizzato. c) Abilitare la registrazione di audit delle attività di sistema eseguite da utenti privilegiati. f) Assicurarsi che la registrazione e il monitoraggio siano adeguati applicato per abilitare la registrazione e il rilevamento di azioni che possono influire o sono rilevanti per la sicurezza delle informazioni. j) Assicurarsi che la registrazione degli eventi costituisca le basi per sistemi di monitoraggio automatizzati in grado di generare report consolidati e avvisi sulla sicurezza del sistema.

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta.
3.4 a) b) c) f) (j) a) Assicurarsi che le registrazioni dell'accesso degli utenti siano identificate e registrate in modo univoco per scopi di audit e revisione. b) Documentare la responsabilità e l'identificazione dell'accesso non autorizzato. c) Abilitare la registrazione di audit delle attività di sistema eseguite da utenti privilegiati. f) Assicurarsi che la registrazione e il monitoraggio siano adeguati applicato per abilitare la registrazione e il rilevamento di azioni che possono influire o sono rilevanti per la sicurezza delle informazioni. j) Assicurarsi che la registrazione degli eventi costituisca le basi per sistemi di monitoraggio automatizzati in grado di generare report consolidati e avvisi sulla sicurezza del sistema.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
3.4 a) b) c) f) (j) a) Assicurarsi che le registrazioni dell'accesso degli utenti siano identificate e registrate in modo univoco per scopi di audit e revisione. b) Documentare la responsabilità e l'identificazione dell'accesso non autorizzato. c) Abilitare la registrazione di audit delle attività di sistema eseguite da utenti privilegiati. f) Assicurarsi che la registrazione e il monitoraggio siano adeguati applicato per abilitare la registrazione e il rilevamento di azioni che possono influire o sono rilevanti per la sicurezza delle informazioni. j) Assicurarsi che la registrazione degli eventi costituisca le basi per sistemi di monitoraggio automatizzati in grado di generare report consolidati e avvisi sulla sicurezza del sistema.

ricerca elastica - logs-to-cloud watch

Garantire AmazonOpenSearchI domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su AmazonCloudWatchRegistri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
3.4 (g) g) Assicurarsi che i registri eventi includano, se pertinente: - ID utente - Attività del sistema - Date, ora e dettagli degli eventi chiave, ad esempio accesso e disconnessione - Identità o posizione del dispositivo, se possibile e identificatore di sistema - Registrazione dei tentativi di accesso al sistema riusciti e rifiutati - Registrazione dei dati riusciti e rifiutati e altri tentativi di accesso alle risorse - Modifiche a configurazione di sistema - Uso dei privilegi - Uso di utilità e applicazioni di sistema - File accessibili e tipo di accesso - Indirizzi e protocolli di rete - Allarmi generati dal sistema di controllo degli accessi e - Registrazione delle transazioni eseguite dagli utenti nelle applicazioni e nelle transazioni online con i clienti

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
3.4 (g) g) Assicurarsi che i registri eventi includano, se pertinente: - ID utente - Attività del sistema - Date, ora e dettagli degli eventi chiave, ad esempio accesso e disconnessione - Identità o posizione del dispositivo, se possibile e identificatore di sistema - Registrazione dei tentativi di accesso al sistema riusciti e rifiutati - Registrazione dei dati riusciti e rifiutati e altri tentativi di accesso alle risorse - Modifiche a configurazione di sistema - Uso dei privilegi - Uso di utilità e applicazioni di sistema - File accessibili e tipo di accesso - Indirizzi e protocolli di rete - Allarmi generati dal sistema di controllo degli accessi e - Registrazione delle transazioni eseguite dagli utenti nelle applicazioni e nelle transazioni online con i clienti

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
3.4 (g) g) Assicurarsi che i registri eventi includano, se pertinente: - ID utente - Attività del sistema - Date, ora e dettagli degli eventi chiave, ad esempio accesso e disconnessione - Identità o posizione del dispositivo, se possibile e identificatore di sistema - Registrazione dei tentativi di accesso al sistema riusciti e rifiutati - Registrazione dei dati riusciti e rifiutati e altri tentativi di accesso alle risorse - Modifiche a configurazione di sistema - Uso dei privilegi - Uso di utilità e applicazioni di sistema - File accessibili e tipo di accesso - Indirizzi e protocolli di rete - Allarmi generati dal sistema di controllo degli accessi e - Registrazione delle transazioni eseguite dagli utenti nelle applicazioni e nelle transazioni online con i clienti

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
3.4 (g) g) Assicurarsi che i registri eventi includano, se pertinente: - ID utente - Attività del sistema - Date, ora e dettagli degli eventi chiave, ad esempio accesso e disconnessione - Identità o posizione del dispositivo, se possibile e identificatore di sistema - Registrazione dei tentativi di accesso al sistema riusciti e rifiutati - Registrazione dei dati riusciti e rifiutati e altri tentativi di accesso alle risorse - Modifiche a configurazione di sistema - Uso dei privilegi - Uso di utilità e applicazioni di sistema - File accessibili e tipo di accesso - Indirizzi e protocolli di rete - Allarmi generati dal sistema di controllo degli accessi e - Registrazione delle transazioni eseguite dagli utenti nelle applicazioni e nelle transazioni online con i clienti

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
3.4 (g) g) Assicurarsi che i registri eventi includano, se pertinente: - ID utente - Attività del sistema - Date, ora e dettagli degli eventi chiave, ad esempio accesso e disconnessione - Identità o posizione del dispositivo, se possibile e identificatore di sistema - Registrazione dei tentativi di accesso al sistema riusciti e rifiutati - Registrazione dei dati riusciti e rifiutati e altri tentativi di accesso alle risorse - Modifiche a configurazione di sistema - Uso dei privilegi - Uso di utilità e applicazioni di sistema - File accessibili e tipo di accesso - Indirizzi e protocolli di rete - Allarmi generati dal sistema di controllo degli accessi e - Registrazione delle transazioni eseguite dagli utenti nelle applicazioni e nelle transazioni online con i clienti

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
3.4 (g) g) Assicurarsi che i registri eventi includano, se pertinente: - ID utente - Attività del sistema - Date, ora e dettagli degli eventi chiave, ad esempio accesso e disconnessione - Identità o posizione del dispositivo, se possibile e identificatore di sistema - Registrazione dei tentativi di accesso al sistema riusciti e rifiutati - Registrazione dei dati riusciti e rifiutati e altri tentativi di accesso alle risorse - Modifiche a configurazione di sistema - Uso dei privilegi - Uso di utilità e applicazioni di sistema - File accessibili e tipo di accesso - Indirizzi e protocolli di rete - Allarmi generati dal sistema di controllo degli accessi e - Registrazione delle transazioni eseguite dagli utenti nelle applicazioni e nelle transazioni online con i clienti

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta.
3.4 (g) g) Assicurarsi che i registri eventi includano, se pertinente: - ID utente - Attività del sistema - Date, ora e dettagli degli eventi chiave, ad esempio accesso e disconnessione - Identità o posizione del dispositivo, se possibile e identificatore di sistema - Registrazione dei tentativi di accesso al sistema riusciti e rifiutati - Registrazione dei dati riusciti e rifiutati e altri tentativi di accesso alle risorse - Modifiche a configurazione di sistema - Uso dei privilegi - Uso di utilità e applicazioni di sistema - File accessibili e tipo di accesso - Indirizzi e protocolli di rete - Allarmi generati dal sistema di controllo degli accessi e - Registrazione delle transazioni eseguite dagli utenti nelle applicazioni e nelle transazioni online con i clienti

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
3.4 (g) g) Assicurarsi che i registri eventi includano, se pertinente: - ID utente - Attività del sistema - Date, ora e dettagli degli eventi chiave, ad esempio accesso e disconnessione - Identità o posizione del dispositivo, se possibile e identificatore di sistema - Registrazione dei tentativi di accesso al sistema riusciti e rifiutati - Registrazione dei dati riusciti e rifiutati e altri tentativi di accesso alle risorse - Modifiche a configurazione di sistema - Uso dei privilegi - Uso di utilità e applicazioni di sistema - File accessibili e tipo di accesso - Indirizzi e protocolli di rete - Allarmi generati dal sistema di controllo degli accessi e - Registrazione delle transazioni eseguite dagli utenti nelle applicazioni e nelle transazioni online con i clienti

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
3.4 (g) g) Assicurarsi che i registri eventi includano, se pertinente: - ID utente - Attività del sistema - Date, ora e dettagli degli eventi chiave, ad esempio accesso e disconnessione - Identità o posizione del dispositivo, se possibile e identificatore di sistema - Registrazione dei tentativi di accesso al sistema riusciti e rifiutati - Registrazione dei dati riusciti e rifiutati e altri tentativi di accesso alle risorse - Modifiche a configurazione di sistema - Uso dei privilegi - Uso di utilità e applicazioni di sistema - File accessibili e tipo di accesso - Indirizzi e protocolli di rete - Allarmi generati dal sistema di controllo degli accessi e - Registrazione delle transazioni eseguite dagli utenti nelle applicazioni e nelle transazioni online con i clienti

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati forniscono dettagli sull'attività delle chiamate API nell'account AWS.
3.4 (g) g) Assicurarsi che i registri eventi includano, se pertinente: - ID utente - Attività del sistema - Date, ora e dettagli degli eventi chiave, ad esempio accesso e disconnessione - Identità o posizione del dispositivo, se possibile e identificatore di sistema - Registrazione dei tentativi di accesso al sistema riusciti e rifiutati - Registrazione dei dati riusciti e rifiutati e altri tentativi di accesso alle risorse - Modifiche a configurazione di sistema - Uso dei privilegi - Uso di utilità e applicazioni di sistema - File accessibili e tipo di accesso - Indirizzi e protocolli di rete - Allarmi generati dal sistema di controllo degli accessi e - Registrazione delle transazioni eseguite dagli utenti nelle applicazioni e nelle transazioni online con i clienti

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record di contenuti.
3.4 (g) g) Assicurarsi che i registri eventi includano, se pertinente: - ID utente - Attività del sistema - Date, ora e dettagli degli eventi chiave, ad esempio accesso e disconnessione - Identità o posizione del dispositivo, se possibile e identificatore di sistema - Registrazione dei tentativi di accesso al sistema riusciti e rifiutati - Registrazione dei dati riusciti e rifiutati e altri tentativi di accesso alle risorse - Modifiche a configurazione di sistema - Uso dei privilegi - Uso di utilità e applicazioni di sistema - File accessibili e tipo di accesso - Indirizzi e protocolli di rete - Allarmi generati dal sistema di controllo degli accessi e - Registrazione delle transazioni eseguite dagli utenti nelle applicazioni e nelle transazioni online con i clienti

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per le informazioni sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record di log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
3.4 (g) g) Assicurarsi che i registri eventi includano, se pertinente: - ID utente - Attività del sistema - Date, ora e dettagli degli eventi chiave, ad esempio accesso e disconnessione - Identità o posizione del dispositivo, se possibile e identificatore di sistema - Registrazione dei tentativi di accesso al sistema riusciti e rifiutati - Registrazione dei dati riusciti e rifiutati e altri tentativi di accesso alle risorse - Modifiche a configurazione di sistema - Uso dei privilegi - Uso di utilità e applicazioni di sistema - File accessibili e tipo di accesso - Indirizzi e protocolli di rete - Allarmi generati dal sistema di controllo degli accessi e - Registrazione delle transazioni eseguite dagli utenti nelle applicazioni e nelle transazioni online con i clienti

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
3.4 (g) g) Assicurarsi che i registri eventi includano, se pertinente: - ID utente - Attività del sistema - Date, ora e dettagli degli eventi chiave, ad esempio accesso e disconnessione - Identità o posizione del dispositivo, se possibile e identificatore di sistema - Registrazione dei tentativi di accesso al sistema riusciti e rifiutati - Registrazione dei dati riusciti e rifiutati e altri tentativi di accesso alle risorse - Modifiche a configurazione di sistema - Uso dei privilegi - Uso di utilità e applicazioni di sistema - File accessibili e tipo di accesso - Indirizzi e protocolli di rete - Allarmi generati dal sistema di controllo degli accessi e - Registrazione delle transazioni eseguite dagli utenti nelle applicazioni e nelle transazioni online con i clienti

ricerca elastica - logs-to-cloud watch

Garantire AmazonOpenSearchI domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su AmazonCloudWatchRegistri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
3.6.1 (a) h) a) I BFI devono garantire misure di sicurezza adeguate per le loro applicazioni web e adottare misure di attenuazione ragionevoli contro vari rischi per la sicurezza del web. h) I BFI devono garantire misure di sicurezza adeguate per le loro applicazioni web e adottare misure di attenuazione ragionevoli contro vari rischi per la sicurezza web

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive nell'ambiente.
3.6.1 (a) h) a) I BFI devono garantire misure di sicurezza adeguate per le loro applicazioni web e adottare misure di attenuazione ragionevoli contro vari rischi per la sicurezza del web. h) I BFI devono garantire misure di sicurezza adeguate per le loro applicazioni web e adottare misure di attenuazione ragionevoli contro vari rischi per la sicurezza web

api-gw-associato-con-waf

AWS WAF consente di configurare un set di regole (denominato lista di controllo accessi Web (web ACL)) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi
R 3.6.1 (b) b) I BFI devono valutare i requisiti di sicurezza associati ai loro sistemi di internet banking e ad altri sistemi pertinenti e adottare una soluzione di crittografia tenendo conto del grado di riservatezza e integrità richiesto.

acm-certificate-expiration-check

Assicurati che l'integrità della rete sia protetta assicurando che i certificati X509 vengano emessi da AWS ACM. Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore perdaysToExpiration(Valore AWS Foundational Security Best Practices: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
R 3.6.1 (b) b) I BFI devono valutare i requisiti di sicurezza associati ai loro sistemi di internet banking e ad altri sistemi pertinenti e adottare una soluzione di crittografia tenendo conto del grado di riservatezza e integrità richiesto.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
R 3.6.1 (b) b) I BFI devono valutare i requisiti di sicurezza associati ai loro sistemi di internet banking e ad altri sistemi pertinenti e adottare una soluzione di crittografia tenendo conto del grado di riservatezza e integrità richiesto.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
R 3.6.1 (b) b) I BFI devono valutare i requisiti di sicurezza associati ai loro sistemi di internet banking e ad altri sistemi pertinenti e adottare una soluzione di crittografia tenendo conto del grado di riservatezza e integrità richiesto.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
R 3.6.1 (b) b) I BFI devono valutare i requisiti di sicurezza associati ai loro sistemi di internet banking e ad altri sistemi pertinenti e adottare una soluzione di crittografia tenendo conto del grado di riservatezza e integrità richiesto.

s3-bucket-ssl-requests-only

Per proteggere i dati durante il trasporto, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
R 3.6.1 (b) b) I BFI devono valutare i requisiti di sicurezza associati ai loro sistemi di internet banking e ad altri sistemi pertinenti e adottare una soluzione di crittografia tenendo conto del grado di riservatezza e integrità richiesto.

alb-http-drop-invalid-header-enabled

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati per eliminare le intestazioni http. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
R 3.6.1 (b) b) I BFI devono valutare i requisiti di sicurezza associati ai loro sistemi di internet banking e ad altri sistemi pertinenti e adottare una soluzione di crittografia tenendo conto del grado di riservatezza e integrità richiesto.

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantirenode-to-nodecrittografia per AmazonOpenSearchIl servizio è abilitato. Node-to-nodeLa crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
R 3.6.1 (b) b) I BFI devono valutare i requisiti di sicurezza associati ai loro sistemi di internet banking e ad altri sistemi pertinenti e adottare una soluzione di crittografia tenendo conto del grado di riservatezza e integrità richiesto.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
R 3.6.1 (b) b) I BFI devono valutare i requisiti di sicurezza associati ai loro sistemi di internet banking e ad altri sistemi pertinenti e adottare una soluzione di crittografia tenendo conto del grado di riservatezza e integrità richiesto.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
R 3.6.1 (b) b) I BFI devono valutare i requisiti di sicurezza associati ai loro sistemi di internet banking e ad altri sistemi pertinenti e adottare una soluzione di crittografia tenendo conto del grado di riservatezza e integrità richiesto.

elbv2-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
R 3.6.1 d) I BFI che forniscono Internet banking dovrebbero rispondere a condizioni di traffico di rete insolite e prestazioni del sistema e improvviso aumento dell'utilizzo delle risorse di sistema, che potrebbe essere un'indicazione di un attacco DDoS. Di conseguenza, il successo di qualsiasi azione preventiva e reattiva dipende dalla distribuzione di strumenti appropriati per rilevare, monitorare e analizzare efficacemente le anomalie nelle reti e nei sistemi.

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive nell'ambiente.
R 3.6.1 d) I BFI che forniscono Internet banking dovrebbero rispondere a condizioni di traffico di rete insolite e prestazioni del sistema e improvviso aumento dell'utilizzo delle risorse di sistema, che potrebbe essere un'indicazione di un attacco DDoS. Di conseguenza, il successo di qualsiasi azione preventiva e reattiva dipende dalla distribuzione di strumenti appropriati per rilevare, monitorare e analizzare efficacemente le anomalie nelle reti e nei sistemi.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
R 3.6.1 d) I BFI che forniscono Internet banking dovrebbero rispondere a condizioni di traffico di rete insolite e prestazioni del sistema e improvviso aumento dell'utilizzo delle risorse di sistema, che potrebbe essere un'indicazione di un attacco DDoS. Di conseguenza, il successo di qualsiasi azione preventiva e reattiva dipende dalla distribuzione di strumenti appropriati per rilevare, monitorare e analizzare efficacemente le anomalie nelle reti e nei sistemi.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
R 3.6.1 d) I BFI che forniscono Internet banking dovrebbero rispondere a condizioni di traffico di rete insolite e prestazioni del sistema e improvviso aumento dell'utilizzo delle risorse di sistema, che potrebbe essere un'indicazione di un attacco DDoS. Di conseguenza, il successo di qualsiasi azione preventiva e reattiva dipende dalla distribuzione di strumenti appropriati per rilevare, monitorare e analizzare efficacemente le anomalie nelle reti e nei sistemi.

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta.
R 3.6.1 d) I BFI che forniscono Internet banking dovrebbero rispondere a condizioni di traffico di rete insolite e prestazioni del sistema e improvviso aumento dell'utilizzo delle risorse di sistema, che potrebbe essere un'indicazione di un attacco DDoS. Di conseguenza, il successo di qualsiasi azione preventiva e reattiva dipende dalla distribuzione di strumenti appropriati per rilevare, monitorare e analizzare efficacemente le anomalie nelle reti e nei sistemi.

api-gw-associato-con-waf

AWS WAF consente di configurare un set di regole (denominato lista di controllo accessi Web (web ACL)) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi
R 3.6.1 e) I BFIs devono valutare regolarmente le vulnerabilità della sicurezza delle informazioni e valutare l'efficacia del quadro di gestione dei rischi per la sicurezza IT esistente, apportando tutte le modifiche necessarie per garantire che le vulnerabilità emergenti siano affrontate tempestivamente. Questa valutazione dovrebbe essere condotta anche come parte di qualsiasi cambiamento sostanziale.

guardduty-non-archived-findings

AmazonGuardDutyaiuta a comprendere l'impatto di un incidente classificando i risultati per gravità: bassa, media e alta. È possibile utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola permette l'impostazione facoltativadaysLowSev(Impostazione predefinita: 30),daysMediumSev(Config Default: 7) edaysHighSev(Config Predefinito: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione.
3.6.4 (a) (b) a) Limitare l'accesso a Internet e separare i sistemi critici dall'ambiente IT generale. b) Riduci la superficie di attacco e le vulnerabilità.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
3.6.4 (a) (b) a) Limitare l'accesso a Internet e separare i sistemi critici dall'ambiente IT generale. b) Riduci la superficie di attacco e le vulnerabilità.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
3.6.4 (a) (b) a) Limitare l'accesso a Internet e separare i sistemi critici dall'ambiente IT generale. b) Riduci la superficie di attacco e le vulnerabilità.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
3.6.4 (a) (b) a) Limitare l'accesso a Internet e separare i sistemi critici dall'ambiente IT generale. b) Riduci la superficie di attacco e le vulnerabilità.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchServizio (OpenSearchI domini Service) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
3.6.4 (a) (b) a) Limitare l'accesso a Internet e separare i sistemi critici dall'ambiente IT generale. b) Riduci la superficie di attacco e le vulnerabilità.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
3.6.4 (a) (b) a) Limitare l'accesso a Internet e separare i sistemi critici dall'ambiente IT generale. b) Riduci la superficie di attacco e le vulnerabilità.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non permettendo l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto.
3.6.4 (a) (b) a) Limitare l'accesso a Internet e separare i sistemi critici dall'ambiente IT generale. b) Riduci la superficie di attacco e le vulnerabilità.

ec2-instances-in-vpc

Distribuisci le istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
3.6.4 (a) (b) a) Limitare l'accesso a Internet e separare i sistemi critici dall'ambiente IT generale. b) Riduci la superficie di attacco e le vulnerabilità.

internet-gateway-authorized-vpc-only

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud autorizzato (Amazon VPC). I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC.
3.6.4 (a) (b) a) Limitare l'accesso a Internet e separare i sistemi critici dall'ambiente IT generale. b) Riduci la superficie di attacco e le vulnerabilità.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
3.6.4 (a) (b) a) Limitare l'accesso a Internet e separare i sistemi critici dall'ambiente IT generale. b) Riduci la superficie di attacco e le vulnerabilità.

lambda-inside-vpc

Utilizza le funzioni AWS Lambda in un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non sono necessari gateway Internet, dispositivo NAT o connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
3.6.4 (a) (b) a) Limitare l'accesso a Internet e separare i sistemi critici dall'ambiente IT generale. b) Riduci la superficie di attacco e le vulnerabilità.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
3.6.4 (a) (b) a) Limitare l'accesso a Internet e separare i sistemi critici dall'ambiente IT generale. b) Riduci la superficie di attacco e le vulnerabilità.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
3.6.4 (a) (b) a) Limitare l'accesso a Internet e separare i sistemi critici dall'ambiente IT generale. b) Riduci la superficie di attacco e le vulnerabilità.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
3.6.4 (a) (b) a) Limitare l'accesso a Internet e separare i sistemi critici dall'ambiente IT generale. b) Riduci la superficie di attacco e le vulnerabilità.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
3.6.4 (a) (b) a) Limitare l'accesso a Internet e separare i sistemi critici dall'ambiente IT generale. b) Riduci la superficie di attacco e le vulnerabilità.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo agli utenti, ai processi e ai dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
3.6.4 (a) (b) a) Limitare l'accesso a Internet e separare i sistemi critici dall'ambiente IT generale. b) Riduci la superficie di attacco e le vulnerabilità.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo agli utenti, ai processi e ai dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
3.6.4 (a) (b) a) Limitare l'accesso a Internet e separare i sistemi critici dall'ambiente IT generale. b) Riduci la superficie di attacco e le vulnerabilità.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
3.6.4 (a) (b) a) Limitare l'accesso a Internet e separare i sistemi critici dall'ambiente IT generale. b) Riduci la superficie di attacco e le vulnerabilità.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
3.6.4 (a) (b) a) Limitare l'accesso a Internet e separare i sistemi critici dall'ambiente IT generale. b) Riduci la superficie di attacco e le vulnerabilità.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato ai sistemi interni.
3.6.4 (a) (b) a) Limitare l'accesso a Internet e separare i sistemi critici dall'ambiente IT generale. b) Riduci la superficie di attacco e le vulnerabilità.

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
3.6.4 (a) (b) a) Limitare l'accesso a Internet e separare i sistemi critici dall'ambiente IT generale. b) Riduci la superficie di attacco e le vulnerabilità.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
3.6.4 (a) (b) a) Limitare l'accesso a Internet e separare i sistemi critici dall'ambiente IT generale. b) Riduci la superficie di attacco e le vulnerabilità.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
3.6.4 (a) (b) a) Limitare l'accesso a Internet e separare i sistemi critici dall'ambiente IT generale. b) Riduci la superficie di attacco e le vulnerabilità.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
3.6.4 (a) (b) a) Limitare l'accesso a Internet e separare i sistemi critici dall'ambiente IT generale. b) Riduci la superficie di attacco e le vulnerabilità.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
3.6.4 (a) (b) a) Limitare l'accesso a Internet e separare i sistemi critici dall'ambiente IT generale. b) Riduci la superficie di attacco e le vulnerabilità.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.

Modello

Il modello è disponibile suGitHub: Best practice operative per NBC TRMG.