Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Best practice operative per l'NCSC Cyber Assessment Framework
I Conformance Pack forniscono un framework di conformità generico progettato per consentire di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando regole gestite o personalizzate e azioni correttive. AWS Config AWS Config I Conformance Pack, in quanto modelli di esempio, non sono progettati per garantire la piena conformità a uno specifico standard di governance o conformità. È responsabilità dell'utente valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.
Di seguito viene fornito un esempio di mappatura tra i controlli del Cyber Assessment Framework (CAF) del National Cyber Security Centre (NCSC) del Regno Unito e le regole Config gestite. AWS Ogni regola Config si applica a una AWS risorsa specifica e si riferisce a uno o più controlli CAF NCSC del Regno Unito. Un controllo CAF NCSC del Regno Unito può essere correlato a più regole Config. Fai riferimento alla tabella seguente per maggiori dettagli e indicazioni relative a queste mappature.
Questo modello di pacchetto di conformità di esempio contiene mappature ai controlli all'interno del NCSC CAF (National Cyber Security Centre | NCSC CAF guidance) del Regno Unito, con tali informazioni del settore pubblico concesse in licenza ai sensi della Open Government
ID controllo | Descrizione del controllo | AWSRegola di Config | Guida |
---|---|---|---|
A3.a Gestione delle risorse | Tutto ciò che è necessario per fornire, mantenere o supportare reti e sistemi informativi necessari per il funzionamento delle funzioni essenziali è determinato e compreso. Ciò include dati, persone e sistemi, nonché qualsiasi infrastruttura di supporto (come alimentazione o raffreddamento). | Questa regola garantisce che le liste di controllo degli accessi alla rete Amazon Virtual Private Cloud (VPC) siano in uso. Il monitoraggio degli elenchi di controllo degli accessi alla rete non utilizzati può aiutare a effettuare un inventario e una gestione accurati del tuo ambiente. | |
A3.a Gestione delle risorse | Tutto ciò che è necessario per fornire, mantenere o supportare reti e sistemi informativi necessari per il funzionamento delle funzioni essenziali è determinato e compreso. Ciò include dati, persone e sistemi, nonché qualsiasi infrastruttura di supporto (come alimentazione o raffreddamento). | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
A3.a Gestione delle risorse | Tutto ciò che è necessario per fornire, mantenere o supportare reti e sistemi informativi necessari per il funzionamento delle funzioni essenziali è determinato e compreso. Ciò include dati, persone e sistemi, nonché qualsiasi infrastruttura di supporto (come alimentazione o raffreddamento). | Abilita questa regola per facilitare la configurazione di base delle istanze Amazon Elastic Compute Cloud (Amazon EC2) controllando se le istanze Amazon EC2 sono state interrotte per più del numero di giorni consentito, in base agli standard della tua organizzazione. | |
A3.a Gestione delle risorse | Tutto ciò che è necessario per fornire, mantenere o supportare reti e sistemi informativi necessari per il funzionamento delle funzioni essenziali è determinato e compreso. Ciò include dati, persone e sistemi, nonché qualsiasi infrastruttura di supporto (come alimentazione o raffreddamento). | Questa regola garantisce che i volumi di Amazon Elastic Block Store collegati alle istanze Amazon Elastic Compute Cloud (Amazon EC2) siano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegato viene terminata, potrebbe violare il concetto di funzionalità minima. | |
A3.a Gestione delle risorse | Tutto ciò che è necessario per fornire, mantenere o supportare reti e sistemi informativi necessari per il funzionamento delle funzioni essenziali è determinato e compreso. Ciò include dati, persone e sistemi, nonché qualsiasi infrastruttura di supporto (come alimentazione o raffreddamento). | Questa regola garantisce che gli IP elastici allocati a un Amazon Virtual Private Cloud (Amazon VPC) siano collegati a istanze Amazon Elastic Compute Cloud (Amazon EC2) o interfacce di rete elastiche in uso. Questa regola aiuta a monitorare gli EIP non utilizzati nel tuo ambiente. | |
B2.a Verifica, autenticazione e autorizzazione dell'identità | Verificate, autenticate e autorizzate in modo affidabile l'accesso alle reti e ai sistemi informativi che supportano la vostra funzione essenziale. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una politica di password IAM organizzativa. Soddisfano o superano i requisiti dichiarati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWSFoundational Security Best Practices value: true), RequireLowercaseCharacters (AWSFoundational Security Best Practices value: true), RequireSymbols (AWSFoundational Security Best Practices value: true), RequireNumbers (AWSFoundational Security Best Practices value: true), MinimumPasswordLength (AWSFoundational Security Best Practices value: 14), PasswordReusePrevention (AWSFoundational Security Best Practices value: 24) e MaxPasswordAge (AWSFoundational Security Best Practices value: 90) per Politica sulle password di IAM. I valori effettivi devono riflettere le politiche dell'organizzazione. | |
B2.a Verifica, autenticazione e autorizzazione dell'identità | Verificate, autenticate e autorizzate in modo affidabile l'accesso alle reti e ai sistemi informativi che supportano la vostra funzione essenziale. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base alle autorizzazioni associate o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
B2.a Verifica, autenticazione e autorizzazione dell'identità | Verificate, autenticate e autorizzate in modo affidabile l'accesso alle reti e ai sistemi informativi che supportano la vostra funzione essenziale. | Assicurati che un utente, un ruolo IAM o un gruppo IAM (AWSIdentity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWSconsiglia di utilizzare politiche gestite anziché politiche in linea. Le politiche gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. | |
B2.a Verifica, autenticazione e autorizzazione dell'identità | Verificate, autenticate e autorizzate in modo affidabile l'accesso alle reti e ai sistemi informativi che supportano la vostra funzione essenziale. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
B2.a Verifica, autenticazione e autorizzazione dell'identità | Verificate, autenticate e autorizzate in modo affidabile l'accesso alle reti e ai sistemi informativi che supportano la vostra funzione essenziale. | AWSIdentity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
B2.a Verifica, autenticazione e autorizzazione dell'identità | Verificate, autenticate e autorizzate in modo affidabile l'accesso alle reti e ai sistemi informativi che supportano la vostra funzione essenziale. | AWSIdentity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se vengono identificate queste credenziali non utilizzate, è necessario disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche dell'organizzazione. | |
B2.a Verifica, autenticazione e autorizzazione dell'identità | Verificate, autenticate e autorizzate in modo affidabile l'accesso alle reti e ai sistemi informativi che supportano la vostra funzione essenziale. | Abilita questa regola per limitare l'accesso alle risorse nel cloud. AWS Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. L'MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Riduci gli incidenti di account compromessi richiedendo l'autenticazione a più fattori per gli utenti. | |
B2.a Verifica, autenticazione e autorizzazione dell'identità | Verificate, autenticate e autorizzate in modo affidabile l'accesso alle reti e ai sistemi informativi che supportano la vostra funzione essenziale. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. L'MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo l'autenticazione a più fattori per gli utenti, è possibile ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
B2.a Verifica, autenticazione e autorizzazione dell'identità | Verificate, autenticate e autorizzate in modo affidabile l'accesso alle reti e ai sistemi informativi che supportano la vostra funzione essenziale. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che la MFA hardware sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un AWS account. L'MFA aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre gli incidenti dovuti alla compromissione degli account. AWS | |
B2.a Verifica, autenticazione e autorizzazione dell'identità | Verificate, autenticate e autorizzate in modo affidabile l'accesso alle reti e ai sistemi informativi che supportano la vostra funzione essenziale. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un AWS account. L'MFA aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre gli incidenti dovuti alla compromissione degli account. AWS | |
B2.a Verifica, autenticazione e autorizzazione dell'identità | Verificate, autenticate e autorizzate in modo affidabile l'accesso alle reti e ai sistemi informativi che supportano la vostra funzione essenziale. | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece AWS account basati sui ruoli per contribuire a incorporare il principio della minima funzionalità. | |
B2.a Verifica, autenticazione e autorizzazione dell'identità | Verificate, autenticate e autorizzate in modo affidabile l'accesso alle reti e ai sistemi informativi che supportano la vostra funzione essenziale. | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o conservare privilegi eccessivi. | |
B2.a Verifica, autenticazione e autorizzazione dell'identità | Verificate, autenticate e autorizzate in modo affidabile l'accesso alle reti e ai sistemi informativi che supportano la vostra funzione essenziale. | Assicurati che il controllo granulare degli accessi sia abilitato sui tuoi domini Amazon Service. OpenSearch Il controllo granulare degli accessi fornisce meccanismi di autorizzazione avanzati per ottenere l'accesso con i privilegi minimi ai domini di Amazon Service. OpenSearch Consente il controllo degli accessi al dominio in base ai ruoli, nonché la sicurezza a livello di indice, documento e campo, il supporto per dashboard di servizio multi-tenancy e l'autenticazione di base HTTP per OpenSearch Service e Kibana. OpenSearch | |
B2.a Verifica, autenticazione e autorizzazione dell'identità | Verificate, autenticate e autorizzate in modo affidabile l'accesso alle reti e ai sistemi informativi che supportano la vostra funzione essenziale. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati secondo i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono autenticarsi sono noti come principali. I principali esistono all'interno di un regno Kerberos. All'interno del regno, un server Kerberos è noto come Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC si autentica emettendo ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
B2.b Gestione dei dispositivi | Conoscete appieno e avete fiducia nei dispositivi utilizzati per accedere alle vostre reti, ai sistemi informativi e ai dati che supportano le vostre funzioni essenziali. | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
B2.b Gestione dei dispositivi | Conoscete appieno e avete fiducia nei dispositivi utilizzati per accedere alle vostre reti, ai sistemi informativi e ai dati che supportano le vostre funzioni essenziali. | AWSSecurity Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
B2.c Gestione degli utenti privilegiati | Gestisci da vicino l'accesso privilegiato degli utenti alle reti e ai sistemi di informazione che supportano la funzione essenziale. | AWSIdentity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se vengono identificate queste credenziali non utilizzate, è necessario disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche dell'organizzazione. | |
B2.c Gestione degli utenti privilegiati | Gestisci da vicino l'accesso privilegiato degli utenti alle reti e ai sistemi di informazione che supportano la funzione essenziale. | Per facilitare l'implementazione del principio del privilegio minimo, assicurati che il tuo ambiente di CodeBuild progetto Amazon non abbia la modalità privilegiata abilitata. Questa impostazione deve essere disabilitata per impedire l'accesso involontario alle API Docker e all'hardware sottostante del contenitore. | |
B2.c Gestione degli utenti privilegiati | Gestisci da vicino l'accesso privilegiato degli utenti alle reti e ai sistemi di informazione che supportano la funzione essenziale. | I profili di istanza EC2 passano un ruolo IAM a un'istanza EC2. Associare un profilo di istanza alle istanze può contribuire alla gestione dei privilegi e delle autorizzazioni minimi. | |
B2.c Gestione degli utenti con privilegi | Gestisci da vicino l'accesso privilegiato degli utenti alle reti e ai sistemi di informazione che supportano la funzione essenziale. | Per facilitare l'implementazione del principio del privilegio minimo, le definizioni delle attività di Amazon Elastic Container Service (Amazon ECS) non devono avere privilegi elevati abilitati. Se il parametro è true, al container vengono assegnati privilegi elevati nell'istanza di container host (simile all'utente root). | |
B2.c Gestione degli utenti privilegiati | Gestisci da vicino l'accesso privilegiato degli utenti alle reti e ai sistemi di informazione che supportano la funzione essenziale. | L'abilitazione dell'accesso in sola lettura ai contenitori Amazon Elastic Container Service (ECS) può aiutare a rispettare il principio del privilegio minimo. Questa opzione può ridurre i vettori di attacco poiché il filesystem dell'istanza del contenitore non può essere modificato a meno che non disponga di autorizzazioni esplicite di lettura/scrittura. | |
B2.c Gestione degli utenti privilegiati | Gestisci da vicino l'accesso privilegiato degli utenti alle reti e ai sistemi di informazione che supportano la funzione essenziale. | Per facilitare l'implementazione del principio del privilegio minimo, assicurati che un utente non root sia designato per l'accesso alle definizioni delle attività di Amazon Elastic Container Service (Amazon ECS). | |
B2.c Gestione degli utenti privilegiati | Gestisci da vicino l'accesso privilegiato degli utenti alle reti e ai sistemi di informazione che supportano la funzione essenziale. | Per facilitare l'implementazione del principio del privilegio minimo, assicurati che l'applicazione degli utenti sia abilitata per Amazon Elastic File System (Amazon EFS). Quando abilitato, Amazon EFS sostituisce gli ID utente e di gruppo del client NFS con l'identità configurata sul punto di accesso per tutte le operazioni del file system e concede l'accesso solo a questa identità utente forzata. | |
B2.c Gestione degli utenti privilegiati | Gestisci da vicino l'accesso privilegiato degli utenti alle reti e ai sistemi di informazione che supportano la funzione essenziale. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati secondo i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono autenticarsi sono noti come principali. I principali esistono all'interno di un regno Kerberos. All'interno del regno, un server Kerberos è noto come Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC si autentica emettendo ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
B2.c Gestione degli utenti privilegiati | Gestisci da vicino l'accesso privilegiato degli utenti alle reti e ai sistemi di informazione che supportano la funzione essenziale. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms:). ReEncryptFrom I valori effettivi devono riflettere le politiche dell'organizzazione | |
B2.c Gestione degli utenti privilegiati | Gestisci da vicino l'accesso privilegiato degli utenti alle reti e ai sistemi di informazione che supportano la funzione essenziale. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base alle autorizzazioni associate o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
B2.c Gestione degli utenti privilegiati | Gestisci da vicino l'accesso privilegiato degli utenti alle reti e ai sistemi di informazione che supportano la funzione essenziale. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
B2.c Gestione degli utenti privilegiati | Gestisci da vicino l'accesso privilegiato degli utenti alle reti e ai sistemi di informazione che supportano la funzione essenziale. | Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
B2.c Gestione degli utenti privilegiati | Gestisci da vicino l'accesso privilegiato degli utenti alle reti e ai sistemi di informazione che supportano la funzione essenziale. | AWSIdentity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
B2.c Gestione degli utenti privilegiati | Gestisci da vicino l'accesso privilegiato degli utenti alle reti e ai sistemi di informazione che supportano la funzione essenziale. | Se in AWS Secrets Manager sono presenti credenziali inutilizzate, è necessario disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola consente di impostare un valore su unusedForDays (Config Default: 90). Il valore effettivo deve riflettere le politiche dell'organizzazione. | |
B2.c Gestione degli utenti privilegiati | Gestisci da vicino l'accesso privilegiato degli utenti alle reti e ai sistemi di informazione che supportano la funzione essenziale. | Abilita questa regola per limitare l'accesso alle risorse nel AWS Cloud. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. L'MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Riduci gli incidenti di account compromessi richiedendo l'autenticazione a più fattori per gli utenti. | |
B2.c Gestione degli utenti privilegiati | Gestisci da vicino l'accesso privilegiato degli utenti alle reti e ai sistemi di informazione che supportano la funzione essenziale. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. L'MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo l'autenticazione a più fattori per gli utenti, è possibile ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
B2.c Gestione degli utenti privilegiati | Gestisci da vicino l'accesso privilegiato degli utenti alle reti e ai sistemi di informazione che supportano la funzione essenziale. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che la MFA hardware sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un AWS account. L'MFA aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre gli incidenti dovuti alla compromissione degli account. AWS | |
B2.c Gestione degli utenti privilegiati | Gestisci da vicino l'accesso privilegiato degli utenti alle reti e ai sistemi di informazione che supportano la funzione essenziale. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un AWS account. L'MFA aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre gli incidenti dovuti alla compromissione degli account. AWS | |
B2.c Gestione degli utenti privilegiati | Gestisci da vicino l'accesso privilegiato degli utenti alle reti e ai sistemi di informazione che supportano la funzione essenziale. | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece AWS account basati sui ruoli per contribuire a incorporare il principio della minima funzionalità. | |
B2.c Gestione degli utenti privilegiati | Gestisci da vicino l'accesso privilegiato degli utenti alle reti e ai sistemi di informazione che supportano la funzione essenziale. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
B2.c Gestione degli utenti privilegiati | Gestisci da vicino l'accesso privilegiato degli utenti alle reti e ai sistemi di informazione che supportano la funzione essenziale. | Amazon ti GuardDuty aiuta a comprendere l'impatto di un incidente classificando i risultati in base alla gravità: bassa, media e alta. Puoi utilizzare queste classificazioni per determinare le strategie e le priorità di riparazione. Questa regola consente di impostare facoltativamente daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) e daysHighSev (Config Default: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione. | |
B2.c Gestione degli utenti privilegiati | Gestisci da vicino l'accesso privilegiato degli utenti alle reti e ai sistemi di informazione che supportano la funzione essenziale. | Assicurati che un utente, un ruolo IAM o un gruppo IAM (AWSIdentity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWSconsiglia di utilizzare politiche gestite anziché politiche in linea. Le politiche gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. | |
B2.d Identity and Access Management (iDAM) | Garantite una buona gestione e manutenzione del controllo delle identità e degli accessi per le vostre reti e i sistemi informativi che supportano la funzione essenziale. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base alle autorizzazioni associate o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
B2.d Identity and Access Management (iDAM) | Garantite una buona gestione e manutenzione del controllo delle identità e degli accessi per le vostre reti e i sistemi informativi che supportano la funzione essenziale. | Assicurati che un utente, un ruolo IAM o un gruppo IAM (AWSIdentity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWSconsiglia di utilizzare politiche gestite anziché politiche in linea. Le politiche gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. | |
B2.d Identity and Access Management (iDAM) | Garantite una buona gestione e manutenzione del controllo delle identità e degli accessi per le vostre reti e i sistemi informativi che supportano la funzione essenziale. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
B2.d Identity and Access Management (iDAM) | Garantite una buona gestione e manutenzione del controllo delle identità e degli accessi per le vostre reti e i sistemi informativi che supportano la funzione essenziale. | AWSIdentity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
B2.d Identity and Access Management (iDAM) | Garantite una buona gestione e manutenzione del controllo delle identità e degli accessi per le vostre reti e i sistemi informativi che supportano la funzione essenziale. | AWSIdentity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se vengono identificate queste credenziali non utilizzate, è necessario disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche dell'organizzazione. | |
B2.d Identity and Access Management (iDAM) | Garantite una buona gestione e manutenzione del controllo delle identità e degli accessi per le vostre reti e i sistemi informativi che supportano la funzione essenziale. | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni sull'AWSaccount che ha effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
B2.d Identity and Access Management (iDAM) | Garantite una buona gestione e manutenzione del controllo delle identità e degli accessi per le vostre reti e i sistemi informativi che supportano la funzione essenziale. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di controllo deve essere abilitata per fornire informazioni sulle connessioni e sulle attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
B2.d Identity and Access Management (iDAM) | Garantite una buona gestione e manutenzione del controllo delle identità e degli accessi per le vostre reti e i sistemi informativi che supportano la funzione essenziale. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
B2.d Identity and Access Management (iDAM) | Garantite una buona gestione e manutenzione del controllo delle identità e degli accessi per le vostre reti e i sistemi informativi che supportano la funzione essenziale. | Amazon ti GuardDuty aiuta a comprendere l'impatto di un incidente classificando i risultati in base alla gravità: bassa, media e alta. Puoi utilizzare queste classificazioni per determinare le strategie e le priorità di riparazione. Questa regola consente di impostare facoltativamente daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) e daysHighSev (Config Default: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione. | |
B2.d Identity and Access Management (iDAM) | Garantite una buona gestione e manutenzione del controllo delle identità e degli accessi per le vostre reti e i sistemi informativi che supportano la funzione essenziale. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo AWS account. | |
B2.d Gestione delle identità e degli accessi (iDAM) | Garantite una buona gestione e manutenzione del controllo delle identità e degli accessi per le vostre reti e i sistemi informativi che supportano la funzione essenziale. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una politica di password IAM organizzativa. Soddisfano o superano i requisiti dichiarati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWSFoundational Security Best Practices value: true), RequireLowercaseCharacters (AWSFoundational Security Best Practices value: true), RequireSymbols (AWSFoundational Security Best Practices value: true), RequireNumbers (AWSFoundational Security Best Practices value: true), MinimumPasswordLength (AWSFoundational Security Best Practices value: 14), PasswordReusePrevention (AWSFoundational Security Best Practices value: 24) e MaxPasswordAge (AWSFoundational Security Best Practices value: 90) per Politica sulle password di IAM. I valori effettivi devono riflettere le politiche dell'organizzazione. | |
B2.d Identity and Access Management (iDAM) | Garantite una buona gestione e manutenzione del controllo delle identità e degli accessi per le vostre reti e i sistemi informativi che supportano la funzione essenziale. | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente in uso. | |
B2.d Identity and Access Management (iDAM) | Garantite una buona gestione e manutenzione del controllo delle identità e degli accessi per le vostre reti e i sistemi informativi che supportano la funzione essenziale. | AWSSecurity Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
B3.a Comprensione dei dati | Conosci bene i dati importanti per il funzionamento della funzione essenziale, dove sono archiviati, dove viaggiano e in che modo l'indisponibilità o l'accesso, la modifica o l'eliminazione non autorizzati potrebbero influire negativamente sulla funzione essenziale. Ciò vale anche per le terze parti che archiviano o accedono a dati importanti per il funzionamento di funzioni essenziali. | Questa regola garantisce che i volumi di Amazon Elastic Block Store collegati alle istanze Amazon Elastic Compute Cloud (Amazon EC2) siano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegato viene terminata, potrebbe violare il concetto di funzionalità minima. | |
B3.b Dati in transito | Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi. | Garantisci che l'integrità della rete sia protetta assicurando che i certificati X509 vengano emessi da AWS ACM. Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore per daysToExpiration (valore AWS Foundational Security Best Practices: 90). Il valore effettivo deve riflettere le politiche dell'organizzazione. | |
B3.b Dati in transito | Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi. | Assicurati che i tuoi Elastic Load Balancer (ELB) siano configurati per eliminare le intestazioni http. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
B3.b Dati in transito | Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
B3.b Dati in transito | Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi. | Assicurati che la node-to-node crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
B3.b Dati in transito | Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi. | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
B3.b Dati in transito | Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi. | Assicurati che i tuoi Elastic Load Balancer (ELB) siano configurati con listener SSL o HTTPS. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
B3.b Dati in transito | Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi. | Assicurati che i tuoi cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
B3.b Dati in transito | Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi. | Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste di utilizzo di Secure Socket Layer (SSL). Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
B3.b Dati in transito | Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi. | Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni web. Un WAF aiuta a proteggere le tue applicazioni web o le tue API dagli exploit web più comuni. Questi exploit web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. | |
B3.b Dati in transito | Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi. | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
B3.b Dati in transito | Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
B3.b Dati in transito | Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi. | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
B3.b Dati in transito | Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi. | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi master del cluster Amazon EMR possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account. | |
B3.b Dati in transito | Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in ingresso (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto. | |
B3.b Dati in transito | Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi. | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per abilitare una comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno di AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
B3.b Dati in transito | Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
B3.b Dati in transito | Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi. | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non è necessario un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
B3.b Dati in transito | Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi. | |
B3.b Dati in transito | Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
B3.b Dati in transito | Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Impostazioni predefinite Config: 20,21,3389,3306,4333). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
B3.b Dati in transito | Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i SageMaker notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
B3.b Dati in transito | Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio basato sullo stato del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
B3.b Dati in transito | Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto ai sistemi interni. | |
B3.b Dati in transito | Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi. | I controlli di integrità di Elastic Load Balancer (ELB) per i gruppi Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling supportano il mantenimento di capacità e disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ping, tenta connessioni o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo di auto-scaling. Se un'istanza non riporta i dati, il traffico viene inviato a una nuova istanza Amazon EC2. | |
B3.b Dati in transito | Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi. | Abilita il bilanciamento del carico tra zone per i tuoi Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere un numero equivalente di istanze in ogni zona di disponibilità abilitata. Inoltre, migliora la capacità dell'applicazione di gestire la perdita di una o più istanze. | |
B3.b Dati in transito | Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi. | Questa regola garantisce che Elastic Load Balancing abbia la protezione da cancellazione abilitata. Utilizza questa funzionalità per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
B3.b Dati in transito | Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi. | È possibile implementare tunnel VPN Site-to-Site ridondanti per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso in cui una delle connessioni VPN da sito a sito non sia disponibile. Per proteggerti dalla perdita di connettività, nel caso in cui il gateway del cliente non sia disponibile, puoi configurare una seconda connessione VPN da sito a sito al tuo Amazon Virtual Private Cloud (Amazon VPC) e al gateway privato virtuale utilizzando un secondo gateway cliente. | |
B3.b Dati in transito | Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per la cache della fase API Gateway. Poiché i dati sensibili possono essere acquisiti con il metodo API, abilita la crittografia a riposo per proteggere tali dati. | |
B3.b Dati in transito | Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi. | Assicurati che la node-to-node crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
B3.b Dati in transito | Hai protetto il transito di dati importanti per il funzionamento della funzione essenziale. Ciò include il trasferimento di dati a terzi. | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
B3.c Dati archiviati | Hai protetto i dati memorizzati importanti per il funzionamento della funzione essenziale. | Poiché possono esistere dati sensibili e per contribuire a proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CloudTrail percorsi. | |
B3.c Dati archiviati | Hai protetto i dati memorizzati importanti per il funzionamento della funzione essenziale. | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi Amazon CloudWatch Log Groups. | |
B3.c Dati archiviati | Hai protetto i dati memorizzati importanti per il funzionamento della funzione essenziale. | Assicurati che la crittografia sia abilitata per le tue tabelle Amazon DynamoDB. Poiché in queste tabelle possono esistere dati sensibili inattivi, abilita la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con AWS una chiave master del cliente (CMK) di proprietà. | |
B3.c Dati archiviati | Hai protetto i dati memorizzati importanti per il funzionamento della funzione essenziale. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché in questi volumi possono esistere dati sensibili inattivi, abilita la crittografia a riposo per proteggere tali dati. | |
B3.c Dati archiviati | Hai protetto i dati memorizzati importanti per il funzionamento della funzione essenziale. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
B3.c Dati archiviati | Hai protetto i dati memorizzati importanti per il funzionamento della funzione essenziale. | Poiché possono esistere dati sensibili e per contribuire a proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch OpenSearch Service (Service). | |
B3.c Dati archiviati | Hai protetto i dati memorizzati importanti per il funzionamento della funzione essenziale. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (Amazon EBS). | |
B3.c Dati archiviati | Hai protetto i dati memorizzati importanti per il funzionamento della funzione essenziale. | Assicurati che la crittografia sia abilitata per gli snapshot di Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere anche quando sono inattivi, abilita la crittografia a riposo per proteggere tali dati. | |
B3.c Dati archiviati | Hai protetto i dati memorizzati importanti per il funzionamento della funzione essenziale. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per le tue istanze di Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere anche quando sono inattivi nelle istanze Amazon RDS, abilita la crittografia inattiva per proteggere tali dati. | |
B3.c Dati archiviati | Hai protetto i dati memorizzati importanti per il funzionamento della funzione essenziale. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di controllo deve essere abilitata per fornire informazioni sulle connessioni e sulle attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
B3.c Dati archiviati | Hai protetto i dati memorizzati importanti per il funzionamento della funzione essenziale. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere inattivi nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
B3.c Dati archiviati | Hai protetto i dati memorizzati importanti per il funzionamento della funzione essenziale. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWSKMS) sia abilitata per il tuo endpoint. SageMaker Poiché nell' SageMaker endpoint possono esistere dati sensibili inattivi, abilita la crittografia a riposo per proteggere tali dati. | |
B3.c Dati archiviati | Hai protetto i dati memorizzati importanti per il funzionamento della funzione essenziale. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWSKMS) sia abilitata per il tuo notebook. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
B3.c Dati archiviati | Hai protetto i dati memorizzati importanti per il funzionamento della funzione essenziale. | Per proteggere i dati archiviati, assicurati che gli argomenti di Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia AWS tramite Key Management Service AWS (KMS). Poiché i dati sensibili possono esistere anche quando sono inattivi nei messaggi pubblicati, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
B3.c Dati archiviati | Hai protetto i dati memorizzati importanti per il funzionamento della funzione essenziale. | Abilita la rotazione delle chiavi per garantire che le chiavi vengano ruotate una volta raggiunta la fine del periodo crittografico. | |
B3.c Dati archiviati | Hai protetto i dati memorizzati importanti per il funzionamento della funzione essenziale. | Per proteggere i dati archiviati, assicurati che non sia pianificata l'eliminazione delle chiavi master del cliente (CMK) necessarie nel AWS Key Management Service (KMS). AWS Poiché a volte l'eliminazione delle chiavi è necessaria, questa regola può aiutare a verificare tutte le chiavi programmate per l'eliminazione, nel caso in cui una chiave sia stata pianificata involontariamente. | |
B3.c Dati archiviati | Hai protetto i dati memorizzati importanti per il funzionamento della funzione essenziale. | La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot del volume di storage dell'istanza DB, eseguendo il backup dell'intera istanza DB. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
B3.c Dati archiviati | Hai protetto i dati memorizzati importanti per il funzionamento della funzione essenziale. | Per facilitare i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
B3.c Dati archiviati | Hai protetto i dati memorizzati importanti per il funzionamento della funzione essenziale. | Attiva questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni. | |
B3.c Dati archiviati | Hai protetto i dati memorizzati importanti per il funzionamento della funzione essenziale. | Per facilitare i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
B3.c Dati archiviati | Hai protetto i dati memorizzati importanti per il funzionamento della funzione essenziale. | Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) fornisce capacità aggiuntiva dedicata per le operazioni di I/O di Amazon EBS. Questa ottimizzazione offre le prestazioni più efficienti per i tuoi volumi EBS riducendo al minimo i conflitti tra le operazioni di I/O di Amazon EBS e altro traffico proveniente dall'istanza. | |
B3.c Dati archiviati | Hai protetto i dati memorizzati importanti per il funzionamento della funzione essenziale. | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
B3.c Dati archiviati | Hai protetto i dati memorizzati importanti per il funzionamento della funzione essenziale. | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere conservato per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, è possibile creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
B3.c Dati archiviati | Hai protetto i dati memorizzati importanti per il funzionamento della funzione essenziale. | Per facilitare i processi di backup dei dati, assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
B3.c Dati archiviati | Hai protetto i dati memorizzati importanti per il funzionamento della funzione essenziale. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR consente la copia automatica e asincrona degli oggetti tra i bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati. | |
B3.c Dati archiviati | Hai protetto i dati memorizzati importanti per il funzionamento della funzione essenziale. | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa il controllo delle versioni per conservare, recuperare e ripristinare ogni versione di ogni oggetto archiviato nel tuo bucket Amazon S3. Il controllo delle versioni ti aiuta a ripristinare facilmente le azioni involontarie degli utenti e gli errori delle applicazioni. | |
B3.c Dati archiviati | Hai protetto i dati memorizzati importanti per il funzionamento della funzione essenziale. | Assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) abbiano la protezione da eliminazione abilitata. Usa la protezione da eliminazione per evitare che le tue istanze Amazon RDS vengano eliminate accidentalmente o intenzionalmente, il che può portare alla perdita di disponibilità delle tue applicazioni. | |
B3.c Dati archiviati | Hai protetto i dati memorizzati importanti per il funzionamento della funzione essenziale. | Assicurati che il tuo bucket Amazon Simple Storage Service (Amazon S3) abbia il blocco abilitato, per impostazione predefinita. Poiché i dati sensibili possono esistere anche quando sono inattivi nei bucket S3, applica i blocchi degli oggetti quando sono inattivi per proteggere tali dati. | |
B3.c Dati archiviati | Hai protetto i dati memorizzati importanti per il funzionamento della funzione essenziale. | Il supporto Multi-AZ in Amazon Relational Database Service (Amazon RDS) offre disponibilità e durabilità avanzate per le istanze di database. Quando effettui il provisioning di un'istanza di database Multi-AZ, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati su un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completo. | |
B3.c Dati archiviati | Hai protetto i dati memorizzati importanti per il funzionamento della funzione essenziale. | Garantisci che l'integrità della rete sia protetta assicurando che i certificati X509 vengano emessi da AWS ACM. Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore per daysToExpiration (valore AWS Foundational Security Best Practices: 90). Il valore effettivo deve riflettere le politiche dell'organizzazione. | |
B3.c Dati archiviati | Hai protetto i dati memorizzati importanti per il funzionamento della funzione essenziale. | Poiché possono esistere dati sensibili e per contribuire a proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | Assicurati che i tuoi Elastic Load Balancer (ELB) siano configurati per eliminare le intestazioni http. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni web. Un WAF aiuta a proteggere le tue applicazioni web o le tue API dagli exploit web più comuni. Questi exploit web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Le istantanee dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | Assicurati che i tuoi Elastic Load Balancer (ELB) siano configurati con listener SSL o HTTPS. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi master del cluster Amazon EMR possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | Amazon GuardDuty può contribuire a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in ingresso (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per abilitare una comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno di AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un deterioramento della disponibilità delle risorse. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non è necessario un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Impostazioni predefinite Config: 20,21,3389,3306,4333). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i SageMaker notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio basato sullo stato del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto ai sistemi interni. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | I controlli di integrità di Elastic Load Balancer (ELB) per i gruppi Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling supportano il mantenimento di capacità e disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ping, tenta connessioni o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo di auto-scaling. Se un'istanza non riporta i dati, il traffico viene inviato a una nuova istanza Amazon EC2. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | La scalabilità automatica di Amazon DynamoDB utilizza il servizio Application AWS Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. Ciò consente a una tabella o a un indice secondario globale di aumentare la capacità di lettura/scrittura assegnata per gestire aumenti improvvisi del traffico, senza limitazioni. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | Abilita questa regola per assicurarti che la capacità di throughput assegnata sia verificata nelle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura/scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando il throughput si avvicina al limite massimo per l'account di un cliente. Questa regola consente di impostare facoltativamente i parametri AccountRCU ThresholdPercentage (Config Default: 80) e AccountWCU ThresholdPercentage (Config Default: 80). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | Abilita il bilanciamento del carico tra zone per i tuoi Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere un numero equivalente di istanze in ogni zona di disponibilità abilitata. Inoltre, migliora la capacità dell'applicazione di gestire la perdita di una o più istanze. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | Questa regola garantisce che Elastic Load Balancing abbia la protezione da cancellazione abilitata. Utilizza questa funzionalità per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | Questa regola garantisce che vengano stabiliti i limiti massimi e minimi di concorrenza di una funzione Lambda. Questo può aiutare a stabilire il numero di richieste che la funzione sta soddisfacendo in un dato momento. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | Assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) abbiano la protezione da eliminazione abilitata. Usa la protezione da eliminazione per evitare che le tue istanze Amazon RDS vengano eliminate accidentalmente o intenzionalmente, il che può portare alla perdita di disponibilità delle tue applicazioni. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | Il supporto Multi-AZ in Amazon Relational Database Service (Amazon RDS) offre disponibilità e durabilità avanzate per le istanze di database. Quando effettui il provisioning di un'istanza di database Multi-AZ, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati su un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completo. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | Assicurati che il tuo bucket Amazon Simple Storage Service (Amazon S3) abbia il blocco abilitato, per impostazione predefinita. Poiché i dati sensibili possono esistere anche quando sono inattivi nei bucket S3, applica i blocchi degli oggetti quando sono inattivi per proteggere tali dati. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | È possibile implementare tunnel VPN Site-to-Site ridondanti per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso in cui una delle connessioni VPN da sito a sito non sia disponibile. Per proteggerti dalla perdita di connettività, nel caso in cui il gateway del cliente non sia disponibile, puoi configurare una seconda connessione VPN da sito a sito al tuo Amazon Virtual Private Cloud (Amazon VPC) e al gateway privato virtuale utilizzando un secondo gateway cliente. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
B4.a Sicuro fin dalla progettazione | Progettate la sicurezza nella rete e nei sistemi informativi che supportano il funzionamento delle funzioni essenziali. Riducete al minimo la loro superficie di attacco e assicurate che il funzionamento della funzione essenziale non sia compromesso dallo sfruttamento di nessuna singola vulnerabilità. | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
B4.b Configurazione sicura | Configurate in modo sicuro la rete e i sistemi informativi che supportano il funzionamento delle funzioni essenziali. | ec2- -controlla managedinstance-association-compliance-status |
Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee di base dei livelli di patch del sistema operativo, delle installazioni software, delle configurazioni delle applicazioni e altri dettagli sull'ambiente. |
B4.b Configurazione sicura | Configurate in modo sicuro la rete e i sistemi informativi che supportano il funzionamento delle funzioni essenziali. | Abilita questa regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
Configurazione sicura B4.b | Configurate in modo sicuro la rete e i sistemi informativi che supportano il funzionamento delle funzioni essenziali. | Assicurati che il metodo Instance Metadata Service Version 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze. | |
Configurazione sicura B4.b | Configurate in modo sicuro la rete e i sistemi informativi che supportano il funzionamento delle funzioni essenziali. | Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno preferito finestre di manutenzione e periodi di conservazione automatizzati delle istantanee per il database. Questa regola richiede l'impostazione di. allowVersionUpgrade Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sab: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
B4.c Gestione sicura | Gestisci la rete e i sistemi informativi della tua organizzazione che supportano il funzionamento delle funzioni essenziali per abilitare e mantenere la sicurezza. | Abilita questa regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
B4.c Gestione sicura | Gestisci la rete e i sistemi informativi della tua organizzazione che supportano il funzionamento delle funzioni essenziali per abilitare e mantenere la sicurezza. | Assicurati che il metodo Instance Metadata Service Version 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze. | |
B4.c Gestione sicura | Gestisci la rete e i sistemi informativi della tua organizzazione che supportano il funzionamento delle funzioni essenziali per abilitare e mantenere la sicurezza. | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
B4.d. Vulnerability Management | Gestite le vulnerabilità note nella rete e nei sistemi informativi per prevenire impatti negativi sulla funzione essenziale. | ec2- -controlla managedinstance-association-compliance-status |
Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee di base dei livelli di patch del sistema operativo, delle installazioni software, delle configurazioni delle applicazioni e altri dettagli sull'ambiente. |
B4.d. Vulnerability Management | Gestite le vulnerabilità note nella rete e nei sistemi informativi per prevenire impatti negativi sulla funzione essenziale. | Abilita questa regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
B4.d. Vulnerability Management | Gestite le vulnerabilità note nella rete e nei sistemi informativi per prevenire impatti negativi sulla funzione essenziale. | Assicurati che il metodo Instance Metadata Service Version 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze. | |
B4.d. Vulnerability Management | Gestite le vulnerabilità note nella rete e nei sistemi informativi per prevenire impatti negativi sulla funzione essenziale. | Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno preferito finestre di manutenzione e periodi di conservazione automatizzati delle istantanee per il database. Questa regola richiede l'impostazione di. allowVersionUpgrade Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sab: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
B4.d. Vulnerability Management | Gestite le vulnerabilità note nella rete e nei sistemi informativi per prevenire impatti negativi sulla funzione essenziale. | AWSSecurity Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
B4.d. Vulnerability Management | Gestite le vulnerabilità note nella rete e nei sistemi informativi per prevenire impatti negativi sulla funzione essenziale. | È possibile implementare tunnel VPN Site-to-Site ridondanti per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso in cui una delle connessioni VPN da sito a sito non sia disponibile. Per proteggerti dalla perdita di connettività, nel caso in cui il gateway del cliente non sia disponibile, puoi configurare una seconda connessione VPN da sito a sito al tuo Amazon Virtual Private Cloud (Amazon VPC) e al gateway privato virtuale utilizzando un secondo gateway cliente. | |
B5.b Progettazione per la resilienza | Progettate la rete e i sistemi informativi che supportano la vostra funzione essenziale per essere resilienti agli incidenti di sicurezza informatica. I sistemi sono adeguatamente separati e le limitazioni delle risorse sono mitigate. | Abilita il bilanciamento del carico tra zone per i tuoi Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere un numero equivalente di istanze in ogni zona di disponibilità abilitata. Inoltre, migliora la capacità dell'applicazione di gestire la perdita di una o più istanze. | |
B5.b Design per la resilienza | Progettate la rete e i sistemi informativi che supportano la vostra funzione essenziale per essere resilienti agli incidenti di sicurezza informatica. I sistemi sono adeguatamente separati e le limitazioni delle risorse sono mitigate. | Il supporto Multi-AZ in Amazon Relational Database Service (Amazon RDS) offre disponibilità e durabilità avanzate per le istanze di database. Quando effettui il provisioning di un'istanza di database Multi-AZ, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati su un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completo. | |
B5.b Progettazione per la resilienza | Progettate la rete e i sistemi informativi che supportano la vostra funzione essenziale per essere resilienti agli incidenti di sicurezza informatica. I sistemi sono adeguatamente separati e le limitazioni delle risorse sono mitigate. | La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot del volume di storage dell'istanza DB, eseguendo il backup dell'intera istanza DB. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
Backup B5.c | Disponi di backup aggiornati accessibili e protetti dei dati e delle informazioni necessari per ripristinare il funzionamento della tua funzione essenziale | Per facilitare i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
Backup B5.c | Disponi di backup aggiornati accessibili e protetti dei dati e delle informazioni necessari per ripristinare il funzionamento della tua funzione essenziale | Attiva questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni. | |
Backup B5.c | Disponi di backup aggiornati accessibili e protetti dei dati e delle informazioni necessari per ripristinare il funzionamento della tua funzione essenziale | Per facilitare i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
Backup B5.c | Disponi di backup aggiornati accessibili e protetti dei dati e delle informazioni necessari per ripristinare il funzionamento della tua funzione essenziale | Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) fornisce capacità aggiuntiva dedicata per le operazioni di I/O di Amazon EBS. Questa ottimizzazione offre le prestazioni più efficienti per i tuoi volumi EBS riducendo al minimo i conflitti tra le operazioni di I/O di Amazon EBS e altro traffico proveniente dall'istanza. | |
Backup B5.c | Disponi di backup aggiornati accessibili e protetti dei dati e delle informazioni necessari per ripristinare il funzionamento della tua funzione essenziale | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
Backup B5.c | Disponi di backup aggiornati accessibili e protetti dei dati e delle informazioni necessari per ripristinare il funzionamento della tua funzione essenziale | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere conservato per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, è possibile creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
Backup B5.c | Disponi di backup aggiornati accessibili e protetti dei dati e delle informazioni necessari per ripristinare il funzionamento della tua funzione essenziale | Per facilitare i processi di backup dei dati, assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
Backup B5.c | Disponi di backup aggiornati accessibili e protetti dei dati e delle informazioni necessari per ripristinare il funzionamento della tua funzione essenziale | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR consente la copia automatica e asincrona degli oggetti tra i bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati. | |
Backup B5.c | Disponi di backup aggiornati accessibili e protetti dei dati e delle informazioni necessari per ripristinare il funzionamento della tua funzione essenziale | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa il controllo delle versioni per conservare, recuperare e ripristinare ogni versione di ogni oggetto archiviato nel tuo bucket Amazon S3. Il controllo delle versioni ti aiuta a ripristinare facilmente le azioni involontarie degli utenti e gli errori delle applicazioni. | |
Backup B5.c | Disponi di backup aggiornati accessibili e protetti dei dati e delle informazioni necessari per ripristinare il funzionamento della tua funzione essenziale | I controlli di integrità di Elastic Load Balancer (ELB) per i gruppi Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling supportano il mantenimento di capacità e disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ping, tenta connessioni o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo di auto-scaling. Se un'istanza non riporta i dati, il traffico viene inviato a una nuova istanza Amazon EC2. | |
Copertura del monitoraggio C1.a | Le fonti di dati incluse nel monitoraggio consentono l'identificazione tempestiva degli eventi di sicurezza che potrebbero influire sul funzionamento della funzione essenziale. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo AWS account. | |
Copertura del monitoraggio C1.a | Le fonti di dati incluse nel monitoraggio consentono l'identificazione tempestiva degli eventi di sicurezza che potrebbero influire sul funzionamento della funzione essenziale. | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente in uso. | |
Copertura del monitoraggio C1.a | Le fonti di dati incluse nel monitoraggio consentono l'identificazione tempestiva degli eventi di sicurezza che potrebbero influire sul funzionamento della funzione essenziale. | Abilita questa regola per assicurarti che la capacità di throughput assegnata sia verificata nelle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura/scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando il throughput si avvicina al limite massimo per l'account di un cliente. Questa regola consente di impostare facoltativamente i parametri AccountRCU ThresholdPercentage (Config Default: 80) e AccountWCU ThresholdPercentage (Config Default: 80). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
C1.a Monitoraggio della copertura | Le fonti di dati incluse nel monitoraggio consentono l'identificazione tempestiva degli eventi di sicurezza che potrebbero influire sul funzionamento della funzione essenziale. | Abilita questa regola per migliorare il monitoraggio delle istanze Amazon Elastic Compute Cloud (Amazon EC2) sulla console Amazon EC2, che mostra grafici di monitoraggio con un periodo di 1 minuto per l'istanza. | |
Copertura del monitoraggio C1.a | Le fonti di dati incluse nel monitoraggio consentono l'identificazione tempestiva degli eventi di sicurezza che potrebbero influire sul funzionamento della funzione essenziale. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
Copertura del monitoraggio C1.a | Le fonti di dati incluse nel monitoraggio consentono l'identificazione tempestiva degli eventi di sicurezza che potrebbero influire sul funzionamento della funzione essenziale. | Amazon ti GuardDuty aiuta a comprendere l'impatto di un incidente classificando i risultati in base alla gravità: bassa, media e alta. Puoi utilizzare queste classificazioni per determinare le strategie e le priorità di riparazione. Questa regola consente di impostare facoltativamente daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) e daysHighSev (Config Default: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione. | |
Copertura del monitoraggio C1.a | Le fonti di dati incluse nel monitoraggio consentono l'identificazione tempestiva degli eventi di sicurezza che potrebbero influire sul funzionamento della funzione essenziale. | Questa regola garantisce che vengano stabiliti i limiti massimi e minimi di concorrenza di una funzione Lambda. Questo può aiutare a stabilire il numero di richieste che la funzione sta soddisfacendo in un dato momento. | |
Copertura del monitoraggio C1.a | Le fonti di dati incluse nel monitoraggio consentono l'identificazione tempestiva degli eventi di sicurezza che potrebbero influire sul funzionamento della funzione essenziale. | Abilita questa regola per informare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione non funziona. | |
Copertura di monitoraggio C1.a | Le fonti di dati incluse nel monitoraggio consentono l'identificazione tempestiva degli eventi di sicurezza che potrebbero influire sul funzionamento della funzione essenziale. | Abilita Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità di Amazon RDS. Ciò fornisce una visibilità dettagliata sullo stato delle istanze di database Amazon RDS. Quando lo storage Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ogni dispositivo. Inoltre, quando l'istanza del database Amazon RDS è in esecuzione in una distribuzione Multi-AZ, vengono raccolti i dati per ogni dispositivo sull'host secondario e i parametri dell'host secondario. | |
Copertura del monitoraggio C1.a | Le fonti di dati incluse nel monitoraggio consentono l'identificazione tempestiva degli eventi di sicurezza che potrebbero influire sul funzionamento della funzione essenziale. | AWSSecurity Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
Copertura del monitoraggio C1.a | Le fonti di dati incluse nel monitoraggio consentono l'identificazione tempestiva degli eventi di sicurezza che potrebbero influire sul funzionamento della funzione essenziale. | Assicurati che il tuo bucket Amazon Simple Storage Service (Amazon S3) abbia il blocco abilitato, per impostazione predefinita. Poiché i dati sensibili possono esistere anche quando sono inattivi nei bucket S3, applica i blocchi degli oggetti quando sono inattivi per proteggere tali dati. | |
C1.b Proteggere i log | Conservate i dati di registrazione in modo sicuro e concedete l'accesso in lettura solo agli account con esigenze aziendali. Nessun dipendente dovrebbe mai aver bisogno di modificare o eliminare i dati di registrazione entro un periodo di conservazione concordato, dopodiché devono essere eliminati. | La registrazione degli accessi al server di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi vengono monitorati acquisendo record dettagliati per le richieste effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'azione della richiesta, lo stato della risposta e un codice di errore, se pertinente. | |
C1.b Proteggere i log | Conservate i dati di registrazione in modo sicuro e concedete l'accesso in lettura solo agli account con esigenze aziendali. Nessun dipendente dovrebbe mai aver bisogno di modificare o eliminare i dati di registrazione entro un periodo di conservazione concordato, dopodiché devono essere eliminati. | Gestisci l'accesso al AWS cloud abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 sia limitato dai AWS principali, dagli utenti federati, dai responsabili del servizio, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti. | |
C1.b Protezione dei log | Conservate i dati di registrazione in modo sicuro e concedete l'accesso in lettura solo agli account con esigenze aziendali. Nessun dipendente dovrebbe mai aver bisogno di modificare o eliminare i dati di registrazione entro un periodo di conservazione concordato, dopodiché devono essere eliminati. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
C1.b Proteggere i registri | Conservate i dati di registrazione in modo sicuro e concedete l'accesso in lettura solo agli account con esigenze aziendali. Nessun dipendente dovrebbe mai aver bisogno di modificare o eliminare i dati di registrazione entro un periodo di conservazione concordato, dopodiché devono essere eliminati. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
C1.b Proteggere i registri | Conservate i dati di registrazione in modo sicuro e concedete l'accesso in lettura solo agli account con esigenze aziendali. Nessun dipendente dovrebbe mai aver bisogno di modificare o eliminare i dati di registrazione entro un periodo di conservazione concordato, dopodiché devono essere eliminati. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR consente la copia automatica e asincrona degli oggetti tra i bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati. | |
C1.b Proteggere i log | Conservate i dati di registrazione in modo sicuro e concedete l'accesso in lettura solo agli account con esigenze aziendali. Nessun dipendente dovrebbe mai aver bisogno di modificare o eliminare i dati di registrazione entro un periodo di conservazione concordato, dopodiché devono essere eliminati. | Assicurati che un utente, un ruolo IAM o un gruppo IAM (AWSIdentity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWSconsiglia di utilizzare politiche gestite anziché politiche in linea. Le politiche gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. | |
C1.b Protezione dei registri | Conservate i dati di registrazione in modo sicuro e concedete l'accesso in lettura solo agli account con esigenze aziendali. Nessun dipendente dovrebbe mai aver bisogno di modificare o eliminare i dati di registrazione entro un periodo di conservazione concordato, dopodiché devono essere eliminati. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
C1.b Proteggere i registri | Conservate i dati di registrazione in modo sicuro e concedete l'accesso in lettura solo agli account con esigenze aziendali. Nessun dipendente dovrebbe mai aver bisogno di modificare o eliminare i dati di registrazione entro un periodo di conservazione concordato, dopodiché devono essere eliminati. | AWSIdentity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
C1.b Proteggere i registri | Conservate i dati di registrazione in modo sicuro e concedete l'accesso in lettura solo agli account con esigenze aziendali. Nessun dipendente dovrebbe mai aver bisogno di modificare o eliminare i dati di registrazione entro un periodo di conservazione concordato, dopodiché devono essere eliminati. | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o conservare privilegi eccessivi. | |
C1.b Proteggere i registri | Conservate i dati di registrazione in modo sicuro e concedete l'accesso in lettura solo agli account con esigenze aziendali. Nessun dipendente dovrebbe mai aver bisogno di modificare o eliminare i dati di registrazione entro un periodo di conservazione concordato, dopodiché devono essere eliminati. | AWSIdentity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se vengono identificate queste credenziali non utilizzate, è necessario disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche dell'organizzazione. | |
C1.b Protezione dei registri | Conservate i dati di registrazione in modo sicuro e concedete l'accesso in lettura solo agli account con esigenze aziendali. Nessun dipendente dovrebbe mai aver bisogno di modificare o eliminare i dati di registrazione entro un periodo di conservazione concordato, dopodiché devono essere eliminati. | Amazon GuardDuty può contribuire a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
C1.c Generazione di avvisi | Le prove di potenziali incidenti di sicurezza contenute nei dati di monitoraggio vengono identificate in modo affidabile e attivano gli avvisi. | Amazon ti GuardDuty aiuta a comprendere l'impatto di un incidente classificando i risultati in base alla gravità: bassa, media e alta. Puoi utilizzare queste classificazioni per determinare le strategie e le priorità di riparazione. Questa regola consente di impostare facoltativamente daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) e daysHighSev (Config Default: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione. | |
C1.c Generazione di avvisi | Le prove di potenziali incidenti di sicurezza contenute nei dati di monitoraggio vengono identificate in modo affidabile e attivano gli avvisi. | Amazon CloudWatch avvisa quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente in uso. | |
C1.c Generazione di avvisi | Le prove di potenziali incidenti di sicurezza contenute nei dati di monitoraggio vengono identificate in modo affidabile e attivano gli avvisi. | Le notifiche degli eventi di Amazon S3 possono avvisare il personale competente di eventuali modifiche accidentali o intenzionali agli oggetti del bucket. Gli avvisi includono: creazione di un nuovo oggetto, rimozione di oggetti, ripristino di oggetti, oggetti persi e replicati. | |
C1.c Generazione di avvisi | Le prove di potenziali incidenti di sicurezza contenute nei dati di monitoraggio vengono identificate in modo affidabile e attivano gli avvisi. | AWSSecurity Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
C1.c Generazione di avvisi | Le prove di potenziali incidenti di sicurezza contenute nei dati di monitoraggio vengono identificate in modo affidabile e attivano gli avvisi. | La registrazione di API Gateway mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso all'API. Queste informazioni consentono la visibilità delle attività degli utenti. | |
C1.c Generazione di avvisi | Le prove di potenziali incidenti di sicurezza contenute nei dati di monitoraggio vengono identificate in modo affidabile e attivano gli avvisi. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo AWS account. | |
C1.c Generazione di avvisi | Le prove di potenziali incidenti di sicurezza contenute nei dati di monitoraggio vengono identificate in modo affidabile e attivano gli avvisi. | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni sull'AWSaccount che ha effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
C1.c Generazione di avvisi | Le prove di potenziali incidenti di sicurezza contenute nei dati di monitoraggio vengono identificate in modo affidabile e attivano gli avvisi. | Questa regola aiuta a garantire l'uso delle migliori pratiche di sicurezza AWS consigliate per AWS CloudTrail, verificando l'abilitazione di più impostazioni. Queste includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione AWS CloudTrail in più aree. | |
C1.c Generazione di avvisi | Le prove di potenziali incidenti di sicurezza contenute nei dati di monitoraggio vengono identificate in modo affidabile e attivano gli avvisi. | Assicurati che venga conservata una durata minima dei dati del registro degli eventi per i tuoi gruppi di registro per facilitare la risoluzione dei problemi e le indagini forensi. La mancanza di dati disponibili nei registri degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. | |
C1.c Generazione di avvisi | Le prove di potenziali incidenti di sicurezza contenute nei dati di monitoraggio vengono identificate in modo affidabile e attivano gli avvisi. | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
C1.c Generazione di avvisi | Le prove di potenziali incidenti di sicurezza contenute nei dati di monitoraggio vengono identificate in modo affidabile e attivano gli avvisi. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
C1.c Generazione di avvisi | Le prove di potenziali incidenti di sicurezza contenute nei dati di monitoraggio vengono identificate in modo affidabile e attivano gli avvisi. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di controllo deve essere abilitata per fornire informazioni sulle connessioni e sulle attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
C1.c Generazione di avvisi | Le prove di potenziali incidenti di sicurezza contenute nei dati di monitoraggio vengono identificate in modo affidabile e attivano gli avvisi. | La registrazione degli accessi al server di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi vengono monitorati acquisendo record dettagliati per le richieste effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'azione della richiesta, lo stato della risposta e un codice di errore, se pertinente. | |
C1.c Generazione di avvisi | Le prove di potenziali incidenti di sicurezza contenute nei dati di monitoraggio vengono identificate in modo affidabile e attivano gli avvisi. | I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita, il record del log di flusso include i valori per i diversi componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
C1.c Generazione di avvisi | Le prove di potenziali incidenti di sicurezza contenute nei dati di monitoraggio vengono identificate in modo affidabile e attivano gli avvisi. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sugli ACL web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dal tuo ACL web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
C1.c Generazione di avvisi | Le prove di potenziali incidenti di sicurezza contenute nei dati di monitoraggio vengono identificate in modo affidabile e attivano gli avvisi. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
C1.d Identificazione degli incidenti di sicurezza | Contestualizzate gli avvisi conoscendo la minaccia e i sistemi in uso, per identificare quegli incidenti di sicurezza che richiedono una qualche forma di risposta. | AWSSecurity Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
C1.d Identificazione degli incidenti di sicurezza | Contestualizzate gli avvisi conoscendo la minaccia e i sistemi in uso, per identificare quegli incidenti di sicurezza che richiedono una qualche forma di risposta. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
C1.e Strumenti e competenze di monitoraggio | Il monitoraggio delle competenze, degli strumenti e dei ruoli del personale, compresi quelli esternalizzati, dovrebbe riflettere i requisiti di governance e rendicontazione, le minacce previste e la complessità della rete o dei dati di sistema che devono utilizzare. Il personale addetto al monitoraggio conosce le funzioni essenziali che deve proteggere. | Amazon ti GuardDuty aiuta a comprendere l'impatto di un incidente classificando i risultati in base alla gravità: bassa, media e alta. Puoi utilizzare queste classificazioni per determinare le strategie e le priorità di riparazione. Questa regola consente di impostare facoltativamente daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) e daysHighSev (Config Default: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione. | |
C1.e Strumenti e competenze di monitoraggio | Il monitoraggio delle competenze, degli strumenti e dei ruoli del personale, compresi quelli esternalizzati, dovrebbe riflettere i requisiti di governance e rendicontazione, le minacce previste e la complessità della rete o dei dati di sistema che devono utilizzare. Il personale addetto al monitoraggio conosce le funzioni essenziali che deve proteggere. | AWSSecurity Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
Strumenti e competenze di monitoraggio C1.e | Il monitoraggio delle competenze, degli strumenti e dei ruoli del personale, compresi quelli esternalizzati, dovrebbe riflettere i requisiti di governance e rendicontazione, le minacce previste e la complessità della rete o dei dati di sistema che devono utilizzare. Il personale addetto al monitoraggio conosce le funzioni essenziali che deve proteggere. | Amazon GuardDuty può aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
C2.a Anomalie del sistema per il rilevamento degli attacchi | Si definiscono esempi di anomalie nel comportamento del sistema che forniscono metodi pratici per rilevare attività dannose altrimenti difficili da identificare. | AWSSecurity Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
C2.a Anomalie del sistema per il rilevamento degli attacchi | Si definiscono esempi di anomalie nel comportamento del sistema che forniscono metodi pratici per rilevare attività dannose altrimenti difficili da identificare. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
D1.c Test ed esercizio | L'organizzazione esegue esercizi per testare i piani di risposta, utilizzando gli incidenti passati che hanno interessato la propria (e altre) organizzazione e scenari che si basano sull'intelligence sulle minacce e sulla valutazione del rischio. | response-plan-exists-maintained (Controllo del processo) | Garantire che i piani di risposta agli incidenti siano stabiliti, mantenuti e distribuiti al personale responsabile. Disporre di piani di risposta aggiornati e formalmente documentati può aiutare a garantire che il personale addetto alla risposta comprenda i ruoli, le responsabilità e i processi da seguire durante un incidente. |
D1.c Test ed esercizio | L'organizzazione esegue esercizi per testare i piani di risposta, utilizzando gli incidenti passati che hanno interessato la propria (e altre) organizzazione e scenari che si basano sull'intelligence sulle minacce e sulla valutazione del rischio. | response-plan-tested (Controllo del processo) | Assicurati che i piani di risposta agli incidenti e di ripristino siano testati. Questo può aiutare a capire se il piano sarà efficace durante un incidente e se eventuali lacune o aggiornamenti devono essere risolti. |
Modello
Il modello è disponibile su GitHub: Operational Best Practices for NCSC Cyber