Best practice operative per NCSC Cyber Asesment Framework - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice operative per NCSC Cyber Asesment Framework

I pacchetti di conformità forniscono un framework di conformità generico progettato per consentire di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando gestiti o personalizzatiAWS Configregole eAWS Configazioni di risanamento. I Conformance Pack, come modelli di esempio, non sono progettati per garantire pienamente la conformità con uno standard di governance o conformità specifici. L'utente è responsabile di valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.

Di seguito viene fornito un esempio di mappatura tra i controlli del Cyber Assessment Framework (CAF) del National Cyber Security Centre (NCSC) del Regno Unito eAWSregole di Config gestite. Ciascuna regola di Config si applica a uno specificoAWSrisorsa e si riferisce a uno o più controlli CAF NCSC del Regno Unito. Un controllo CAF NCSC del Regno Unito può essere correlato a più regole di Config. Fare riferimento alla tabella sottostante per ulteriori dettagli e indicazioni relative a queste mappature.

Questo modello di pacchetto di conformità di esempio contiene mappature ai controlli all'interno del CAF NCSC del Regno Unito (Centro nazionale per la sicurezza informatica | Guida NCSC CAF), con tali informazioni del settore pubblico concesse in licenza ai sensi della Open Government Licence v3.0. È possibile accedere alla licenza Open Government Licence qui: Licenza pubblica aperta per informazioni sul settore pubblico.

Regione AWS:Tutto supportatoRegioni AWStranne Medio Oriente (Bahrain)

ID controllo Descrizione del controllo Regola AWS Config Linee guida di
A2.a Processo di gestione del rischio L'organizzazione adotta le misure appropriate per identificare, valutare e comprendere i rischi per la sicurezza per la rete e i sistemi informativi che supportano il funzionamento delle funzioni essenziali. Ciò include un approccio organizzativo globale alla gestione del rischio. annual-risk-assessment-eseguito (controllo del processo) Esegui una valutazione annuale del rischio sulla tua organizzazione. Le valutazioni dei rischi possono aiutare a determinare la probabilità e l'impatto dei rischi e/o delle vulnerabilità identificati che interessano un'organizzazione.
A3.a Gestione patrimoniale Tutto ciò che è necessario per fornire, mantenere o supportare reti e sistemi informativi necessari per il funzionamento delle funzioni essenziali è determinato e compreso. Ciò include dati, persone e sistemi, nonché qualsiasi infrastruttura di supporto (come alimentazione o raffreddamento).

ec2-instance-managed-by-systems-manager

Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
A3.a Gestione patrimoniale Tutto ciò che è necessario per fornire, mantenere o supportare reti e sistemi informativi necessari per il funzionamento delle funzioni essenziali è determinato e compreso. Ciò include dati, persone e sistemi, nonché qualsiasi infrastruttura di supporto (come alimentazione o raffreddamento).

ec2-stopped-instance

Attiva questa regola per aiutare con la configurazione di base delle istanze Amazon Elastic Compute Cloud (Amazon EC2) verificando se le istanze Amazon EC2 sono state arrestate per più del numero consentito di giorni, in base agli standard dell'organizzazione.
A3.a Gestione patrimoniale Tutto ciò che è necessario per fornire, mantenere o supportare reti e sistemi informativi necessari per il funzionamento delle funzioni essenziali è determinato e compreso. Ciò include dati, persone e sistemi, nonché qualsiasi infrastruttura di supporto (come alimentazione o raffreddamento).

account-parte delle organizzazioni

La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata dell'account può portare a configurazioni di account incoerenti, che possono esporre risorse e dati sensibili.
A3.a Gestione patrimoniale Tutto ciò che è necessario per fornire, mantenere o supportare reti e sistemi informativi necessari per il funzionamento delle funzioni essenziali è determinato e compreso. Ciò include dati, persone e sistemi, nonché qualsiasi infrastruttura di supporto (come alimentazione o raffreddamento).

ec2-volume-inuse-check

Questa regola garantisce che i volumi Amazon Elastic Block Store collegati alle istanze Amazon Elastic Compute Cloud (Amazon EC2) vengano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegata è terminata, potrebbe violare il concetto di funzionalità minima.
A3.a Gestione patrimoniale Tutto ciò che è necessario per fornire, mantenere o supportare reti e sistemi informativi necessari per il funzionamento delle funzioni essenziali è determinato e compreso. Ciò include dati, persone e sistemi, nonché qualsiasi infrastruttura di supporto (come alimentazione o raffreddamento).

vpc-network-acl-unused-check

Questa regola garantisce l'utilizzo degli elenchi di controllo degli accessi di rete Amazon Virtual Private Cloud (VPC). Il monitoraggio degli elenchi di controllo degli accessi alla rete non utilizzati può aiutare nell'inventario accurato e nella gestione dell'ambiente.
A3.a Gestione patrimoniale Tutto ciò che è necessario per fornire, mantenere o supportare reti e sistemi informativi necessari per il funzionamento delle funzioni essenziali è determinato e compreso. Ciò include dati, persone e sistemi, nonché qualsiasi infrastruttura di supporto (come alimentazione o raffreddamento).

eip-attached

Questa regola garantisce che gli IP Elastic allocati a un Amazon Virtual Private Cloud (Amazon VPC) siano collegati alle istanze Amazon Elastic Compute Cloud (Amazon EC2) o alle interfacce Elastic Network in uso. Questa regola aiuta a monitorare gli EIP inutilizzati nel tuo ambiente.
B2.a Verifica dell'identità, autenticazione e autorizzazione Verificate, autenticate e autorizzate l'accesso alle reti e ai sistemi informativi che supportano la vostra funzione essenziale. 

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
B2.a Verifica dell'identità, autenticazione e autorizzazione Verificate, autenticate e autorizzate l'accesso alle reti e ai sistemi informativi che supportano la vostra funzione essenziale. 

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
B2.a Verifica dell'identità, autenticazione e autorizzazione Verificate, autenticate e autorizzate l'accesso alle reti e ai sistemi informativi che supportano la vostra funzione essenziale. 

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Operazione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
B2.a Verifica dell'identità, autenticazione e autorizzazione Verificate, autenticate e autorizzate l'accesso alle reti e ai sistemi informativi che supportano la vostra funzione essenziale. 

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
B2.a Verifica dell'identità, autenticazione e autorizzazione Verificate, autenticate e autorizzate l'accesso alle reti e ai sistemi informativi che supportano la vostra funzione essenziale. 

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
B2.a Verifica dell'identità, autenticazione e autorizzazione Verificate, autenticate e autorizzate l'accesso alle reti e ai sistemi informativi che supportano la vostra funzione essenziale. 

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola assicura che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
B2.a Verifica dell'identità, autenticazione e autorizzazione Verificate, autenticate e autorizzate l'accesso alle reti e ai sistemi informativi che supportano la vostra funzione essenziale. 

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
B2.a Verifica dell'identità, autenticazione e autorizzazione Verificate, autenticate e autorizzate l'accesso alle reti e ai sistemi informativi che supportano la vostra funzione essenziale. 

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono eseguire l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC si autentica tramite l'emissione di ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
B2.a Verifica dell'identità, autenticazione e autorizzazione Verificate, autenticate e autorizzate l'accesso alle reti e ai sistemi informativi che supportano la vostra funzione essenziale. 

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e separazione dei doveri. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione
B2.a Verifica dell'identità, autenticazione e autorizzazione Verificate, autenticate e autorizzate l'accesso alle reti e ai sistemi informativi che supportano la vostra funzione essenziale. 

azioni iam-inline-policy-blocked-kms-actions

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
B2.a Verifica dell'identità, autenticazione e autorizzazione Verificate, autenticate e autorizzate l'accesso alle reti e ai sistemi informativi che supportano la vostra funzione essenziale. 

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
B2.a Verifica dell'identità, autenticazione e autorizzazione Verificate, autenticate e autorizzate l'accesso alle reti e ai sistemi informativi che supportano la vostra funzione essenziale. 

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può aiutare con la gestione dei privilegi e delle autorizzazioni minimi.
B2.a Verifica dell'identità, autenticazione e autorizzazione Verificate, autenticate e autorizzate l'accesso alle reti e ai sistemi informativi che supportano la vostra funzione essenziale. 

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
B2.a Verifica dell'identità, autenticazione e autorizzazione Verificate, autenticate e autorizzate l'accesso alle reti e ai sistemi informativi che supportano la vostra funzione essenziale. 

ecs-task-definition-user-per-host-mode check

Se una definizione di attività ha privilegi elevati, è perché il cliente ha specificamente optato per tali configurazioni. Questo controllo verifica la presenza di un'escalation imprevista dei privilegi quando una definizione di attività ha abilitato la rete host ma il cliente non ha optato per privilegi elevati.
B2.a Verifica dell'identità, autenticazione e autorizzazione Verificate, autenticate e autorizzate l'accesso alle reti e ai sistemi informativi che supportano la vostra funzione essenziale. 

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
B2.a Verifica dell'identità, autenticazione e autorizzazione Verificate, autenticate e autorizzate l'accesso alle reti e ai sistemi informativi che supportano la vostra funzione essenziale. 

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
B2.a Verifica dell'identità, autenticazione e autorizzazione Verificate, autenticate e autorizzate l'accesso alle reti e ai sistemi informativi che supportano la vostra funzione essenziale. 

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
B2.b Gestione dispositivi Conosci pienamente e hai fiducia nei dispositivi utilizzati per accedere alle tue reti, ai sistemi informativi e ai dati che supportano la tua funzione essenziale. 

ec2-instance-managed-by-systems-manager

Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
B2.c Gestione utente privilegiata Gestisci da vicino l'accesso privilegiato degli utenti alle reti e ai sistemi informativi che supportano la funzione essenziale. 

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
B2.c Gestione utente privilegiata Gestisci da vicino l'accesso privilegiato degli utenti alle reti e ai sistemi informativi che supportano la funzione essenziale. 

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola assicura che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
B2.c Gestione utente privilegiata Gestisci da vicino l'accesso privilegiato degli utenti alle reti e ai sistemi informativi che supportano la funzione essenziale. 

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
B2.c Gestione utente privilegiata Gestisci da vicino l'accesso privilegiato degli utenti alle reti e ai sistemi informativi che supportano la funzione essenziale. 

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
B2.c Gestione utente privilegiata Gestisci da vicino l'accesso privilegiato degli utenti alle reti e ai sistemi informativi che supportano la funzione essenziale. 

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
B2.c Gestione utente privilegiata Gestisci da vicino l'accesso privilegiato degli utenti alle reti e ai sistemi informativi che supportano la funzione essenziale. 

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
B2.c Gestione utente privilegiata Gestisci da vicino l'accesso privilegiato degli utenti alle reti e ai sistemi informativi che supportano la funzione essenziale. 

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS.
B2.c Gestione utente privilegiata Gestisci da vicino l'accesso privilegiato degli utenti alle reti e ai sistemi informativi che supportano la funzione essenziale. 

guardduty-non-archived-findings

AmazonGuardDutyaiuta a comprendere l'impatto di un incidente classificando i risultati per gravità: bassa, media e alta. È possibile utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola permette l'impostazione facoltativadaysLowSev(Config Default: 30),daysMediumSev(Config Default: 7) edaysHighSev(Config Predefinito: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione.
B2.c Gestione utente privilegiata Gestisci da vicino l'accesso privilegiato degli utenti alle reti e ai sistemi informativi che supportano la funzione essenziale. 

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
B2.c Gestione utente privilegiata Gestisci da vicino l'accesso privilegiato degli utenti alle reti e ai sistemi informativi che supportano la funzione essenziale. 

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
B2.c Gestione utente privilegiata Gestisci da vicino l'accesso privilegiato degli utenti alle reti e ai sistemi informativi che supportano la funzione essenziale. 

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Operazione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
B2.c Gestione utente privilegiata Gestisci da vicino l'accesso privilegiato degli utenti alle reti e ai sistemi informativi che supportano la funzione essenziale. 

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
B2.c Gestione utente privilegiata Gestisci da vicino l'accesso privilegiato degli utenti alle reti e ai sistemi informativi che supportano la funzione essenziale. 

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
B2.c Gestione utente privilegiata Gestisci da vicino l'accesso privilegiato degli utenti alle reti e ai sistemi informativi che supportano la funzione essenziale. 

ecs-task-definition-user-per-host-mode check

Se una definizione di attività ha privilegi elevati, è perché il cliente ha specificamente optato per tali configurazioni. Questo controllo verifica la presenza di un'escalation imprevista dei privilegi quando una definizione di attività ha abilitato la rete host ma il cliente non ha optato per privilegi elevati.
B2.d Gestione dell'identità e degli accessi (iDAM) Garantisci una buona gestione e manutenzione dell'identità e del controllo degli accessi per le reti e i sistemi informativi che supportano la funzione essenziale. 

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
B2.d Gestione dell'identità e degli accessi (iDAM) Garantisci una buona gestione e manutenzione dell'identità e del controllo degli accessi per le reti e i sistemi informativi che supportano la funzione essenziale. 

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
B2.d Gestione dell'identità e degli accessi (iDAM) Garantisci una buona gestione e manutenzione dell'identità e del controllo degli accessi per le reti e i sistemi informativi che supportano la funzione essenziale. 

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Operazione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
B2.d Gestione dell'identità e degli accessi (iDAM) Garantisci una buona gestione e manutenzione dell'identità e del controllo degli accessi per le reti e i sistemi informativi che supportano la funzione essenziale. 

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
B2.d Gestione dell'identità e degli accessi (iDAM) Garantisci una buona gestione e manutenzione dell'identità e del controllo degli accessi per le reti e i sistemi informativi che supportano la funzione essenziale. 

access-keys-rotated

Le credenziali vengono controllate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo i criteri organizzativi. La modifica delle chiavi di accesso con una pianificazione regolare è una procedura consigliata per la sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
B2.d Gestione dell'identità e degli accessi (iDAM) Garantisci una buona gestione e manutenzione dell'identità e del controllo degli accessi per le reti e i sistemi informativi che supportano la funzione essenziale. 

account-parte delle organizzazioni

La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata dell'account può portare a configurazioni di account incoerenti, che possono esporre risorse e dati sensibili.
B2.d Gestione dell'identità e degli accessi (iDAM) Garantisci una buona gestione e manutenzione dell'identità e del controllo degli accessi per le reti e i sistemi informativi che supportano la funzione essenziale. 

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e separazione dei doveri. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione
B2.d Gestione dell'identità e degli accessi (iDAM) Garantisci una buona gestione e manutenzione dell'identità e del controllo degli accessi per le reti e i sistemi informativi che supportano la funzione essenziale. 

azioni iam-inline-policy-blocked-kms-actions

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
B2.d Gestione dell'identità e degli accessi (iDAM) Garantisci una buona gestione e manutenzione dell'identità e del controllo degli accessi per le reti e i sistemi informativi che supportano la funzione essenziale. 

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
B2.d Gestione dell'identità e degli accessi (iDAM) Garantisci una buona gestione e manutenzione dell'identità e del controllo degli accessi per le reti e i sistemi informativi che supportano la funzione essenziale. 

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può aiutare con la gestione dei privilegi e delle autorizzazioni minimi.
B2.d Gestione dell'identità e degli accessi (iDAM) Garantisci una buona gestione e manutenzione dell'identità e del controllo degli accessi per le reti e i sistemi informativi che supportano la funzione essenziale. 

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
B2.d Gestione dell'identità e degli accessi (iDAM) Garantisci una buona gestione e manutenzione dell'identità e del controllo degli accessi per le reti e i sistemi informativi che supportano la funzione essenziale. 

ecs-task-definition-user-per-host-mode check

Se una definizione di attività ha privilegi elevati, è perché il cliente ha specificamente optato per tali configurazioni. Questo controllo verifica la presenza di un'escalation imprevista dei privilegi quando una definizione di attività ha abilitato la rete host ma il cliente non ha optato per privilegi elevati.
B2.d Gestione dell'identità e degli accessi (iDAM) Garantisci una buona gestione e manutenzione dell'identità e del controllo degli accessi per le reti e i sistemi informativi che supportano la funzione essenziale. 

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
B2.d Gestione dell'identità e degli accessi (iDAM) Garantisci una buona gestione e manutenzione dell'identità e del controllo degli accessi per le reti e i sistemi informativi che supportano la funzione essenziale. 

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
B2.d Gestione dell'identità e degli accessi (iDAM) Garantisci una buona gestione e manutenzione dell'identità e del controllo degli accessi per le reti e i sistemi informativi che supportano la funzione essenziale. 

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
B3.a Informazioni sui dati Avete una buona conoscenza dei dati importanti per il funzionamento della funzione essenziale, dove sono memorizzati, dove viaggiano e in che modo l'indisponibilità o l'accesso, la modifica o la cancellazione non autorizzati influirebbero negativamente sulla funzione essenziale. Ciò vale anche per l'archiviazione o l'accesso a dati importanti per il funzionamento di funzioni essenziali. 

ec2-volume-inuse-check

Questa regola garantisce che i volumi Amazon Elastic Block Store collegati alle istanze Amazon Elastic Compute Cloud (Amazon EC2) vengano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegata è terminata, potrebbe violare il concetto di funzionalità minima.
Dati B3.b in transito Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi.

acm-certificate-expiration-check

Assicurati che l'integrità della rete sia protetta assicurando che i certificati X509 vengano emessi da AWS ACM. Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore perdaysToExpiration(Valore AWS Foundational Security Best Practices: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
Dati B3.b in transito Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
Dati B3.b in transito Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi.

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantirenode-to-nodecrittografia per AmazonOpenSearchIl servizio è abilitato. Node-to-nodeabilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
Dati B3.b in transito Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
Dati B3.b in transito Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
Dati B3.b in transito Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
Dati B3.b in transito Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi.

s3-bucket-ssl-requests-only

Per proteggere i dati durante il trasporto, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste per utilizzare Secure Socket Layer (SSL). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
Dati B3.b in transito Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi.

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive nell'ambiente.
Dati B3.b in transito Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
Dati B3.b in transito Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
Dati B3.b in transito Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchServizio (OpenSearchI domini Service) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
Dati B3.b in transito Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
Dati B3.b in transito Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non permettere l'ingresso (o in remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto.
Dati B3.b in transito Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi.

ec2-instances-in-vpc

Distribuisci istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
Dati B3.b in transito Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi.

internet-gateway-authorized-vpc-only

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud autorizzato (Amazon VPC). I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC.
Dati B3.b in transito Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi.

lambda-inside-vpc

Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi nell'Amazon VPC. Con questa configurazione, non è necessario disporre di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
Dati B3.b in transito Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
Dati B3.b in transito Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
Dati B3.b in transito Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
Dati B3.b in transito Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
Dati B3.b in transito Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita alle risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
Dati B3.b in transito Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso a risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato ai sistemi interni.
Dati B3.b in transito Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi.

autoscaling-group-elb-healthcheck-required

I controlli dello stato Elastic Load Balancer (ELB) per i gruppi Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) supportano il mantenimento di capacità e disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ping, effettua tentativi di connessione o invia richieste per testare l'integrità delle istanze Amazon EC2 in un gruppo di auto-scaling. Se un'istanza non viene segnalata, il traffico viene inviato a una nuova istanza Amazon EC2.
Dati B3.b in transito Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi.

elb-cross-zone-load-balancing-abilitato

Abilita il bilanciamento del carico tra zone per i tuoi Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il sistema di bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze.
Dati B3.b in transito Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi.

elb-deletion-protection-enabled

Questa regola assicura che Elastic Load Balancing abbia la protezione da eliminazione abilitata. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni.
Dati B3.b in transito Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi.

vpc-vpn-2-tunnels-up

I tunnel Site-to-Site VPN ridondanti possono essere implementati per ottenere requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso una delle connessioni Site-to-Site VPN non sia disponibile. Per evitare la perdita di connettività, nel caso in cui il gateway del cliente non sia disponibile, puoi configurare una seconda connessione Site-to-Site VPN al Amazon Virtual Private Cloud (Amazon VPC) e al gateway virtuale privato utilizzando un secondo gateway del cliente.
Dati B3.b in transito Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi.

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
Dati B3.b in transito Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
Dati B3.b in transito Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
Dati B3.b in transito Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
Dati B3.b in transito Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi.

redshift-enhanced-vpc-routing-enabled

Il routing VPC avanzato forza il passaggio di tutto il traffico dei comandi COPY e UNLOAD tra il cluster e i repository di dati a passare attraverso Amazon VPC. È quindi possibile utilizzare funzionalità VPC come gruppi di sicurezza e elenchi di controllo dell'accesso alla rete per proteggere il traffico di rete. È inoltre possibile utilizzare i registri di flusso VPC per monitorare il traffico di rete.
Dati B3.b in transito Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
Dati B3.b in transito Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi.

elbv2-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
Dati B3.b in transito Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
Dati B3.b in transito Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
Dati archiviati B3.c Sono stati protetti i dati memorizzati importanti per il funzionamento della funzione essenziale. 

api-gw-cache-enabled-and-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per la cache della fase API Gateway. Poiché i dati sensibili possono essere acquisiti per il metodo API, abilitare la crittografia a riposo per proteggere tali dati.
Dati archiviati B3.c Sono stati protetti i dati memorizzati importanti per il funzionamento della funzione essenziale. 

cloud-trail-encryption-enabled

Poiché potrebbero esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo AWSCloudTrailsentieri.
Dati archiviati B3.c Sono stati protetti i dati memorizzati importanti per il funzionamento della funzione essenziale. 

cloudwatch-log-group-encrypted

Per proteggere i dati sensibili a riposo, assicurati che la crittografia sia abilitata per il tuo AmazonCloudWatchGruppi di log.
Dati archiviati B3.c Sono stati protetti i dati memorizzati importanti per il funzionamento della funzione essenziale. 

dynamodb-table-encrypted-kms

Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Poiché i dati sensibili possono esistere a riposo in queste tabelle, abilitare la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB vengono crittografate con una chiave master cliente di proprietà AWS (CMK).
Dati archiviati B3.c Sono stati protetti i dati memorizzati importanti per il funzionamento della funzione essenziale. 

ec2-ebs-encryption-by-default

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati.
Dati archiviati B3.c Sono stati protetti i dati memorizzati importanti per il funzionamento della funzione essenziale. 

efs-encrypted-check

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo Amazon Elastic File System (EFS).
Dati archiviati B3.c Sono stati protetti i dati memorizzati importanti per il funzionamento della funzione essenziale. 

elasticsearch-encrypted-at-rest

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per AmazonOpenSearchServizio (OpenSearchDomini Service).
Dati archiviati B3.c Sono stati protetti i dati memorizzati importanti per il funzionamento della funzione essenziale. 

encrypted-volumes

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS).
Dati archiviati B3.c Sono stati protetti i dati memorizzati importanti per il funzionamento della funzione essenziale. 

rds-snapshot-encrypted

Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
Dati archiviati B3.c Sono stati protetti i dati memorizzati importanti per il funzionamento della funzione essenziale. 

rds-storage-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati.
Dati archiviati B3.c Sono stati protetti i dati memorizzati importanti per il funzionamento della funzione essenziale. 

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
Dati archiviati B3.c Sono stati protetti i dati memorizzati importanti per il funzionamento della funzione essenziale. 

S3-bucket-server-side-encryption-enabled

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati.
Dati archiviati B3.c Sono stati protetti i dati memorizzati importanti per il funzionamento della funzione essenziale. 

sagemaker-endpoint-configuration-kms-key-configured

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata perSageMakerendpoint. Perché i dati sensibili possono esistere a riposoSageMakerendpoint, abilita la crittografia a riposo per proteggere tali dati.
Dati archiviati B3.c Sono stati protetti i dati memorizzati importanti per il funzionamento della funzione essenziale. 

sagemaker-notebook-instance-kms-key-configurato

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata perSageMakernotebook. Perché i dati sensibili possono esistere a riposoSageMakernotebook, abilita la crittografia a riposo per proteggere tali dati.
Dati archiviati B3.c Sono stati protetti i dati memorizzati importanti per il funzionamento della funzione essenziale. 

sns-encrypted-kms

Per proteggere i dati a riposo, assicurati che gli argomenti Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Poiché i dati sensibili possono esistere a riposo nei messaggi pubblicati, abilitare la crittografia a riposo per proteggere tali dati.
Dati archiviati B3.c Sono stati protetti i dati memorizzati importanti per il funzionamento della funzione essenziale. 

cmk-backing-key-rotation-enabled

Abilita la rotazione delle chiavi per garantire che le chiavi vengano ruotate una volta che hanno raggiunto la fine del periodo crittografico.
Dati archiviati B3.c Sono stati protetti i dati memorizzati importanti per il funzionamento della funzione essenziale. 

kms-cmk-not-scheduled-for-deletion

Per aiutare a proteggere i dati inattivi, assicurarsi che le chiavi master key cliente (CMK) necessarie non siano pianificate per l'eliminazione in AWS Key Management Service (AWS KMS). Poiché a volte è necessaria l'eliminazione della chiave, questa regola può aiutare a controllare tutte le chiavi pianificate per l'eliminazione, nel caso in cui una chiave sia stata pianificata involontariamente.
Dati archiviati B3.c Sono stati protetti i dati memorizzati importanti per il funzionamento della funzione essenziale. 

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea in modo automatico uno snapshot dei volumi di storage dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
Dati archiviati B3.c Sono stati protetti i dati memorizzati importanti per il funzionamento della funzione essenziale. 

dynamic odb-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
Dati archiviati B3.c Sono stati protetti i dati memorizzati importanti per il funzionamento della funzione essenziale. 

dynamodb-pitr-enabled

Abilitare questa regola per verificare che le informazioni siano state eseguite il backup. Mantiene inoltre i backup garantendo chepoint-in-timeIl ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
Dati archiviati B3.c Sono stati protetti i dati memorizzati importanti per il funzionamento della funzione essenziale. 

ebs-in-backup-plan

Per aiutare i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) siano parte integrante di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
Dati archiviati B3.c Sono stati protetti i dati memorizzati importanti per il funzionamento della funzione essenziale. 

efs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
Dati archiviati B3.c Sono stati protetti i dati memorizzati importanti per il funzionamento della funzione essenziale. 

elasticache-redis-cluster-automatic-backup-check

Quando i backup automatici sono abilitati, AmazonElastiCachecrea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente.
Dati archiviati B3.c Sono stati protetti i dati memorizzati importanti per il funzionamento della funzione essenziale. 

rds-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le istanze Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
Dati archiviati B3.c Sono stati protetti i dati memorizzati importanti per il funzionamento della funzione essenziale. 

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire la disponibilità dei dati.
Dati archiviati B3.c Sono stati protetti i dati memorizzati importanti per il funzionamento della funzione essenziale. 

s3-bucket-versioning-enabled

Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni ti aiuta a recuperare facilmente operazioni involontarie dell'utente e guasti dell'applicazione.
Dati archiviati B3.c Sono stati protetti i dati memorizzati importanti per il funzionamento della funzione essenziale. 

rds-instance-deletion-protection-enabled

Assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) abbiano la protezione da eliminazione abilitata. Utilizza la protezione dall'eliminazione per evitare che le tue istanze Amazon RDS vengano cancellate accidentalmente o dannosamente, il che può comportare una perdita di disponibilità per le tue applicazioni.
Dati archiviati B3.c Sono stati protetti i dati memorizzati importanti per il funzionamento della funzione essenziale. 

s3-bucket-default-lock-enabled

Assicurati che il bucket Amazon Simple Storage Service (Amazon S3) abbia il blocco abilitato, per impostazione predefinita. Poiché i dati sensibili possono esistere a riposo nei bucket S3, applica i blocchi degli oggetti a riposo per proteggere tali dati.
Dati archiviati B3.c Sono stati protetti i dati memorizzati importanti per il funzionamento della funzione essenziale. 

redshift-cluster-kms-enabled

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il cluster Amazon Redshift. Poiché i dati sensibili possono esistere a riposo nei cluster Redshift, abilitare la crittografia a riposo per proteggere tali dati.
Dati archiviati B3.c Sono stati protetti i dati memorizzati importanti per il funzionamento della funzione essenziale. 

secretsmanager-using-cmk

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per i segreti di AWS Secrets Manager. Poiché i dati sensibili possono esistere a riposo nei segreti di Secrets Manager, abilitare la crittografia a riposo per proteggere tali dati.
Dati archiviati B3.c Sono stati protetti i dati memorizzati importanti per il funzionamento della funzione essenziale. 

redshift-backup-enabled

Per aiutarti con i processi di backup dei dati, assicurati che i tuoi cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB di modifiche dei dati per nodo, a seconda di quale evento si verifica prima.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

acm-certificate-expiration-check

Assicurati che l'integrità della rete sia protetta assicurando che i certificati X509 vengano emessi da AWS ACM. Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore perdaysToExpiration(Valore AWS Foundational Security Best Practices: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive nell'ambiente.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchServizio (OpenSearchI domini Service) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non permettere l'ingresso (o in remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

ec2-instances-in-vpc

Distribuisci istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

internet-gateway-authorized-vpc-only

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud autorizzato (Amazon VPC). I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

lambda-inside-vpc

Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi nell'Amazon VPC. Con questa configurazione, non è necessario disporre di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

redshift-enhanced-vpc-routing-enabled

Il routing VPC avanzato forza il passaggio di tutto il traffico dei comandi COPY e UNLOAD tra il cluster e i repository di dati a passare attraverso Amazon VPC. È quindi possibile utilizzare funzionalità VPC come gruppi di sicurezza e elenchi di controllo dell'accesso alla rete per proteggere il traffico di rete. È inoltre possibile utilizzare i registri di flusso VPC per monitorare il traffico di rete.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

api-gw-associato-con-waf

AWS WAF consente all'utente di configurare un set di regole (chiamato lista di controllo accessi Web (ACL Web Access Control List)) che consente, blocca o conteggia le richieste Web in base alle regole di sicurezza Web personalizzabili e le condizioni definite dall'utente. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

s3-bucket-public-read-prohibited

Gestisci l'accesso alle risorse nel cloud AWS consentendo agli utenti, ai processi e ai dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

s3-bucket-public-write-prohibited

Gestisci l'accesso alle risorse nel cloud AWS consentendo agli utenti, ai processi e ai dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita alle risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso a risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato ai sistemi interni.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

autoscaling-group-elb-healthcheck-required

I controlli dello stato Elastic Load Balancer (ELB) per i gruppi Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) supportano il mantenimento di capacità e disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ping, effettua tentativi di connessione o invia richieste per testare l'integrità delle istanze Amazon EC2 in un gruppo di auto-scaling. Se un'istanza non viene segnalata, il traffico viene inviato a una nuova istanza Amazon EC2.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

dynamodb-autoscaling-enabled

La scalabilità automatica di Amazon DynamoDB utilizza il servizio AWS Application Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In questo modo una tabella o un indice secondario globale può aumentare la capacità di lettura/scrittura assegnata per gestire improvvisi aumenti di traffico, senza throttling.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

dynamodb-throughput-limit-check

Attiva questa regola per garantire che la capacità di throughput di provisioning sia controllata sulle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura/scrittura che ciascuna tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando il throughput si avvicina al limite massimo per l'account di un cliente. Questa regola permette l'impostazione opzionale AccountRCUThresholdPercentage(Config Default: 80) e accountWCUThresholdPercentage(Config Default: 80) parametri. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

elb-cross-zone-load-balancing-abilitato

Abilita il bilanciamento del carico tra zone per i tuoi Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il sistema di bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

elb-deletion-protection-enabled

Questa regola assicura che Elastic Load Balancing abbia la protezione da eliminazione abilitata. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

lambda-concurrency-check

Questa regola assicura che vengano stabiliti i limiti alti e bassi di concorrenza di una funzione Lambda. Ciò può aiutare a baseline sul numero di richieste che la funzione sta elaborando in un dato momento.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

rds-instance-deletion-protection-enabled

Assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) abbiano la protezione da eliminazione abilitata. Utilizza la protezione dall'eliminazione per evitare che le tue istanze Amazon RDS vengano cancellate accidentalmente o dannosamente, il che può comportare una perdita di disponibilità per le tue applicazioni.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

rds-multi-az-support

Il supporto Multi-AZ in Amazon Relational Database Service (Amazon RDS) fornisce disponibilità e durata avanzate per le istanze di database. Quando esegui il provisioning di un'istanza di database Multi-AZ, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati in un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura fisica, distinta e indipendente ed è progettata in modo da essere altamente affidabile. In caso di guasto all'infrastruttura, Amazon RDS esegue un failover automatico sullo standby in modo da poter riprendere le operazioni del database non appena il failover è stato completato.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

s3-bucket-default-lock-enabled

Assicurati che il bucket Amazon Simple Storage Service (Amazon S3) abbia il blocco abilitato, per impostazione predefinita. Poiché i dati sensibili possono esistere a riposo nei bucket S3, applica i blocchi degli oggetti a riposo per proteggere tali dati.
B4.a Secure by Design È possibile progettare la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento di funzioni essenziali. Riduci al minimo la loro superficie di attacco e assicurati che il funzionamento della funzione essenziale non venga influenzato dallo sfruttamento di nessuna singola vulnerabilità.

vpc-vpn-2-tunnels-up

I tunnel Site-to-Site VPN ridondanti possono essere implementati per ottenere requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso una delle connessioni Site-to-Site VPN non sia disponibile. Per evitare la perdita di connettività, nel caso in cui il gateway del cliente non sia disponibile, puoi configurare una seconda connessione Site-to-Site VPN al Amazon Virtual Private Cloud (Amazon VPC) e al gateway virtuale privato utilizzando un secondo gateway del cliente.
B4.b Configurazione sicura È possibile configurare in modo sicuro la rete e i sistemi informativi che supportano il funzionamento delle funzioni essenziali. 

ec2-instance-managed-by-systems-manager

Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
B4.b Configurazione sicura È possibile configurare in modo sicuro la rete e i sistemi informativi che supportano il funzionamento delle funzioni essenziali. 

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
B4.b Configurazione sicura È possibile configurare in modo sicuro la rete e i sistemi informativi che supportano il funzionamento delle funzioni essenziali. 

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutare con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
B4.b Configurazione sicura È possibile configurare in modo sicuro la rete e i sistemi informativi che supportano il funzionamento delle funzioni essenziali. 

ec2-imdsv2 - controllo

Assicurati che il metodo IMDSv2 (Instance Metadata Service versione 2) sia abilitato per proteggere l'accesso e il controllo dei metadati dell'istanza Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati su sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze.
B4.b Configurazione sicura È possibile configurare in modo sicuro la rete e i sistemi informativi che supportano il funzionamento delle funzioni essenziali. 

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. Nello specifico, hanno finestre di manutenzione preferite e periodi di conservazione automatica delle istantanee per il database. Questa regola richiede di impostare ilallowVersionUpgrade. Il valore predefinito è true. Consente inoltre di impostare facoltativamentepreferredMaintenanceWindow(il valore predefinito è sat: 16:00 -sab: 16:30) e ilautomatedSnapshotRetentionPeriodo (il valore predefinito è 1). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
B4.c Gestione sicura Gestisci la rete e i sistemi informativi della tua organizzazione che supportano il funzionamento di funzioni essenziali per abilitare e mantenere la sicurezza. 

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
B4.c Gestione sicura Gestisci la rete e i sistemi informativi della tua organizzazione che supportano il funzionamento di funzioni essenziali per abilitare e mantenere la sicurezza. 

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutare con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
B4.c Gestione sicura Gestisci la rete e i sistemi informativi della tua organizzazione che supportano il funzionamento di funzioni essenziali per abilitare e mantenere la sicurezza. 

ec2-imdsv2 - controllo

Assicurati che il metodo IMDSv2 (Instance Metadata Service versione 2) sia abilitato per proteggere l'accesso e il controllo dei metadati dell'istanza Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati su sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze.
B4.c Gestione sicura Gestisci la rete e i sistemi informativi della tua organizzazione che supportano il funzionamento di funzioni essenziali per abilitare e mantenere la sicurezza. 

elastic-beanstalk-managed-updates-enabled

L'abilitazione degli aggiornamenti della piattaforma gestita per un ambiente Amazon Elastic Beanstalk garantisce l'installazione delle più recenti correzioni, aggiornamenti e funzionalità della piattaforma disponibili per l'ambiente. Mantenersi aggiornati con l'installazione delle patch è una buona pratica nella protezione dei sistemi.
B4.c Gestione sicura Gestisci la rete e i sistemi informativi della tua organizzazione che supportano il funzionamento di funzioni essenziali per abilitare e mantenere la sicurezza. 

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. Nello specifico, hanno finestre di manutenzione preferite e periodi di conservazione automatica delle istantanee per il database. Questa regola richiede di impostare ilallowVersionUpgrade. Il valore predefinito è true. Consente inoltre di impostare facoltativamentepreferredMaintenanceWindow(il valore predefinito è sat: 16:00 -sab: 16:30) e ilautomatedSnapshotRetentionPeriodo (il valore predefinito è 1). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
B4.d Gestione delle vulnerabilità Gestisci vulnerabilità note nella tua rete e nei sistemi informativi per prevenire effetti negativi sulla funzione essenziale. 

ec2-instance-managed-by-systems-manager

Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
B4.d Gestione delle vulnerabilità Gestisci vulnerabilità note nella tua rete e nei sistemi informativi per prevenire effetti negativi sulla funzione essenziale. 

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
B4.d Gestione delle vulnerabilità Gestisci vulnerabilità note nella tua rete e nei sistemi informativi per prevenire effetti negativi sulla funzione essenziale. 

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutare con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
B4.d Gestione delle vulnerabilità Gestisci vulnerabilità note nella tua rete e nei sistemi informativi per prevenire effetti negativi sulla funzione essenziale. 

ec2-imdsv2 - controllo

Assicurati che il metodo IMDSv2 (Instance Metadata Service versione 2) sia abilitato per proteggere l'accesso e il controllo dei metadati dell'istanza Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati su sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze.
B4.d Gestione delle vulnerabilità Gestisci vulnerabilità note nella tua rete e nei sistemi informativi per prevenire effetti negativi sulla funzione essenziale. 

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. Nello specifico, hanno finestre di manutenzione preferite e periodi di conservazione automatica delle istantanee per il database. Questa regola richiede di impostare ilallowVersionUpgrade. Il valore predefinito è true. Consente inoltre di impostare facoltativamentepreferredMaintenanceWindow(il valore predefinito è sat: 16:00 -sab: 16:30) e ilautomatedSnapshotRetentionPeriodo (il valore predefinito è 1). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
B4.d Gestione delle vulnerabilità Gestisci vulnerabilità note nella tua rete e nei sistemi informativi per prevenire effetti negativi sulla funzione essenziale. 

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
B4.d Gestione delle vulnerabilità Gestisci vulnerabilità note nella tua rete e nei sistemi informativi per prevenire effetti negativi sulla funzione essenziale. 

elastic-beanstalk-managed-updates-enabled

L'abilitazione degli aggiornamenti della piattaforma gestita per un ambiente Amazon Elastic Beanstalk garantisce l'installazione delle più recenti correzioni, aggiornamenti e funzionalità della piattaforma disponibili per l'ambiente. Mantenersi aggiornati con l'installazione delle patch è una buona pratica nella protezione dei sistemi.
B5.b Design per la resilienza Progetti la rete e i sistemi informativi che supportano la tua funzione essenziale per essere resilienti agli incidenti di sicurezza informatica. I sistemi sono opportunamente separati e le limitazioni delle risorse vengono mitigate. 

vpc-vpn-2-tunnels-up

I tunnel Site-to-Site VPN ridondanti possono essere implementati per ottenere requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso una delle connessioni Site-to-Site VPN non sia disponibile. Per evitare la perdita di connettività, nel caso in cui il gateway del cliente non sia disponibile, puoi configurare una seconda connessione Site-to-Site VPN al Amazon Virtual Private Cloud (Amazon VPC) e al gateway virtuale privato utilizzando un secondo gateway del cliente.
B5.b Design per la resilienza Progetti la rete e i sistemi informativi che supportano la tua funzione essenziale per essere resilienti agli incidenti di sicurezza informatica. I sistemi sono opportunamente separati e le limitazioni delle risorse vengono mitigate. 

elb-cross-zone-load-balancing-abilitato

Abilita il bilanciamento del carico tra zone per i tuoi Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il sistema di bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze.
B5.b Design per la resilienza Progetti la rete e i sistemi informativi che supportano la tua funzione essenziale per essere resilienti agli incidenti di sicurezza informatica. I sistemi sono opportunamente separati e le limitazioni delle risorse vengono mitigate. 

dynamodb-autoscaling-enabled

La scalabilità automatica di Amazon DynamoDB utilizza il servizio AWS Application Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In questo modo una tabella o un indice secondario globale può aumentare la capacità di lettura/scrittura assegnata per gestire improvvisi aumenti di traffico, senza throttling.
B5.b Design per la resilienza Progetti la rete e i sistemi informativi che supportano la tua funzione essenziale per essere resilienti agli incidenti di sicurezza informatica. I sistemi sono opportunamente separati e le limitazioni delle risorse vengono mitigate. 

rds-multi-az-support

Il supporto Multi-AZ in Amazon Relational Database Service (Amazon RDS) fornisce disponibilità e durata avanzate per le istanze di database. Quando esegui il provisioning di un'istanza di database Multi-AZ, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati in un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura fisica, distinta e indipendente ed è progettata in modo da essere altamente affidabile. In caso di guasto all'infrastruttura, Amazon RDS esegue un failover automatico sullo standby in modo da poter riprendere le operazioni del database non appena il failover è stato completato.
Backup B5.c Contiene backup correnti accessibili e protetti dei dati e delle informazioni necessarie per ripristinare il funzionamento della funzione essenziale 

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea in modo automatico uno snapshot dei volumi di storage dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
Backup B5.c Contiene backup correnti accessibili e protetti dei dati e delle informazioni necessarie per ripristinare il funzionamento della funzione essenziale 

dynamic odb-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
Backup B5.c Contiene backup correnti accessibili e protetti dei dati e delle informazioni necessarie per ripristinare il funzionamento della funzione essenziale 

dynamodb-pitr-enabled

Abilitare questa regola per verificare che le informazioni siano state eseguite il backup. Mantiene inoltre i backup garantendo chepoint-in-timeIl ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
Backup B5.c Contiene backup correnti accessibili e protetti dei dati e delle informazioni necessarie per ripristinare il funzionamento della funzione essenziale 

ebs-in-backup-plan

Per aiutare i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) siano parte integrante di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
Backup B5.c Contiene backup correnti accessibili e protetti dei dati e delle informazioni necessarie per ripristinare il funzionamento della funzione essenziale 

efs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
Backup B5.c Contiene backup correnti accessibili e protetti dei dati e delle informazioni necessarie per ripristinare il funzionamento della funzione essenziale 

elasticache-redis-cluster-automatic-backup-check

Quando i backup automatici sono abilitati, AmazonElastiCachecrea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente.
Backup B5.c Contiene backup correnti accessibili e protetti dei dati e delle informazioni necessarie per ripristinare il funzionamento della funzione essenziale 

redshift-backup-enabled

Per aiutarti con i processi di backup dei dati, assicurati che i tuoi cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB di modifiche dei dati per nodo, a seconda di quale evento si verifica prima.
Backup B5.c Contiene backup correnti accessibili e protetti dei dati e delle informazioni necessarie per ripristinare il funzionamento della funzione essenziale 

rds-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le istanze Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
Backup B5.c Contiene backup correnti accessibili e protetti dei dati e delle informazioni necessarie per ripristinare il funzionamento della funzione essenziale 

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
Backup B5.c Contiene backup correnti accessibili e protetti dei dati e delle informazioni necessarie per ripristinare il funzionamento della funzione essenziale 

s3-bucket-versioning-enabled

Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni ti aiuta a recuperare facilmente operazioni involontarie dell'utente e guasti dell'applicazione.
Copertura di monitoraggio C1.a Le origini dati incluse nel monitoraggio consentono di identificare tempestivamente gli eventi di sicurezza che potrebbero influire sul funzionamento della funzione essenziale.

autoscaling-group-elb-healthcheck-required

I controlli dello stato Elastic Load Balancer (ELB) per i gruppi Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) supportano il mantenimento di capacità e disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ping, effettua tentativi di connessione o invia richieste per testare l'integrità delle istanze Amazon EC2 in un gruppo di auto-scaling. Se un'istanza non viene segnalata, il traffico viene inviato a una nuova istanza Amazon EC2.
Copertura di monitoraggio C1.a Le origini dati incluse nel monitoraggio consentono di identificare tempestivamente gli eventi di sicurezza che potrebbero influire sul funzionamento della funzione essenziale.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati forniscono i dettagli dell'attività delle chiamate API nell'account AWS.
Copertura di monitoraggio C1.a Le origini dati incluse nel monitoraggio consentono di identificare tempestivamente gli eventi di sicurezza che potrebbero influire sul funzionamento della funzione essenziale.

cloudwatch-alarm-action-check

AmazonCloudWatchavvisi allarmi quando una metrica supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionObbligatorio Config impostazione predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
Copertura di monitoraggio C1.a Le origini dati incluse nel monitoraggio consentono di identificare tempestivamente gli eventi di sicurezza che potrebbero influire sul funzionamento della funzione essenziale.

dynamodb-throughput-limit-check

Attiva questa regola per garantire che la capacità di throughput di provisioning sia controllata sulle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura/scrittura che ciascuna tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando il throughput si avvicina al limite massimo per l'account di un cliente. Questa regola permette l'impostazione opzionale AccountRCUThresholdPercentage(Config Default: 80) e accountWCUThresholdPercentage(Config Default: 80) parametri. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
Copertura di monitoraggio C1.a Le origini dati incluse nel monitoraggio consentono di identificare tempestivamente gli eventi di sicurezza che potrebbero influire sul funzionamento della funzione essenziale.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS.
Copertura di monitoraggio C1.a Le origini dati incluse nel monitoraggio consentono di identificare tempestivamente gli eventi di sicurezza che potrebbero influire sul funzionamento della funzione essenziale.

guardduty-non-archived-findings

AmazonGuardDutyaiuta a comprendere l'impatto di un incidente classificando i risultati per gravità: bassa, media e alta. È possibile utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola permette l'impostazione facoltativadaysLowSev(Config Default: 30),daysMediumSev(Config Default: 7) edaysHighSev(Config Predefinito: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione.
Copertura di monitoraggio C1.a Le origini dati incluse nel monitoraggio consentono di identificare tempestivamente gli eventi di sicurezza che potrebbero influire sul funzionamento della funzione essenziale.

lambda-concurrency-check

Questa regola assicura che vengano stabiliti i limiti alti e bassi di concorrenza di una funzione Lambda. Ciò può aiutare a baseline sul numero di richieste che la funzione sta elaborando in un dato momento.
Copertura di monitoraggio C1.a Le origini dati incluse nel monitoraggio consentono di identificare tempestivamente gli eventi di sicurezza che potrebbero influire sul funzionamento della funzione essenziale.

beanstalk-potenziato-health reporting-abilitato

Il reporting dello stato avanzato AWS Elastic Beanstalk consente una risposta più rapida ai cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione. Elastic Beanstalk migliorata segnalazione dello stato fornisce un descrittore di stato per valutare la gravità dei problemi identificati e identificare le possibili cause da indagare.
Copertura di monitoraggio C1.a Le origini dati incluse nel monitoraggio consentono di identificare tempestivamente gli eventi di sicurezza che potrebbero influire sul funzionamento della funzione essenziale.

lambda-dlq-check

Abilita questa regola per informare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione non è riuscita.
Copertura di monitoraggio C1.a Le origini dati incluse nel monitoraggio consentono di identificare tempestivamente gli eventi di sicurezza che potrebbero influire sul funzionamento della funzione essenziale.

rds-enhanced-monitoring-enabled

Abilita Amazon Relational Database Service (Amazon Amazon RDS) per monitorare la disponibilità di Amazon RDS. Ciò fornisce una visibilità dettagliata dello stato delle istanze di database Amazon RDS. Quando lo storage Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ciascun dispositivo. Inoltre, quando l'istanza del database Amazon RDS è in esecuzione in una distribuzione Multi-AZ, vengono raccolti i dati per ciascun dispositivo sull'host secondario e le metriche dell'host secondario.
Copertura di monitoraggio C1.a Le origini dati incluse nel monitoraggio consentono di identificare tempestivamente gli eventi di sicurezza che potrebbero influire sul funzionamento della funzione essenziale.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
C1.b registri di sicurezza Conserva i dati di registrazione in modo sicuro e concedi l'accesso in lettura solo agli account con esigenze aziendali. Nessun dipendente dovrebbe mai dover modificare o eliminare i dati di registrazione entro un periodo di conservazione concordato, dopodiché dovrebbe essere cancellato.

s3-bucket-default-lock-enabled

Assicurati che il bucket Amazon Simple Storage Service (Amazon S3) abbia il blocco abilitato, per impostazione predefinita. Poiché i dati sensibili possono esistere a riposo nei bucket S3, applica i blocchi degli oggetti a riposo per proteggere tali dati.
C1.b registri di sicurezza Conserva i dati di registrazione in modo sicuro e concedi l'accesso in lettura solo agli account con esigenze aziendali. Nessun dipendente dovrebbe mai dover modificare o eliminare i dati di registrazione entro un periodo di conservazione concordato, dopodiché dovrebbe essere cancellato.

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
C1.b registri di sicurezza Conserva i dati di registrazione in modo sicuro e concedi l'accesso in lettura solo agli account con esigenze aziendali. Nessun dipendente dovrebbe mai dover modificare o eliminare i dati di registrazione entro un periodo di conservazione concordato, dopodiché dovrebbe essere cancellato.

s3-bucket-policy-grantee-check

Gestisci l'accesso al cloud AWS abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 è limitato da qualsiasi principale di AWS, dagli utenti federati, dai principali dei servizi, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti dall'utente.
C1.b registri di sicurezza Conserva i dati di registrazione in modo sicuro e concedi l'accesso in lettura solo agli account con esigenze aziendali. Nessun dipendente dovrebbe mai dover modificare o eliminare i dati di registrazione entro un periodo di conservazione concordato, dopodiché dovrebbe essere cancellato.

s3-bucket-public-read-prohibited

Gestisci l'accesso alle risorse nel cloud AWS consentendo agli utenti, ai processi e ai dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
C1.b registri di sicurezza Conserva i dati di registrazione in modo sicuro e concedi l'accesso in lettura solo agli account con esigenze aziendali. Nessun dipendente dovrebbe mai dover modificare o eliminare i dati di registrazione entro un periodo di conservazione concordato, dopodiché dovrebbe essere cancellato.

s3-bucket-public-write-prohibited

Gestisci l'accesso alle risorse nel cloud AWS consentendo agli utenti, ai processi e ai dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
C1.b registri di sicurezza Conserva i dati di registrazione in modo sicuro e concedi l'accesso in lettura solo agli account con esigenze aziendali. Nessun dipendente dovrebbe mai dover modificare o eliminare i dati di registrazione entro un periodo di conservazione concordato, dopodiché dovrebbe essere cancellato.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
C1.b registri di sicurezza Conserva i dati di registrazione in modo sicuro e concedi l'accesso in lettura solo agli account con esigenze aziendali. Nessun dipendente dovrebbe mai dover modificare o eliminare i dati di registrazione entro un periodo di conservazione concordato, dopodiché dovrebbe essere cancellato.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
C1.b registri di sicurezza Conserva i dati di registrazione in modo sicuro e concedi l'accesso in lettura solo agli account con esigenze aziendali. Nessun dipendente dovrebbe mai dover modificare o eliminare i dati di registrazione entro un periodo di conservazione concordato, dopodiché dovrebbe essere cancellato.

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
C1.b registri di sicurezza Conserva i dati di registrazione in modo sicuro e concedi l'accesso in lettura solo agli account con esigenze aziendali. Nessun dipendente dovrebbe mai dover modificare o eliminare i dati di registrazione entro un periodo di conservazione concordato, dopodiché dovrebbe essere cancellato.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
C1.b registri di sicurezza Conserva i dati di registrazione in modo sicuro e concedi l'accesso in lettura solo agli account con esigenze aziendali. Nessun dipendente dovrebbe mai dover modificare o eliminare i dati di registrazione entro un periodo di conservazione concordato, dopodiché dovrebbe essere cancellato.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Operazione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
C1.b registri di sicurezza Conserva i dati di registrazione in modo sicuro e concedi l'accesso in lettura solo agli account con esigenze aziendali. Nessun dipendente dovrebbe mai dover modificare o eliminare i dati di registrazione entro un periodo di conservazione concordato, dopodiché dovrebbe essere cancellato.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
C1.b registri di sicurezza Conserva i dati di registrazione in modo sicuro e concedi l'accesso in lettura solo agli account con esigenze aziendali. Nessun dipendente dovrebbe mai dover modificare o eliminare i dati di registrazione entro un periodo di conservazione concordato, dopodiché dovrebbe essere cancellato.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano associate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
C1.b registri di sicurezza Conserva i dati di registrazione in modo sicuro e concedi l'accesso in lettura solo agli account con esigenze aziendali. Nessun dipendente dovrebbe mai dover modificare o eliminare i dati di registrazione entro un periodo di conservazione concordato, dopodiché dovrebbe essere cancellato.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
C1.c Generazione di avvisi Le prove di potenziali incidenti di sicurezza contenuti nei dati di monitoraggio vengono identificate in modo affidabile e attivano avvisi.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS.
C1.c Generazione di avvisi Le prove di potenziali incidenti di sicurezza contenuti nei dati di monitoraggio vengono identificate in modo affidabile e attivano avvisi.

guardduty-non-archived-findings

AmazonGuardDutyaiuta a comprendere l'impatto di un incidente classificando i risultati per gravità: bassa, media e alta. È possibile utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola permette l'impostazione facoltativadaysLowSev(Config Default: 30),daysMediumSev(Config Default: 7) edaysHighSev(Config Predefinito: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione.
C1.c Generazione di avvisi Le prove di potenziali incidenti di sicurezza contenuti nei dati di monitoraggio vengono identificate in modo affidabile e attivano avvisi.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
C1.c Generazione di avvisi Le prove di potenziali incidenti di sicurezza contenuti nei dati di monitoraggio vengono identificate in modo affidabile e attivano avvisi.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
C1.c Generazione di avvisi Le prove di potenziali incidenti di sicurezza contenuti nei dati di monitoraggio vengono identificate in modo affidabile e attivano avvisi.

ricerca elastica - logs-to-cloud watch

Garantire AmazonOpenSearchI domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su AmazonCloudWatchRegistri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
C1.c Generazione di avvisi Le prove di potenziali incidenti di sicurezza contenuti nei dati di monitoraggio vengono identificate in modo affidabile e attivano avvisi.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati forniscono i dettagli dell'attività delle chiamate API nell'account AWS.
C1.c Generazione di avvisi Le prove di potenziali incidenti di sicurezza contenuti nei dati di monitoraggio vengono identificate in modo affidabile e attivano avvisi.

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
C1.c Generazione di avvisi Le prove di potenziali incidenti di sicurezza contenuti nei dati di monitoraggio vengono identificate in modo affidabile e attivano avvisi.

cloudtrail-security trail abilitato

Questa regola aiuta a garantire l'utilizzo delle best practice di sicurezza consigliate da AWS per AWS.CloudTrail, verificando l'attivazione di più impostazioni. Questi includono l'uso della crittografia dei log, la convalida dei log e l'attivazione di AWS.CloudTrailin più regioni.
C1.c Generazione di avvisi Le prove di potenziali incidenti di sicurezza contenuti nei dati di monitoraggio vengono identificate in modo affidabile e attivano avvisi.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
C1.c Generazione di avvisi Le prove di potenziali incidenti di sicurezza contenuti nei dati di monitoraggio vengono identificate in modo affidabile e attivano avvisi.

rds-logging-enabled

Per aiutarti nella registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
C1.c Generazione di avvisi Le prove di potenziali incidenti di sicurezza contenuti nei dati di monitoraggio vengono identificate in modo affidabile e attivano avvisi.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
C1.c Generazione di avvisi Le prove di potenziali incidenti di sicurezza contenuti nei dati di monitoraggio vengono identificate in modo affidabile e attivano avvisi.

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
C1.c Generazione di avvisi Le prove di potenziali incidenti di sicurezza contenuti nei dati di monitoraggio vengono identificate in modo affidabile e attivano avvisi.

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP da e verso le interfacce di rete nel tuo Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita, il record del log di flusso include valori per i diversi componenti del flusso IP, tra cui origine, destinazione e protocollo.
C1.c Generazione di avvisi Le prove di potenziali incidenti di sicurezza contenuti nei dati di monitoraggio vengono identificate in modo affidabile e attivano avvisi.

wafv2-logging abilitato

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta.
C1.d Identificazione degli incidenti di sicurezza Contestualizza gli avvisi con la conoscenza della minaccia e dei sistemi, per identificare gli incidenti di sicurezza che richiedono una qualche forma di risposta.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS.
C1.d Identificazione degli incidenti di sicurezza Contestualizza gli avvisi con la conoscenza della minaccia e dei sistemi, per identificare gli incidenti di sicurezza che richiedono una qualche forma di risposta.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
Strumenti e competenze di monitoraggio C1.e Il monitoraggio delle competenze, degli strumenti e dei ruoli del personale, compresi quelli esternalizzati, dovrebbe riflettere i requisiti di governance e di reporting, le minacce attese e la complessità dei dati di rete o di sistema che devono utilizzare. Il personale di monitoraggio è a conoscenza delle funzioni essenziali di cui hanno bisogno per proteggere.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS.
Strumenti e competenze di monitoraggio C1.e Il monitoraggio delle competenze, degli strumenti e dei ruoli del personale, compresi quelli esternalizzati, dovrebbe riflettere i requisiti di governance e di reporting, le minacce attese e la complessità dei dati di rete o di sistema che devono utilizzare. Il personale di monitoraggio è a conoscenza delle funzioni essenziali di cui hanno bisogno per proteggere.

guardduty-non-archived-findings

AmazonGuardDutyaiuta a comprendere l'impatto di un incidente classificando i risultati per gravità: bassa, media e alta. È possibile utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola permette l'impostazione facoltativadaysLowSev(Config Default: 30),daysMediumSev(Config Default: 7) edaysHighSev(Config Predefinito: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione.
Strumenti e competenze di monitoraggio C1.e Il monitoraggio delle competenze, degli strumenti e dei ruoli del personale, compresi quelli esternalizzati, dovrebbe riflettere i requisiti di governance e di reporting, le minacce attese e la complessità dei dati di rete o di sistema che devono utilizzare. Il personale di monitoraggio è a conoscenza delle funzioni essenziali di cui hanno bisogno per proteggere.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
C2.a Anomalie del sistema per il rilevamento degli attacchi Si definiscono esempi di anomalie nel comportamento del sistema che forniscono modi pratici per rilevare attività dannose altrimenti difficili da identificare.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS.
C2.a Anomalie del sistema per il rilevamento degli attacchi Si definiscono esempi di anomalie nel comportamento del sistema che forniscono modi pratici per rilevare attività dannose altrimenti difficili da identificare.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
Piano di risposta D1.a Hai unup-to-datepiano di risposta agli incidenti basato su una valutazione approfondita del rischio che tiene conto della funzione essenziale e copre una serie di scenari di incidenti. response-plan-exists-mantenuto (controllo del processo) Assicurarsi che i piani di risposta agli incidenti siano stabiliti, mantenuti e distribuiti al personale responsabile.
D1.c Test ed esercizio fisico La tua organizzazione esegue esercizi per testare i piani di risposta, utilizzando incidenti precedenti che hanno colpito la tua (e altra) organizzazione e scenari che attingono all'intelligence delle minacce e alla valutazione del rischio. response-plan-tested(verifica del processo) Assicurati che i piani di risposta agli incidenti e ripristino siano testati. Ciò può aiutare a capire se il piano sarà efficace durante un incidente e se è necessario risolvere eventuali lacune o aggiornamenti.

Modello

Il modello è disponibile suGitHub: Best practice operative per NCSC Cyber Asesment Framework.