Best practice operative per NERC CIP BCSI - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice operative per NERC CIP BCSI

I pacchetti di conformità forniscono un framework di conformità generico progettato per consentire di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando gestiti o personalizzatiAWS Configregole eAWS Configazioni di bonifica. I Conformance Pack, come modelli di esempio, non sono progettati per garantire la piena conformità con uno standard di governance o conformità specifico. L'utente è responsabile di valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.

Di seguito viene fornito un esempio di mappatura tra i Northern American Electric Reliability Corporation Critical Infrastructure Protection Standards (NERC CIP) per BES Cyber System Information (BCSI), CIP-004-7 e CIP-011-3 eAWS Configregole gestite. Ogni regola di AWS Config si applica a uno specificoAWSrisorsa e si riferisce a uno o più controlli CIP NERC applicabili a BCSI. Un controllo CIP NERC può essere correlato a più regole di Config. Fare riferimento alla tabella sottostante per ulteriori dettagli e indicazioni relative a queste mappature.

Regione AWS:Tutto supportatoRegioni AWStranne Medio Oriente (Bahrain)

ID controllo Descrizione del controllo Regola AWS Config Linee guida di
CIP-004-7-R6 - parte 6.1 Ciascun Entità responsabile implementa uno o più programmi di gestione degli accessi documentati per autorizzare, verificare e revocare l'accesso fornito a BCSI relativi ai «Sistemi applicabili» identificati nella tabella CIP-004-7 R6 — Access Management for BES Cyber System Information che includano collettivamente ciascuno dei parti requisiti applicabili in CIP-004-7 Tabella R6 - Gestione degli accessi per le informazioni sul sistema informatico BES. Per essere considerato l'accesso al BCSI nel contesto di questo requisito, un individuo ha sia la capacità di ottenere che di utilizzare BCSI. L'accesso fornito deve essere considerato il risultato delle azioni specifiche intraprese per fornire a un individuo o ai mezzi per accedere a BCSI (ad esempio, possono includere chiavi fisiche o schede di accesso, account utente e diritti e privilegi associati, chiavi di crittografia). Parte 6.1: Prima di effettuare il provisioning, autorizzare (a meno che non sia già autorizzato ai sensi della parte 4.1) in base alle necessità, come stabilito dall'Entità Responsabile, ad eccezione delle circostanze eccezionali CIP: 6.1.1. Accesso elettronico fornito al BCSI elettronico

opensearch-access-control abilitato

Assicurati che il controllo dettagliato degli accessi sia abilitato su Amazon OpenSearch Domini di servizio. Il controllo degli accessi dettagliato fornisce meccanismi di autorizzazione migliorati per ottenere un accesso meno privilegiato ad Amazon OpenSearch domains. Consente il controllo degli accessi basato sui ruoli al dominio, nonché la sicurezza a livello di indice, documento e campo, supporto per OpenSearch dashboard multi-tenancy e autenticazione di base HTTP per OpenSearch e Kibana.
CIP-004-7-R6 - parte 6.1 Ciascun Entità responsabile implementa uno o più programmi di gestione degli accessi documentati per autorizzare, verificare e revocare l'accesso fornito a BCSI relativi ai «Sistemi applicabili» identificati nella tabella CIP-004-7 R6 — Access Management for BES Cyber System Information che includano collettivamente ciascuno dei parti requisiti applicabili in CIP-004-7 Tabella R6 - Gestione degli accessi per le informazioni sul sistema informatico BES. Per essere considerato l'accesso al BCSI nel contesto di questo requisito, un individuo ha sia la capacità di ottenere che di utilizzare BCSI. L'accesso fornito deve essere considerato il risultato delle azioni specifiche intraprese per fornire a un individuo o ai mezzi per accedere a BCSI (ad esempio, possono includere chiavi fisiche o schede di accesso, account utente e diritti e privilegi associati, chiavi di crittografia). Parte 6.1: Prima di effettuare il provisioning, autorizzare (a meno che non sia già autorizzato ai sensi della parte 4.1) in base alle necessità, come stabilito dall'Entità Responsabile, ad eccezione delle circostanze eccezionali CIP: 6.1.1. Accesso elettronico fornito al BCSI elettronico

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano all'interno di un regno Kerberos. All'interno del realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC si autentica emettendo ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
CIP-004-7-R6 - parte 6.1 Ciascun Entità responsabile implementa uno o più programmi di gestione degli accessi documentati per autorizzare, verificare e revocare l'accesso fornito a BCSI relativi ai «Sistemi applicabili» identificati nella tabella CIP-004-7 R6 — Access Management for BES Cyber System Information che includano collettivamente ciascuno dei parti requisiti applicabili in CIP-004-7 Tabella R6 - Gestione degli accessi per le informazioni sul sistema informatico BES. Per essere considerato l'accesso al BCSI nel contesto di questo requisito, un individuo ha sia la capacità di ottenere che di utilizzare BCSI. L'accesso fornito deve essere considerato il risultato delle azioni specifiche intraprese per fornire a un individuo o ai mezzi per accedere a BCSI (ad esempio, possono includere chiavi fisiche o schede di accesso, account utente e diritti e privilegi associati, chiavi di crittografia). Parte 6.1: Prima di effettuare il provisioning, autorizzare (a meno che non sia già autorizzato ai sensi della parte 4.1) in base alle necessità, come stabilito dall'Entità Responsabile, ad eccezione delle circostanze eccezionali CIP: 6.1.1. Accesso elettronico fornito al BCSI elettronico

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
CIP-004-7-R6 - parte 6.1 Ciascun Entità responsabile implementa uno o più programmi di gestione degli accessi documentati per autorizzare, verificare e revocare l'accesso fornito a BCSI relativi ai «Sistemi applicabili» identificati nella tabella CIP-004-7 R6 — Access Management for BES Cyber System Information che includano collettivamente ciascuno dei parti requisiti applicabili in CIP-004-7 Tabella R6 - Gestione degli accessi per le informazioni sul sistema informatico BES. Per essere considerato l'accesso al BCSI nel contesto di questo requisito, un individuo ha sia la capacità di ottenere che di utilizzare BCSI. L'accesso fornito deve essere considerato il risultato delle azioni specifiche intraprese per fornire a un individuo o ai mezzi per accedere a BCSI (ad esempio, possono includere chiavi fisiche o schede di accesso, account utente e diritti e privilegi associati, chiavi di crittografia). Parte 6.1: Prima di effettuare il provisioning, autorizzare (a meno che non sia già autorizzato ai sensi della parte 4.1) in base alle necessità, come stabilito dall'Entità Responsabile, ad eccezione delle circostanze eccezionali CIP: 6.1.1. Accesso elettronico fornito al BCSI elettronico

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Azione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
CIP-004-7-R6 - parte 6.1 Ciascun Entità responsabile implementa uno o più programmi di gestione degli accessi documentati per autorizzare, verificare e revocare l'accesso fornito a BCSI relativi ai «Sistemi applicabili» identificati nella tabella CIP-004-7 R6 — Access Management for BES Cyber System Information che includano collettivamente ciascuno dei parti requisiti applicabili in CIP-004-7 Tabella R6 - Gestione degli accessi per le informazioni sul sistema informatico BES. Per essere considerato l'accesso al BCSI nel contesto di questo requisito, un individuo ha sia la capacità di ottenere che di utilizzare BCSI. L'accesso fornito deve essere considerato il risultato delle azioni specifiche intraprese per fornire a un individuo o ai mezzi per accedere a BCSI (ad esempio, possono includere chiavi fisiche o schede di accesso, account utente e diritti e privilegi associati, chiavi di crittografia). Parte 6.1: Prima di effettuare il provisioning, autorizzare (a meno che non sia già autorizzato ai sensi della parte 4.1) in base alle necessità, come stabilito dall'Entità Responsabile, ad eccezione delle circostanze eccezionali CIP: 6.1.1. Accesso elettronico fornito al BCSI elettronico

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
CIP-004-7-R6 - parte 6.1 Ciascun Entità responsabile implementa uno o più programmi di gestione degli accessi documentati per autorizzare, verificare e revocare l'accesso fornito a BCSI relativi ai «Sistemi applicabili» identificati nella tabella CIP-004-7 R6 — Access Management for BES Cyber System Information che includano collettivamente ciascuno dei parti requisiti applicabili in CIP-004-7 Tabella R6 - Gestione degli accessi per le informazioni sul sistema informatico BES. Per essere considerato l'accesso al BCSI nel contesto di questo requisito, un individuo ha sia la capacità di ottenere che di utilizzare BCSI. L'accesso fornito deve essere considerato il risultato delle azioni specifiche intraprese per fornire a un individuo o ai mezzi per accedere a BCSI (ad esempio, possono includere chiavi fisiche o schede di accesso, account utente e diritti e privilegi associati, chiavi di crittografia). Parte 6.1: Prima di effettuare il provisioning, autorizzare (a meno che non sia già autorizzato ai sensi della parte 4.1) in base alle necessità, come stabilito dall'Entità Responsabile, ad eccezione delle circostanze eccezionali CIP: 6.1.1. Accesso elettronico fornito al BCSI elettronico

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
CIP-004-7-R6 - parte 6.1 Ciascun Entità responsabile implementa uno o più programmi di gestione degli accessi documentati per autorizzare, verificare e revocare l'accesso fornito a BCSI relativi ai «Sistemi applicabili» identificati nella tabella CIP-004-7 R6 — Access Management for BES Cyber System Information che includano collettivamente ciascuno dei parti requisiti applicabili in CIP-004-7 Tabella R6 - Gestione degli accessi per le informazioni sul sistema informatico BES. Per essere considerato l'accesso al BCSI nel contesto di questo requisito, un individuo ha sia la capacità di ottenere che di utilizzare BCSI. L'accesso fornito deve essere considerato il risultato delle azioni specifiche intraprese per fornire a un individuo o ai mezzi per accedere a BCSI (ad esempio, possono includere chiavi fisiche o schede di accesso, account utente e diritti e privilegi associati, chiavi di crittografia). Parte 6.1: Prima di effettuare il provisioning, autorizzare (a meno che non sia già autorizzato ai sensi della parte 4.1) in base alle necessità, come stabilito dall'Entità Responsabile, ad eccezione delle circostanze eccezionali CIP: 6.1.1. Accesso elettronico fornito al BCSI elettronico

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
CIP-004-7-R6 - parte 6.1 Ciascun Entità responsabile implementa uno o più programmi di gestione degli accessi documentati per autorizzare, verificare e revocare l'accesso fornito a BCSI relativi ai «Sistemi applicabili» identificati nella tabella CIP-004-7 R6 — Access Management for BES Cyber System Information che includano collettivamente ciascuno dei parti requisiti applicabili in CIP-004-7 Tabella R6 - Gestione degli accessi per le informazioni sul sistema informatico BES. Per essere considerato l'accesso al BCSI nel contesto di questo requisito, un individuo ha sia la capacità di ottenere che di utilizzare BCSI. L'accesso fornito deve essere considerato il risultato delle azioni specifiche intraprese per fornire a un individuo o ai mezzi per accedere a BCSI (ad esempio, possono includere chiavi fisiche o schede di accesso, account utente e diritti e privilegi associati, chiavi di crittografia). Parte 6.1: Prima di effettuare il provisioning, autorizzare (a meno che non sia già autorizzato ai sensi della parte 4.1) in base alle necessità, come stabilito dall'Entità Responsabile, ad eccezione delle circostanze eccezionali CIP: 6.1.1. Accesso elettronico fornito al BCSI elettronico

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo agli utenti, ai processi e ai dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
CIP-004-7-R6 - parte 6.1 Ciascun Entità responsabile implementa uno o più programmi di gestione degli accessi documentati per autorizzare, verificare e revocare l'accesso fornito a BCSI relativi ai «Sistemi applicabili» identificati nella tabella CIP-004-7 R6 — Access Management for BES Cyber System Information che includano collettivamente ciascuno dei parti requisiti applicabili in CIP-004-7 Tabella R6 - Gestione degli accessi per le informazioni sul sistema informatico BES. Per essere considerato l'accesso al BCSI nel contesto di questo requisito, un individuo ha sia la capacità di ottenere che di utilizzare BCSI. L'accesso fornito deve essere considerato il risultato delle azioni specifiche intraprese per fornire a un individuo o ai mezzi per accedere a BCSI (ad esempio, possono includere chiavi fisiche o schede di accesso, account utente e diritti e privilegi associati, chiavi di crittografia). Parte 6.1: Prima di effettuare il provisioning, autorizzare (a meno che non sia già autorizzato ai sensi della parte 4.1) in base alle necessità, come stabilito dall'Entità Responsabile, ad eccezione delle circostanze eccezionali CIP: 6.1.1. Accesso elettronico fornito al BCSI elettronico

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo agli utenti, ai processi e ai dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
CIP-004-7-R6 - parte 6.1 Ciascun Entità responsabile implementa uno o più programmi di gestione degli accessi documentati per autorizzare, verificare e revocare l'accesso fornito a BCSI relativi ai «Sistemi applicabili» identificati nella tabella CIP-004-7 R6 — Access Management for BES Cyber System Information che includano collettivamente ciascuno dei parti requisiti applicabili in CIP-004-7 Tabella R6 - Gestione degli accessi per le informazioni sul sistema informatico BES. Per essere considerato l'accesso al BCSI nel contesto di questo requisito, un individuo ha sia la capacità di ottenere che di utilizzare BCSI. L'accesso fornito deve essere considerato il risultato delle azioni specifiche intraprese per fornire a un individuo o ai mezzi per accedere a BCSI (ad esempio, possono includere chiavi fisiche o schede di accesso, account utente e diritti e privilegi associati, chiavi di crittografia). Parte 6.1: Prima di effettuare il provisioning, autorizzare (a meno che non sia già autorizzato ai sensi della parte 4.1) in base alle necessità, come stabilito dall'Entità Responsabile, ad eccezione delle circostanze eccezionali CIP: 6.1.1. Accesso elettronico fornito al BCSI elettronico

s3-bucket-policy-grantee-check

Gestisci l'accesso al cloud AWS abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 è limitato da qualsiasi principale di AWS, dagli utenti federati, dai principali dei servizi, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti dall'utente.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsageAge (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che Amazon SageMaker i notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

acm-certificate-expiration-check

Assicurati che l'integrità della rete sia protetta assicurando che i certificati X509 vengano emessi da AWS ACM. Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore per daysToExpiration (Valore AWS Foundational Security Best Practices: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

alb-http-drop-invalid-header-enabled

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati per eliminare le intestazioni http. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

api-gw-cache-enabled-and-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per la cache della fase API Gateway. Poiché i dati sensibili possono essere acquisiti per il metodo API, abilitare la crittografia a riposo per proteggere tali dati.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

cloud-trail-encryption-enabled

Poiché potrebbero esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo AWS CloudTrail sentieri.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

cloudwatch-log-group-encrypted

Per proteggere i dati sensibili a riposo, assicurati che la crittografia sia abilitata per il tuo Amazon CloudWatch Gruppi di log.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

cmk-backing-key-rotation-enabled

Abilita la rotazione delle chiavi per garantire che le chiavi vengano ruotate una volta che hanno raggiunto la fine del periodo crittografico.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

dynamodb-table-encrypted-kms

Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Poiché i dati sensibili possono esistere a riposo in queste tabelle, abilitare la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con una chiave master del cliente di proprietà AWS (CMK).
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

ec2-ebs-encryption-by-default

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

ecr-private-image-scanning-enabled

La scansione delle immagini Amazon Elastic Container Repository (ECR) aiuta a identificare le vulnerabilità del software nelle immagini del container. L'abilitazione della scansione delle immagini nei repository ECR aggiunge un livello di verifica dell'integrità e della sicurezza delle immagini archiviate.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

ecr-private-tag-immutability-enabled

Abilita l'immutabilità dei tag Elastic Container Repository (ECR) per evitare che i tag immagine sulle immagini ECR vengano sovrascritti. In precedenza, i tag potrebbero essere sovrascritti che richiedono metodologie manuali per identificare in modo univoco un'immagine.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

ecs-containers-readonly-access

L'abilitazione dell'accesso in sola lettura ai contenitori Amazon Elastic Container Service (ECS) può aiutare ad aderire al principale privilegio minimo. Questa opzione può ridurre i vettori di attacco poiché il filesystem dell'istanza contenitore non può essere modificato a meno che non disponga di autorizzazioni esplicite di lettura-scrittura.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

efs-encrypted-check

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo Amazon Elastic File System (EFS).
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

elasticsearch-encrypted-at-rest

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per Amazon OpenSearch Domini Service (OpenSearch Service).
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantire node-to-node crittografia per Amazon OpenSearch Il servizio è abilitato. La crittografia da nodo a nodo abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

encrypted-volumes

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS).
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

crittografato kinesis-stream

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per Amazon Kinesis Streams.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

kms-cmk-not-scheduled-for-deletion

Per proteggere i dati inattivi, assicurati che le chiavi master cliente (CMK) necessarie non siano pianificate per l'eliminazione in AWS Key Management Service (AWS KMS). Poiché a volte è necessaria l'eliminazione della chiave, questa regola può aiutare a controllare tutte le chiavi pianificate per l'eliminazione, nel caso in cui una chiave sia stata pianificata involontariamente.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

opensearch-audit-logging-abilitato

Assicurati che la registrazione degli audit sia abilitata su Amazon OpenSearch Domini di servizio. La registrazione di audit consente di monitorare l'attività dell'utente sul tuo OpenSearch domini, inclusi i successi e gli errori dell'autenticazione, le richieste a OpenSearch, le modifiche all'indice e le query di ricerca in entrata.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

opensearch-encrypted-at-rest

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per Amazon OpenSearch Domini di servizio.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

opensearch - https-required

Poiché i dati sensibili possono esistere e per proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni al tuo Amazon OpenSearch Domini di servizio.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

opensearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando Amazon OpenSearch I domini di servizio si trovano in Amazon Virtual Private Cloud (Amazon VPC). Un'Amazon OpenSearch Il dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

opensearch - logs-to-cloudwatch

Assicurati di Amazon OpenSearch I domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su Amazon CloudWatch Registri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

Opensearch - Controllo della crittografia da nodo a nodo

Garantire node-to-node crittografia per Amazon OpenSearch Il servizio è abilitato. La crittografia da nodo a nodo abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

rds-snapshot-encrypted

Verifica che la crittografia sia abilitata per le istantanee Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

rds-storage-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

redshift-audit-logging-abilitato

Per acquisire informazioni sulle connessioni e le attività degli utenti sul cluster Amazon Redshift, assicurati che la registrazione degli audit sia abilitata.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di audit dovrebbe essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore per clusterDbEncrypted (Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

S3-bucket-server-side-encryption-enabled

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

s3-bucket-ssl-requests-only

Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

s3-default-encryption-kms

Verifica che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo in un bucket Amazon S3, abilitare la crittografia a riposo per proteggere tali dati.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

s3-event-notifiche abilitate

Le notifiche degli eventi Amazon S3 possono avvisare il personale pertinente di eventuali modifiche accidentali o intenzionali sugli oggetti del bucket. Gli avvisi di esempio includono: il nuovo oggetto è la creazione, la rimozione di oggetti, il ripristino di oggetti, gli oggetti persi e replicati.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

controllo delle politiche del ciclo di vita s3

Assicurati che le policy del ciclo di vita Amazon S3 siano configurate per definire le operazioni che desideri vengano eseguite da Amazon S3 durante il ciclo di vita degli oggetti, ad esempio la transizione degli oggetti a un'altra classe di storage, lo storage o l'eliminazione degli oggetti dopo un periodo di tempo specifico.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

sagemaker-endpoint-configuration-kms-key-configured

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per SageMaker endpoint. Perché i dati sensibili possono esistere a riposo SageMaker endpoint, abilita la crittografia a riposo per proteggere tali dati.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

sagemaker-notebook-instance-kms-key-configurato

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per SageMaker notebook. Perché i dati sensibili possono esistere a riposo SageMaker notebook, abilita la crittografia a riposo per proteggere tali dati.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

sns-encrypted-kms

Per proteggere i dati a riposo, assicurati che gli argomenti Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Poiché i dati sensibili possono esistere a riposo nei messaggi pubblicati, abilitare la crittografia a riposo per proteggere tali dati.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

rds-cluster-default-admin-check

Poiché i nomi utente predefiniti sono di pubblica conoscenza, la modifica dei nomi utente predefiniti può aiutare a ridurre la superficie di attacco per i cluster di database Amazon Relational Database Service (Amazon RDS).
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

rds-instance-default-admin-check

Poiché i nomi utente predefiniti sono di conoscenza pubblica, la modifica dei nomi utente predefiniti può aiutare a ridurre la superficie di attacco per le istanze di database Amazon Relational Database Service (Amazon RDS).
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

redshift-default-admin-check

Poiché i nomi utente predefiniti sono di pubblica conoscenza, la modifica dei nomi utente predefiniti può aiutare a ridurre la superficie di attacco per i cluster Amazon Redshift.
CIP-011-3-R1 - parte 1.2 Ciascun Entità responsabile deve implementare uno o più programmi di protezione delle informazioni documentati che includano collettivamente ciascuna delle parti richieste applicabili nella tabella CIP-011-3 R1 — Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro BCSI per mitigare i rischi di compromettere la riservatezza.

s3-bucket-acl vietato

Questa regola verifica se gli Access Control List (ACL) vengono utilizzati per il controllo degli accessi sui bucket Amazon S3. Gli ACL sono meccanismi legacy di controllo degli accessi per bucket Amazon S3 che precedono AWS Identity and Access Management (IAM). Invece di ACL, è consigliabile utilizzare le policy IAM o le policy bucket S3 per gestire più facilmente l'accesso ai bucket S3.

Modello

Il modello è disponibile su GitHub: Best practice operative per NERC CIP BCSI.