Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Best practice operative per NIST 800-53 rev 4
I Conformance Pack forniscono un framework di conformità generico progettato per consentire di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando regole gestite o personalizzate e azioni correttive. AWS Config AWS Config I pacchetti di conformità, in quanto modelli di esempio, non sono pensati per garantire la piena conformità a uno specifico standard di governance o conformità. È tua responsabilità valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.
Di seguito viene fornito un esempio di mappatura tra il NIST 800-53 e le regole Config gestite AWS . Ogni regola Config si applica a una AWS risorsa specifica e si riferisce a uno o più controlli NIST 800-53. Un controllo NIST 800-53 può essere correlato a più regole Config. Consulta la tabella seguente per maggiori dettagli e indicazioni relativi a queste mappature.
Questo Conformance Pack è stato convalidato da AWS Security Assurance Services LLC (AWS SAS), che è un team di Payment Card Industry Qualified Security Assessors (QSA), HITRUST Certified Common Security Framework Practitioners (ccSFP) e professionisti della conformità certificati per fornire linee guida e valutazioni per vari framework di settore. AWS I professionisti SAS hanno progettato questo Conformance Pack per consentire a un cliente di allinearsi a un sottoinsieme del NIST 800-53.
| ID controllo | Descrizione del controllo | AWS Config Regola | Linea guida |
|---|---|---|---|
| AC-2(1) | L'organizzazione utilizza meccanismi automatizzati per supportare la gestione degli account dei sistemi informativi. | Questa regola garantisce che AWS i segreti di Secrets Manager siano ruotati correttamente in base alla pianificazione di rotazione. La rotazione dei segreti secondo una pianificazione regolare può abbreviare il periodo di attività di un segreto e ridurre potenzialmente l'impatto aziendale in caso di compromissione. | |
| AC-2(1) | L'organizzazione utilizza meccanismi automatizzati per supportare la gestione degli account dei sistemi informativi. | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| AC-2(1) | L'organizzazione utilizza meccanismi automatizzati per supportare la gestione degli account dei sistemi informativi. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti indicati dal NIST SP 800-63 e dal benchmark Centers for Internet Security (CIS) AWS Foundations per quanto riguarda la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| AC-2(1) | L'organizzazione utilizza meccanismi automatizzati per supportare la gestione degli account dei sistemi informativi. | Le credenziali vengono verificate per i dispositivi, gli utenti e i processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate come specificato dalla politica organizzativa. La modifica delle chiavi di accesso a intervalli regolari è una best practice di sicurezza. Riduce il periodo di attività di una chiave di accesso e l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione delle chiavi di accesso (valore di configurazione predefinito: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| AC-2(1) | L'organizzazione utilizza meccanismi automatizzati per supportare la gestione degli account dei sistemi informativi. | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| AC-2(1) | L'organizzazione utilizza meccanismi automatizzati per supportare la gestione degli account dei sistemi informativi. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| AC-2(1) | L'organizzazione utilizza meccanismi automatizzati per supportare la gestione degli account dei sistemi informativi. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| AC-2(3) | Il sistema informativo disattiva automaticamente gli account inattivi dopo [Assegnazione: periodo di tempo definito dall'organizzazione]. | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| AC-2(4) | Il sistema informativo verifica automaticamente le operazioni di creazione, modifica, abilitazione, disabilitazione e rimozione degli account e notifica [Assegnazione: personale o ruoli definiti dall'organizzazione]. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| AC-2(4) | Il sistema informativo verifica automaticamente le operazioni di creazione, modifica, abilitazione, disabilitazione e rimozione degli account e notifica [Assegnazione: personale o ruoli definiti dall'organizzazione]. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| AC-2(4) | Il sistema informativo verifica automaticamente le operazioni di creazione, modifica, abilitazione, disabilitazione e rimozione degli account e notifica [Assegnazione: personale o ruoli definiti dall'organizzazione]. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| AC-2(4) | Il sistema informativo verifica automaticamente le operazioni di creazione, modifica, abilitazione, disabilitazione e rimozione degli account e notifica [Assegnazione: personale o ruoli definiti dall'organizzazione]. | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| AC-2(4) | Il sistema informativo verifica automaticamente le operazioni di creazione, modifica, abilitazione, disabilitazione e rimozione degli account e notifica [Assegnazione: personale o ruoli definiti dall'organizzazione]. | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail invierà i file di registro da tutti Regioni AWS al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| AC-2(4) | Il sistema informativo verifica automaticamente le operazioni di creazione, modifica, abilitazione, disabilitazione e rimozione degli account e notifica [Assegnazione: personale o ruoli definiti dall'organizzazione]. | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| AC-2(4) | Il sistema informativo verifica automaticamente le operazioni di creazione, modifica, abilitazione, disabilitazione e rimozione degli account e notifica [Assegnazione: personale o ruoli definiti dall'organizzazione]. | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| AC-2(4) | Il sistema informativo verifica automaticamente le operazioni di creazione, modifica, abilitazione, disabilitazione e rimozione degli account e notifica [Assegnazione: personale o ruoli definiti dall'organizzazione]. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| AC-2(12)(a) | L'organizzazione: a. Monitora gli account del sistema informativo per [Assegnazione: uso atipico definito dall'organizzazione]. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| AC-2(12)(a) | L'organizzazione: a. Monitora gli account del sistema informativo per [Assegnazione: uso atipico definito dall'organizzazione]. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| AC-2(f) | L'organizzazione: f. Crea, abilita, modifica, disabilita e rimuove gli account del sistema informativo in conformità a [Assegnazione: procedure o condizioni definite dall'organizzazione]. | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| AC-2(f) | L'organizzazione: f. Crea, abilita, modifica, disabilita e rimuove gli account del sistema informativo in conformità a [Assegnazione: procedure o condizioni definite dall'organizzazione]. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti indicati dal NIST SP 800-63 e dal benchmark Centers for Internet Security (CIS) AWS Foundations per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| AC-2(f) | L'organizzazione: f. Crea, abilita, modifica, disabilita e rimuove gli account del sistema informativo in conformità a [Assegnazione: procedure o condizioni definite dall'organizzazione]. | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| AC-2(g) | L'organizzazione: g. Monitora l'uso degli account del sistema informativo. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| AC-2(g) | L'organizzazione: g. Monitora l'uso degli account del sistema informativo. | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| AC-2(g) | L'organizzazione: g. Monitora l'uso degli account del sistema informativo. | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| AC-2(g) | L'organizzazione: g. Monitora l'uso degli account del sistema informativo. | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli Account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| AC-2(g) | L'organizzazione: g. Monitora l'uso degli account del sistema informativo. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| AC-2(g) | L'organizzazione: g. Monitora l'uso degli account del sistema informativo. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| AC-2(g) | L'organizzazione: g. Monitora l'uso degli account del sistema informativo. | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| AC-2(g) | L'organizzazione: g. Monitora l'uso degli account del sistema informativo. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| AC-2(j) | L'organizzazione: j. Verifica la conformità degli account ai requisiti di gestione degli account [Assegnazione: frequenza definita dall'organizzazione]. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| AC-2(j) | L'organizzazione: j. Verifica la conformità degli account ai requisiti di gestione degli account [Assegnazione: frequenza definita dall'organizzazione]. | Questa regola garantisce che AWS i segreti di Secrets Manager siano ruotati correttamente in base alla pianificazione di rotazione. La rotazione dei segreti secondo una pianificazione regolare può abbreviare il periodo di attività di un segreto e ridurre potenzialmente l'impatto aziendale in caso di compromissione. | |
| AC-2(j) | L'organizzazione: j. Verifica la conformità degli account ai requisiti di gestione degli account [Assegnazione: frequenza definita dall'organizzazione]. | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| AC-2(j) | L'organizzazione: j. Verifica la conformità degli account ai requisiti di gestione degli account [Assegnazione: frequenza definita dall'organizzazione]. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti indicati dal NIST SP 800-63 e dal benchmark Centers for Internet Security (CIS) AWS Foundations per quanto riguarda la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| AC-2(j) | L'organizzazione: j. Verifica la conformità degli account ai requisiti di gestione degli account [Assegnazione: frequenza definita dall'organizzazione]. | Le credenziali vengono verificate per i dispositivi, gli utenti e i processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate come specificato dalla politica organizzativa. La modifica delle chiavi di accesso a intervalli regolari è una best practice di sicurezza. Riduce il periodo di attività di una chiave di accesso e l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione delle chiavi di accesso (valore di configurazione predefinito: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| AC-2(j) | L'organizzazione: j. Verifica la conformità degli account ai requisiti di gestione degli account [Assegnazione: frequenza definita dall'organizzazione]. | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| AC-2(j) | L'organizzazione: j. Verifica la conformità degli account ai requisiti di gestione degli account [Assegnazione: frequenza definita dall'organizzazione]. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| AC-2(j) | L'organizzazione: j. Verifica la conformità degli account ai requisiti di gestione degli account [Assegnazione: frequenza definita dall'organizzazione]. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base ai permessi associati o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| AC-2(j) | L'organizzazione: j. Verifica la conformità degli account ai requisiti di gestione degli account [Assegnazione: frequenza definita dall'organizzazione]. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| AC-2(j) | L'organizzazione: j. Verifica la conformità degli account ai requisiti di gestione degli account [Assegnazione: frequenza definita dall'organizzazione]. | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| AC-3 | Il sistema informativo applica le autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità alle policy di controllo degli accessi applicabili. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| AC-3 | Il sistema informativo applica le autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità alle policy di controllo degli accessi applicabili. | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| AC-3 | Il sistema informativo applica le autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità alle policy di controllo degli accessi applicabili. | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| AC-3 | Il sistema informativo applica le autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità alle policy di controllo degli accessi applicabili. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| AC-3 | Il sistema informativo applica le autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità alle policy di controllo degli accessi applicabili. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| AC-3 | Il sistema informativo applica le autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità alle policy di controllo degli accessi applicabili. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| AC-3 | Il sistema informativo applica le autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità alle policy di controllo degli accessi applicabili. | Gestisci l'accesso al AWS cloud abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 sia limitato dai AWS principali, dagli utenti federati, dai responsabili del servizio, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti. | |
| AC-3 | Il sistema informativo applica le autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità alle policy di controllo degli accessi applicabili. | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| AC-3 | Il sistema informativo applica le autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità alle policy di controllo degli accessi applicabili. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| AC-3 | Il sistema informativo applica le autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità alle policy di controllo degli accessi applicabili. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| AC-3 | Il sistema informativo applica le autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità alle policy di controllo degli accessi applicabili. | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| AC-3 | Il sistema informativo applica le autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità alle policy di controllo degli accessi applicabili. | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC-3 | Il sistema informativo applica le autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità alle policy di controllo degli accessi applicabili. | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC-3 | Il sistema informativo applica le autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità alle policy di controllo degli accessi applicabili. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| AC-3 | Il sistema informativo applica le autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità alle policy di controllo degli accessi applicabili. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base ai permessi associati o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| AC-3 | Il sistema informativo applica le autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità alle policy di controllo degli accessi applicabili. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| AC-3 | Il sistema informativo applica le autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità alle policy di controllo degli accessi applicabili. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| AC-4 | Il sistema informativo applica le autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione]. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| AC-4 | Il sistema informativo applica le autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione]. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| AC-4 | Il sistema informativo applica le autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione]. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| AC-4 | Il sistema informativo applica le autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione]. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| AC-4 | Il sistema informativo applica le autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione]. | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Questa configurazione non richiede un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| AC-4 | Il sistema informativo applica le autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione]. | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) in un Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| AC-4 | Il sistema informativo applica le autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione]. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| AC-4 | Il sistema informativo applica le autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione]. | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| AC-4 | Il sistema informativo applica le autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione]. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| AC-4 | Il sistema informativo applica le autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione]. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| AC-4 | Il sistema informativo applica le autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione]. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| AC-4 | Il sistema informativo applica le autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione]. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| AC-4 | Il sistema informativo applica le autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione]. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni. | |
| AC-4 | Il sistema informativo applica le autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione]. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| AC-4 | Il sistema informativo applica le autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione]. | Garantisci la protezione dell'integrità della rete assicurando che i certificati X509 vengano emessi da ACM. AWS Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore per daysToExpiration (valore AWS Foundational Security Best Practices: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| AC-4 | Il sistema informativo applica le autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione]. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC-4 | Il sistema informativo applica le autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione]. | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| AC-4 | Il sistema informativo applica le autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione]. | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC-4 | Il sistema informativo applica le autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione]. | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC-4 | Il sistema informativo applica le autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione]. | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC-4 | Il sistema informativo applica le autorizzazioni approvate per il controllo del flusso di informazioni all'interno del sistema e tra sistemi interconnessi in base a [Assegnazione: policy di controllo del flusso di informazioni definite dall'organizzazione]. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| AC-5c | L'organizzazione: c. Definisce le autorizzazioni di accesso al sistema informativo per supportare la separazione dei compiti. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| AC-5c | L'organizzazione: c. Definisce le autorizzazioni di accesso al sistema informativo per supportare la separazione dei compiti. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base ai permessi associati o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| AC-5c | L'organizzazione: c. Definisce le autorizzazioni di accesso al sistema informativo per supportare la separazione dei compiti. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| AC-5c | L'organizzazione: c. Definisce le autorizzazioni di accesso al sistema informativo per supportare la separazione dei compiti. | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| AC-6 | L'organizzazione utilizza il principio del privilegio minimo, che consente accessi autorizzati solo agli utenti (o ai processi che agiscono per conto degli utenti) necessari per svolgere le attività assegnate in conformità alle missioni organizzative e alle funzioni aziendali. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| AC-6 | L'organizzazione utilizza il principio del privilegio minimo, che consente accessi autorizzati solo agli utenti (o ai processi che agiscono per conto degli utenti) necessari per svolgere le attività assegnate in conformità alle missioni organizzative e alle funzioni aziendali. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| AC-6 | L'organizzazione utilizza il principio del privilegio minimo, che consente accessi autorizzati solo agli utenti (o ai processi che agiscono per conto degli utenti) necessari per svolgere le attività assegnate in conformità alle missioni organizzative e alle funzioni aziendali. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| AC-6 | L'organizzazione utilizza il principio del privilegio minimo, che consente accessi autorizzati solo agli utenti (o ai processi che agiscono per conto degli utenti) necessari per svolgere le attività assegnate in conformità alle missioni organizzative e alle funzioni aziendali. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| AC-6 | L'organizzazione utilizza il principio del privilegio minimo, che consente accessi autorizzati solo agli utenti (o ai processi che agiscono per conto degli utenti) necessari per svolgere le attività assegnate in conformità alle missioni organizzative e alle funzioni aziendali. | Gestisci l'accesso al AWS cloud abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 sia limitato dai AWS principali, dagli utenti federati, dai responsabili del servizio, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti. | |
| AC-6 | L'organizzazione utilizza il principio del privilegio minimo, che consente accessi autorizzati solo agli utenti (o ai processi che agiscono per conto degli utenti) necessari per svolgere le attività assegnate in conformità alle missioni organizzative e alle funzioni aziendali. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| AC-6 | L'organizzazione utilizza il principio del privilegio minimo, che consente accessi autorizzati solo agli utenti (o ai processi che agiscono per conto degli utenti) necessari per svolgere le attività assegnate in conformità alle missioni organizzative e alle funzioni aziendali. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| AC-6 | L'organizzazione utilizza il principio del privilegio minimo, che consente accessi autorizzati solo agli utenti (o ai processi che agiscono per conto degli utenti) necessari per svolgere le attività assegnate in conformità alle missioni organizzative e alle funzioni aziendali. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| AC-6 | L'organizzazione utilizza il principio del privilegio minimo, che consente accessi autorizzati solo agli utenti (o ai processi che agiscono per conto degli utenti) necessari per svolgere le attività assegnate in conformità alle missioni organizzative e alle funzioni aziendali. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| AC-6 | L'organizzazione utilizza il principio del privilegio minimo, che consente accessi autorizzati solo agli utenti (o ai processi che agiscono per conto degli utenti) necessari per svolgere le attività assegnate in conformità alle missioni organizzative e alle funzioni aziendali. | Assicurati che le credenziali di autenticazione AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY non esistano negli ambienti del progetto Codebuild. AWS Non archiviare queste variabili con testo in chiaro. L'archiviazione di queste variabili con testo in chiaro porta all'esposizione involontaria dei dati e all'accesso non autorizzato. | |
| AC-6 | L'organizzazione utilizza il principio del privilegio minimo, che consente accessi autorizzati solo agli utenti (o ai processi che agiscono per conto degli utenti) necessari per svolgere le attività assegnate in conformità alle missioni organizzative e alle funzioni aziendali. | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC-6 | L'organizzazione utilizza il principio del privilegio minimo, che consente accessi autorizzati solo agli utenti (o ai processi che agiscono per conto degli utenti) necessari per svolgere le attività assegnate in conformità alle missioni organizzative e alle funzioni aziendali. | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| AC-6 | L'organizzazione utilizza il principio del privilegio minimo, che consente accessi autorizzati solo agli utenti (o ai processi che agiscono per conto degli utenti) necessari per svolgere le attività assegnate in conformità alle missioni organizzative e alle funzioni aziendali. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| AC-6 | L'organizzazione utilizza il principio del privilegio minimo, che consente accessi autorizzati solo agli utenti (o ai processi che agiscono per conto degli utenti) necessari per svolgere le attività assegnate in conformità alle missioni organizzative e alle funzioni aziendali. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base ai permessi associati o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| AC-6 | L'organizzazione utilizza il principio del privilegio minimo, che consente accessi autorizzati solo agli utenti (o ai processi che agiscono per conto degli utenti) necessari per svolgere le attività assegnate in conformità alle missioni organizzative e alle funzioni aziendali. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| AC-6 | L'organizzazione utilizza il principio del privilegio minimo, che consente accessi autorizzati solo agli utenti (o ai processi che agiscono per conto degli utenti) necessari per svolgere le attività assegnate in conformità alle missioni organizzative e alle funzioni aziendali. | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| AC-6 | L'organizzazione utilizza il principio del privilegio minimo, che consente accessi autorizzati solo agli utenti (o ai processi che agiscono per conto degli utenti) necessari per svolgere le attività assegnate in conformità alle missioni organizzative e alle funzioni aziendali. | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| AC-6 | L'organizzazione utilizza il principio del privilegio minimo, che consente accessi autorizzati solo agli utenti (o ai processi che agiscono per conto degli utenti) necessari per svolgere le attività assegnate in conformità alle missioni organizzative e alle funzioni aziendali. | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| AC-6 | L'organizzazione utilizza il principio del privilegio minimo, che consente accessi autorizzati solo agli utenti (o ai processi che agiscono per conto degli utenti) necessari per svolgere le attività assegnate in conformità alle missioni organizzative e alle funzioni aziendali. | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC-6 | L'organizzazione utilizza il principio del privilegio minimo, che consente accessi autorizzati solo agli utenti (o ai processi che agiscono per conto degli utenti) necessari per svolgere le attività assegnate in conformità alle missioni organizzative e alle funzioni aziendali. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC-6 | L'organizzazione utilizza il principio del privilegio minimo, che consente accessi autorizzati solo agli utenti (o ai processi che agiscono per conto degli utenti) necessari per svolgere le attività assegnate in conformità alle missioni organizzative e alle funzioni aziendali. | Assicurati che il metodo del servizio di metadati di istanza versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, puoi implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| AC-6 | L'organizzazione utilizza il principio del privilegio minimo, che consente accessi autorizzati solo agli utenti (o ai processi che agiscono per conto degli utenti) necessari per svolgere le attività assegnate in conformità alle missioni organizzative e alle funzioni aziendali. | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| AC-6(10) | Il sistema informativo impedisce agli utenti non privilegiati di eseguire funzioni privilegiate, tra cui la disabilitazione, l'elusione o la modifica delle protezioni/contromisure di sicurezza implementate. | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| AC-17(1) | Il sistema informativo monitora e controlla i metodi di accesso remoto. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| AC-17(1) | Il sistema informativo monitora e controlla i metodi di accesso remoto. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| AC-17(2) | Il sistema informativo implementa meccanismi crittografici per proteggere la riservatezza e l'integrità delle sessioni di accesso remoto. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| AC-17(2) | Il sistema informativo implementa meccanismi crittografici per proteggere la riservatezza e l'integrità delle sessioni di accesso remoto. | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| AC-17(2) | Il sistema informativo implementa meccanismi crittografici per proteggere la riservatezza e l'integrità delle sessioni di accesso remoto. | Garantisci la protezione dell'integrità della rete assicurando che i certificati X509 vengano emessi da ACM. AWS Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore per daysToExpiration (valore AWS Foundational Security Best Practices: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| AC-17(2) | Il sistema informativo implementa meccanismi crittografici per proteggere la riservatezza e l'integrità delle sessioni di accesso remoto. | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| AC-17(2) | Il sistema informativo implementa meccanismi crittografici per proteggere la riservatezza e l'integrità delle sessioni di accesso remoto. | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| AC-17(2) | Il sistema informativo implementa meccanismi crittografici per proteggere la riservatezza e l'integrità delle sessioni di accesso remoto. | Assicurati che i tuoi Elastic Load Balancer (ELB) siano configurati per eliminare le intestazioni http. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| AC-17(2) | Il sistema informativo implementa meccanismi crittografici per proteggere la riservatezza e l'integrità delle sessioni di accesso remoto. | Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| AC-17(3) | Il sistema informativo indirizza tutti gli accessi remoti attraverso [Assegnazione: numero definito dall'organizzazione] punti di controllo di accesso alla rete gestiti. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| AC-21(b) | L'organizzazione: b. Impiega [Assegnazione: meccanismi automatizzati o processi manuali definiti dall'organizzazione] per assistere gli utenti nel prendere decisioni relative alla condivisione delle informazioni e alla collaborazione. | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC-21(b) | L'organizzazione: b. Impiega [Assegnazione: meccanismi automatizzati o processi manuali definiti dall'organizzazione] per assistere gli utenti nel prendere decisioni relative alla condivisione delle informazioni e alla collaborazione. | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC-21(b) | L'organizzazione: b. Impiega [Assegnazione: meccanismi automatizzati o processi manuali definiti dall'organizzazione] per assistere gli utenti nel prendere decisioni relative alla condivisione delle informazioni e alla collaborazione. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC-21(b) | L'organizzazione: b. Impiega [Assegnazione: meccanismi automatizzati o processi manuali definiti dall'organizzazione] per assistere gli utenti nel prendere decisioni relative alla condivisione delle informazioni e alla collaborazione. | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC-21(b) | L'organizzazione: b. Impiega [Assegnazione: meccanismi automatizzati o processi manuali definiti dall'organizzazione] per assistere gli utenti nel prendere decisioni relative alla condivisione delle informazioni e alla collaborazione. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| AC-21(b) | L'organizzazione: b. Impiega [Assegnazione: meccanismi automatizzati o processi manuali definiti dall'organizzazione] per assistere gli utenti nel prendere decisioni relative alla condivisione delle informazioni e alla collaborazione. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| AC-21(b) | L'organizzazione: b. Impiega [Assegnazione: meccanismi automatizzati o processi manuali definiti dall'organizzazione] per assistere gli utenti nel prendere decisioni relative alla condivisione delle informazioni e alla collaborazione. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| AC-21(b) | L'organizzazione: b. Impiega [Assegnazione: meccanismi automatizzati o processi manuali definiti dall'organizzazione] per assistere gli utenti nel prendere decisioni relative alla condivisione delle informazioni e alla collaborazione. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| AC-21(b) | L'organizzazione: b. Impiega [Assegnazione: meccanismi automatizzati o processi manuali definiti dall'organizzazione] per assistere gli utenti nel prendere decisioni relative alla condivisione delle informazioni e alla collaborazione. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| AC-21(b) | L'organizzazione: b. Impiega [Assegnazione: meccanismi automatizzati o processi manuali definiti dall'organizzazione] per assistere gli utenti nel prendere decisioni relative alla condivisione delle informazioni e alla collaborazione. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| AC-21(b) | L'organizzazione: b. Impiega [Assegnazione: meccanismi automatizzati o processi manuali definiti dall'organizzazione] per assistere gli utenti nel prendere decisioni relative alla condivisione delle informazioni e alla collaborazione. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| AC-21(b) | L'organizzazione: b. Impiega [Assegnazione: meccanismi automatizzati o processi manuali definiti dall'organizzazione] per assistere gli utenti nel prendere decisioni relative alla condivisione delle informazioni e alla collaborazione. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| AU-2(a)(d) | L'organizzazione: a. Determina che il sistema informativo è in grado di controllare i seguenti eventi: [Assegnazione: eventi verificabili definiti dall'organizzazione]; d. Determina che i seguenti eventi devono essere verificati all'interno del sistema informativo: [Assegnazione: eventi verificati definiti dall'organizzazione (il sottoinsieme degli eventi verificabili definiti in AU-2 a.) insieme alla frequenza di verifica (o alla situazione che la richiede) per ogni evento identificato]. | La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti. | |
| AU-2(a)(d) | L'organizzazione: a. Determina che il sistema informativo è in grado di controllare i seguenti eventi: [Assegnazione: eventi verificabili definiti dall'organizzazione]; d. Determina che i seguenti eventi devono essere verificati all'interno del sistema informativo: [Assegnazione: eventi verificati definiti dall'organizzazione (il sottoinsieme degli eventi verificabili definiti in AU-2 a.) insieme alla frequenza di verifica (o alla situazione che la richiede) per ogni evento identificato]. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| AU-2(a)(d) | L'organizzazione: a. Determina che il sistema informativo è in grado di controllare i seguenti eventi: [Assegnazione: eventi verificabili definiti dall'organizzazione]; d. Determina che i seguenti eventi devono essere verificati all'interno del sistema informativo: [Assegnazione: eventi verificati definiti dall'organizzazione (il sottoinsieme degli eventi verificabili definiti in AU-2 a.) insieme alla frequenza di verifica (o alla situazione che la richiede) per ogni evento identificato]. | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli Account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| AU-2(a)(d) | L'organizzazione: a. Determina che il sistema informativo è in grado di controllare i seguenti eventi: [Assegnazione: eventi verificabili definiti dall'organizzazione]; d. Determina che i seguenti eventi devono essere verificati all'interno del sistema informativo: [Assegnazione: eventi verificati definiti dall'organizzazione (il sottoinsieme degli eventi verificabili definiti in AU-2 a.) insieme alla frequenza di verifica (o alla situazione che la richiede) per ogni evento identificato]. | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| AU-2(a)(d) | L'organizzazione: a. Determina che il sistema informativo è in grado di controllare i seguenti eventi: [Assegnazione: eventi verificabili definiti dall'organizzazione]; d. Determina che i seguenti eventi devono essere verificati all'interno del sistema informativo: [Assegnazione: eventi verificati definiti dall'organizzazione (il sottoinsieme degli eventi verificabili definiti in AU-2 a.) insieme alla frequenza di verifica (o alla situazione che la richiede) per ogni evento identificato]. | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| AU-2(a)(d) | L'organizzazione: a. Determina che il sistema informativo è in grado di controllare i seguenti eventi: [Assegnazione: eventi verificabili definiti dall'organizzazione]; d. Determina che i seguenti eventi devono essere verificati all'interno del sistema informativo: [Assegnazione: eventi verificati definiti dall'organizzazione (il sottoinsieme degli eventi verificabili definiti in AU-2 a.) insieme alla frequenza di verifica (o alla situazione che la richiede) per ogni evento identificato]. | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail invierà i file di registro da tutti Regioni AWS al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| AU-2(a)(d) | L'organizzazione: a. Determina che il sistema informativo è in grado di controllare i seguenti eventi: [Assegnazione: eventi verificabili definiti dall'organizzazione]; d. Determina che i seguenti eventi devono essere verificati all'interno del sistema informativo: [Assegnazione: eventi verificati definiti dall'organizzazione (il sottoinsieme degli eventi verificabili definiti in AU-2 a.) insieme alla frequenza di verifica (o alla situazione che la richiede) per ogni evento identificato]. | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| AU-2(a)(d) | L'organizzazione: a. Determina che il sistema informativo è in grado di controllare i seguenti eventi: [Assegnazione: eventi verificabili definiti dall'organizzazione]; d. Determina che i seguenti eventi devono essere verificati all'interno del sistema informativo: [Assegnazione: eventi verificati definiti dall'organizzazione (il sottoinsieme degli eventi verificabili definiti in AU-2 a.) insieme alla frequenza di verifica (o alla situazione che la richiede) per ogni evento identificato]. | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| AU-2(a)(d) | L'organizzazione: a. Determina che il sistema informativo è in grado di controllare i seguenti eventi: [Assegnazione: eventi verificabili definiti dall'organizzazione]; d. Determina che i seguenti eventi devono essere verificati all'interno del sistema informativo: [Assegnazione: eventi verificati definiti dall'organizzazione (il sottoinsieme degli eventi verificabili definiti in AU-2 a.) insieme alla frequenza di verifica (o alla situazione che la richiede) per ogni evento identificato]. | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| AU-2(a)(d) | L'organizzazione: a. Determina che il sistema informativo è in grado di controllare i seguenti eventi: [Assegnazione: eventi verificabili definiti dall'organizzazione]; d. Determina che i seguenti eventi devono essere verificati all'interno del sistema informativo: [Assegnazione: eventi verificati definiti dall'organizzazione (il sottoinsieme degli eventi verificabili definiti in AU-2 a.) insieme alla frequenza di verifica (o alla situazione che la richiede) per ogni evento identificato]. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sugli ACL web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| AU-2(a)(d) | L'organizzazione: a. Determina che il sistema informativo è in grado di controllare i seguenti eventi: [Assegnazione: eventi verificabili definiti dall'organizzazione]; d. Determina che i seguenti eventi devono essere verificati all'interno del sistema informativo: [Assegnazione: eventi verificati definiti dall'organizzazione (il sottoinsieme degli eventi verificabili definiti in AU-2 a.) insieme alla frequenza di verifica (o alla situazione che la richiede) per ogni evento identificato]. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| AU-3 | Il sistema informativo genera record di verifica contenenti informazioni che definiscono il tipo di evento che si è verificato, quando e dove si è verificato, la sua origine, il suo esito e l'identità di eventuali persone o soggetti associati all'evento. | La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti. | |
| AU-3 | Il sistema informativo genera record di verifica contenenti informazioni che definiscono il tipo di evento che si è verificato, quando e dove si è verificato, la sua origine, il suo esito e l'identità di eventuali persone o soggetti associati all'evento. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| AU-3 | Il sistema informativo genera record di verifica contenenti informazioni che definiscono il tipo di evento che si è verificato, quando e dove si è verificato, la sua origine, il suo esito e l'identità di eventuali persone o soggetti associati all'evento. | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli Account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| AU-3 | Il sistema informativo genera record di verifica contenenti informazioni che definiscono il tipo di evento che si è verificato, quando e dove si è verificato, la sua origine, il suo esito e l'identità di eventuali persone o soggetti associati all'evento. | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| AU-3 | Il sistema informativo genera record di verifica contenenti informazioni che definiscono il tipo di evento che si è verificato, quando e dove si è verificato, la sua origine, il suo esito e l'identità di eventuali persone o soggetti associati all'evento. | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| AU-3 | Il sistema informativo genera record di verifica contenenti informazioni che definiscono il tipo di evento che si è verificato, quando e dove si è verificato, la sua origine, il suo esito e l'identità di eventuali persone o soggetti associati all'evento. | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| AU-3 | Il sistema informativo genera record di verifica contenenti informazioni che definiscono il tipo di evento che si è verificato, quando e dove si è verificato, la sua origine, il suo esito e l'identità di eventuali persone o soggetti associati all'evento. | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail invierà i file di registro da tutti Regioni AWS al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| AU-3 | Il sistema informativo genera record di verifica contenenti informazioni che definiscono il tipo di evento che si è verificato, quando e dove si è verificato, la sua origine, il suo esito e l'identità di eventuali persone o soggetti associati all'evento. | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| AU-3 | Il sistema informativo genera record di verifica contenenti informazioni che definiscono il tipo di evento che si è verificato, quando e dove si è verificato, la sua origine, il suo esito e l'identità di eventuali persone o soggetti associati all'evento. | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| AU-3 | Il sistema informativo genera record di verifica contenenti informazioni che definiscono il tipo di evento che si è verificato, quando e dove si è verificato, la sua origine, il suo esito e l'identità di eventuali persone o soggetti associati all'evento. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| AU-3 | Il sistema informativo genera record di verifica contenenti informazioni che definiscono il tipo di evento che si è verificato, quando e dove si è verificato, la sua origine, il suo esito e l'identità di eventuali persone o soggetti associati all'evento. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sugli ACL Web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| AU-6(1)(3) | (1) L'organizzazione utilizza meccanismi automatizzati per integrare i processi di revisione, analisi e creazione di report di audit a supporto dei processi organizzativi di indagine sulle attività sospette e di risposta alle stesse. (3) L'organizzazione analizza e mette in correlazione i record di audit in diversi repository per acquisire una conoscenza della situazione a livello di organizzazione. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| AU-6(1)(3) | (1) L'organizzazione utilizza meccanismi automatizzati per integrare i processi di revisione, analisi e creazione di report di audit a supporto dei processi organizzativi di indagine sulle attività sospette e di risposta alle stesse. (3) L'organizzazione analizza e mette in correlazione i record di audit in diversi repository per acquisire una conoscenza della situazione a livello di organizzazione. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| AU-6(1)(3) | (1) L'organizzazione utilizza meccanismi automatizzati per integrare i processi di revisione, analisi e creazione di report di audit a supporto dei processi organizzativi di indagine sulle attività sospette e di risposta alle stesse. (3) L'organizzazione analizza e mette in correlazione i record di audit in diversi repository per acquisire una conoscenza della situazione a livello di organizzazione. | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| AU-6(1)(3) | (1) L'organizzazione utilizza meccanismi automatizzati per integrare i processi di revisione, analisi e creazione di report di audit a supporto dei processi organizzativi di indagine sulle attività sospette e di risposta alle stesse. (3) L'organizzazione analizza e mette in correlazione i record di audit in diversi repository per acquisire una conoscenza della situazione a livello di organizzazione. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| AU-7(1) | Il sistema informativo offre la capacità di elaborare record di audit per eventi di interesse sulla base di [Assegnazione: campi di audit definiti dall'organizzazione all'interno dei record di audit]. | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| AU-7(1) | Il sistema informativo offre la capacità di elaborare record di audit per eventi di interesse sulla base di [Assegnazione: campi di audit definiti dall'organizzazione all'interno dei record di audit]. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| AU-9 | Il sistema informativo protegge le informazioni e gli strumenti di audit da accessi, modifiche ed eliminazioni non autorizzati. | Poiché possono esistere dati sensibili e per contribuire a proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CloudTrail percorsi. | |
| AU-9 | Il sistema informativo protegge le informazioni e gli strumenti di audit da accessi, modifiche ed eliminazioni non autorizzati. | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi Amazon CloudWatch Log Groups. | |
| AU-9(2) | Il sistema informativo esegue il backup dei record di verifica [Assegnazione: frequenza definita dall'organizzazione] su un sistema o componente di sistema fisicamente diverso rispetto al sistema o al componente sottoposto a verifica. | La replica tra regioni (CRR) di Amazon Simple Storage Service (Amazon S3) supporta il mantenimento di capacità e disponibilità adeguate. La replica tra regioni (CRR) consente la copia asincrona e automatica di oggetti tra bucket Amazon S3 per assicurare il mantenimento della disponibilità dei dati. | |
| AU-11 | L'organizzazione conserva i registri di controllo per [Incarico: periodo di tempo definito dall'organizzazione in conformità con la politica di conservazione dei record] per fornire supporto after-the-fact nelle indagini sugli incidenti di sicurezza e per soddisfare i requisiti normativi e organizzativi di conservazione delle informazioni. | Assicurati che i dati dei log degli eventi vengano mantenuti per una durata minima per i gruppi di log in modo da agevolare la risoluzione dei problemi e le indagini forensi. La mancata disponibilità dei dati dei log degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. | |
| AU-12(a)(c) | Il sistema informativo: a. Offre la capacità di generare record di verifica per gli eventi verificabili definiti in AU-2 a. in [Assegnazione: componenti del sistema informativo definiti dall'organizzazione]; c. Genera record di verifica per gli eventi definiti in AU-2 d. con il contenuto definito in AU-3. | La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti. | |
| AU-12(a)(c) | Il sistema informativo: a. Offre la capacità di generare record di verifica per gli eventi verificabili definiti in AU-2 a. in [Assegnazione: componenti del sistema informativo definiti dall'organizzazione]; c. Genera record di verifica per gli eventi definiti in AU-2 d. con il contenuto definito in AU-3. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| AU-12(a)(c) | Il sistema informativo: a. Offre la capacità di generare record di verifica per gli eventi verificabili definiti in AU-2 a. in [Assegnazione: componenti del sistema informativo definiti dall'organizzazione]; c. Genera record di verifica per gli eventi definiti in AU-2 d. con il contenuto definito in AU-3. | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli Account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| AU-12(a)(c) | Il sistema informativo: a. Offre la capacità di generare record di verifica per gli eventi verificabili definiti in AU-2 a. in [Assegnazione: componenti del sistema informativo definiti dall'organizzazione]; c. Genera record di verifica per gli eventi definiti in AU-2 d. con il contenuto definito in AU-3. | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| AU-12(a)(c) | Il sistema informativo: a. Offre la capacità di generare record di verifica per gli eventi verificabili definiti in AU-2 a. in [Assegnazione: componenti del sistema informativo definiti dall'organizzazione]; c. Genera record di verifica per gli eventi definiti in AU-2 d. con il contenuto definito in AU-3. | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| AU-12(a)(c) | Il sistema informativo: a. Offre la capacità di generare record di verifica per gli eventi verificabili definiti in AU-2 a. in [Assegnazione: componenti del sistema informativo definiti dall'organizzazione]; c. Genera record di verifica per gli eventi definiti in AU-2 d. con il contenuto definito in AU-3. | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| AU-12(a)(c) | Il sistema informativo: a. Offre la capacità di generare record di verifica per gli eventi verificabili definiti in AU-2 a. in [Assegnazione: componenti del sistema informativo definiti dall'organizzazione]; c. Genera record di verifica per gli eventi definiti in AU-2 d. con il contenuto definito in AU-3. | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail invierà i file di registro da tutti Regioni AWS al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| AU-12(a)(c) | Il sistema informativo: a. Offre la capacità di generare record di verifica per gli eventi verificabili definiti in AU-2 a. in [Assegnazione: componenti del sistema informativo definiti dall'organizzazione]; c. Genera record di verifica per gli eventi definiti in AU-2 d. con il contenuto definito in AU-3. | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| AU-12(a)(c) | Il sistema informativo: a. Offre la capacità di generare record di verifica per gli eventi verificabili definiti in AU-2 a. in [Assegnazione: componenti del sistema informativo definiti dall'organizzazione]; c. Genera record di verifica per gli eventi definiti in AU-2 d. con il contenuto definito in AU-3. | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| AU-12(a)(c) | Il sistema informativo: a. Offre la capacità di generare record di verifica per gli eventi verificabili definiti in AU-2 a. in [Assegnazione: componenti del sistema informativo definiti dall'organizzazione]; c. Genera record di verifica per gli eventi definiti in AU-2 d. con il contenuto definito in AU-3. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sugli ACL web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| AU-12(a)(c) | Il sistema informativo: a. Offre la capacità di generare record di verifica per gli eventi verificabili definiti in AU-2 a. in [Assegnazione: componenti del sistema informativo definiti dall'organizzazione]; c. Genera record di verifica per gli eventi definiti in AU-2 d. con il contenuto definito in AU-3. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CA-7(a)(b) | L'organizzazione sviluppa una strategia di monitoraggio continuo e implementa un programma di monitoraggio continuo che include: a. Istituzione di [Assegnazione: metriche definite dall'organizzazione] da monitorare; b. Istituzione di [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per le valutazioni a supporto di tale monitoraggio. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CA-7(a)(b) | L'organizzazione sviluppa una strategia di monitoraggio continuo e implementa un programma di monitoraggio continuo che include: a. Istituzione di [Assegnazione: metriche definite dall'organizzazione] da monitorare; b. Istituzione di [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per le valutazioni a supporto di tale monitoraggio. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| CA-7(a)(b) | L'organizzazione sviluppa una strategia di monitoraggio continuo e implementa un programma di monitoraggio continuo che include: a. Istituzione di [Assegnazione: metriche definite dall'organizzazione] da monitorare; b. Istituzione di [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per le valutazioni a supporto di tale monitoraggio. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| CA-7(a)(b) | L'organizzazione sviluppa una strategia di monitoraggio continuo e implementa un programma di monitoraggio continuo che include: a. Istituzione di [Assegnazione: metriche definite dall'organizzazione] da monitorare; b. Istituzione di [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per le valutazioni a supporto di tale monitoraggio. | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| CA-7(a)(b) | L'organizzazione sviluppa una strategia di monitoraggio continuo e implementa un programma di monitoraggio continuo che include: a. Istituzione di [Assegnazione: metriche definite dall'organizzazione] da monitorare; b. Istituzione di [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per le valutazioni a supporto di tale monitoraggio. | Abilita questa regola per migliorare il monitoraggio delle istanze Amazon Elastic Compute Cloud (Amazon EC2) sulla console Amazon EC2, che visualizza grafici di monitoraggio relativi all'istanza a intervalli di 1 minuto. | |
| CA-7(a)(b) | L'organizzazione sviluppa una strategia di monitoraggio continuo e implementa un programma di monitoraggio continuo che include: a. Istituzione di [Assegnazione: metriche definite dall'organizzazione] da monitorare; b. Istituzione di [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per le valutazioni a supporto di tale monitoraggio. | Abilita Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità di Amazon RDS. Ciò fornisce una visibilità dettagliata sullo stato delle istanze database Amazon RDS. Quando l'archiviazione di Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ogni dispositivo. Inoltre, quando l'istanza database Amazon RDS è in esecuzione in una implementazione multi-AZ, vengono raccolti i dati per ogni dispositivo sull'host secondario e le metriche dell'host secondario. | |
| CM-2 | L'organizzazione sviluppa, documenta e mantiene sotto il controllo della configurazione una configurazione di base corrente del sistema informativo. | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| CM-2 | L'organizzazione sviluppa, documenta e mantiene sotto il controllo della configurazione una configurazione di base corrente del sistema informativo. | ec2- -controlla managedinstance-association-compliance-status |
Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee guida per livelli di patch del sistema operativo, installazioni software, configurazioni delle applicazioni e altri dettagli sull'ambiente. |
| CM-2 | L'organizzazione sviluppa, documenta e mantiene sotto il controllo della configurazione una configurazione di base corrente del sistema informativo. | Abilita questa regola per facilitare la configurazione di base delle istanze Amazon Elastic Compute Cloud (Amazon EC2) verificando se le istanze Amazon EC2 sono state interrotte per un numero di giorni superiore a quello consentito, secondo gli standard dell'organizzazione. | |
| CM-2 | L'organizzazione sviluppa, documenta e mantiene sotto il controllo della configurazione una configurazione di base corrente del sistema informativo. | Questa regola garantisce che i volumi Amazon Elastic Block Store collegati a istanze Amazon Elastic Compute Cloud (Amazon EC2) siano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegato viene terminata, potrebbe violare il concetto di funzionalità minima. | |
| CM-2 | L'organizzazione sviluppa, documenta e mantiene sotto il controllo della configurazione una configurazione di base corrente del sistema informativo. | Questa regola garantisce che per Elastic Load Balancing sia abilitata la protezione da eliminazione. Utilizza questa funzionalità per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| CM-2 | L'organizzazione sviluppa, documenta e mantiene sotto il controllo della configurazione una configurazione di base corrente del sistema informativo. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CM-2 | L'organizzazione sviluppa, documenta e mantiene sotto il controllo della configurazione una configurazione di base corrente del sistema informativo. | Questa regola aiuta a garantire l'uso delle migliori pratiche di sicurezza AWS consigliate per AWS CloudTrail, verificando l'abilitazione di più impostazioni. Queste includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione AWS CloudTrail in più aree. | |
| CM-7(a) | L'organizzazione: a. Configura il sistema informativo per fornire solo le funzionalità essenziali. | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| CM-7(a) | L'organizzazione: a. Configura il sistema informativo per fornire solo le funzionalità essenziali. | ec2- -controlla managedinstance-association-compliance-status |
Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee guida per livelli di patch del sistema operativo, installazioni software, configurazioni delle applicazioni e altri dettagli sull'ambiente. |
| CM-8(1) | L'organizzazione aggiorna l'inventario dei componenti del sistema informativo come parte integrante delle installazioni dei componenti, delle rimozioni e degli aggiornamenti del sistema stesso. | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| CM-8(3)(a) | L'organizzazione: a. Utilizza meccanismi automatizzati [Assegnazione: frequenza definita dall'organizzazione] per rilevare la presenza di componenti hardware, software e firmware non autorizzati all'interno del sistema informativo. | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| CM-8(3)(a) | L'organizzazione: a. Utilizza meccanismi automatizzati [Assegnazione: frequenza definita dall'organizzazione] per rilevare la presenza di componenti hardware, software e firmware non autorizzati all'interno del sistema informativo. | ec2- -controlla managedinstance-association-compliance-status |
Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee guida per livelli di patch del sistema operativo, installazioni software, configurazioni delle applicazioni e altri dettagli sull'ambiente. |
| CM-8(3)(a) | L'organizzazione: a. Utilizza meccanismi automatizzati [Assegnazione: frequenza definita dall'organizzazione] per rilevare la presenza di componenti hardware, software e firmware non autorizzati all'interno del sistema informativo. | L'abilitazione di questa regola facilita l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| CP-9(b) | L'organizzazione: b. Esegue il backup delle informazioni a livello di sistema contenute nel sistema informativo [Assegnazione: frequenza definita dall'organizzazione coerente con gli obiettivi del tempo di ripristino e del punto di ripristino]. | La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot di archiviazione del volume dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| CP-9(b) | L'organizzazione: b. Esegue il backup delle informazioni a livello di sistema contenute nel sistema informativo [Assegnazione: frequenza definita dall'organizzazione coerente con gli obiettivi del tempo di ripristino e del punto di ripristino]. | Abilita questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella degli ultimi 35 giorni. | |
| CP-9(b) | L'organizzazione: b. Esegue il backup delle informazioni a livello di sistema contenute nel sistema informativo [Assegnazione: frequenza definita dall'organizzazione coerente con gli obiettivi del tempo di ripristino e del punto di ripristino]. | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere mantenuto per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
| CP-9(b) | L'organizzazione: b. Esegue il backup delle informazioni a livello di sistema contenute nel sistema informativo [Assegnazione: frequenza definita dall'organizzazione coerente con gli obiettivi del tempo di ripristino e del punto di ripristino]. | La replica tra regioni (CRR) di Amazon Simple Storage Service (Amazon S3) supporta il mantenimento di capacità e disponibilità adeguate. La replica tra regioni (CRR) consente la copia asincrona e automatica di oggetti tra bucket Amazon S3 per assicurare il mantenimento della disponibilità dei dati. | |
| CP-9(b) | L'organizzazione: b. Esegue il backup delle informazioni a livello di sistema contenute nel sistema informativo [Assegnazione: frequenza definita dall'organizzazione coerente con gli obiettivi del tempo di ripristino e del punto di ripristino]. | Per facilitare i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CP-9(b) | L'organizzazione: b. Esegue il backup delle informazioni a livello di sistema contenute nel sistema informativo [Assegnazione: frequenza definita dall'organizzazione coerente con gli obiettivi del tempo di ripristino e del punto di ripristino]. | Per facilitare i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CP-9(b) | L'organizzazione: b. Esegue il backup delle informazioni a livello di sistema contenute nel sistema informativo [Assegnazione: frequenza definita dall'organizzazione coerente con gli obiettivi del tempo di ripristino e del punto di ripristino]. | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CP-9(b) | L'organizzazione: b. Esegue il backup delle informazioni a livello di sistema contenute nel sistema informativo [Assegnazione: frequenza definita dall'organizzazione coerente con gli obiettivi del tempo di ripristino e del punto di ripristino]. | Per facilitare i processi di backup dei dati, assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CP-10 | L'organizzazione provvede al ripristino e alla ricostituzione del sistema informativo a uno stato noto dopo un'interruzione, una compromissione o un guasto. | La scalabilità automatica di Amazon DynamoDB utilizza il servizio Application AWS Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura e scrittura assegnata per gestire improvvisi aumenti di traffico, senza alcuna limitazione (della larghezza di banda della rete). | |
| CP-10 | L'organizzazione provvede al ripristino e alla ricostituzione del sistema informativo a uno stato noto dopo un'interruzione, una compromissione o un guasto. | Questa regola garantisce che per Elastic Load Balancing sia abilitata la protezione da eliminazione. Utilizza questa funzionalità per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| CP-10 | L'organizzazione provvede al ripristino e alla ricostituzione del sistema informativo a uno stato noto dopo un'interruzione, una compromissione o un guasto. | Il supporto multi-AZ in Amazon Relational Database Service (Amazon RDS) offre disponibilità e durabilità avanzate per le istanze database. Quando esegui il provisioning di un'istanza database multi-AZ, Amazon RDS crea automaticamente un'istanza database primaria e replica in modo sincrono i dati in un'istanza standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completato. | |
| CP-10 | L'organizzazione provvede al ripristino e alla ricostituzione del sistema informativo a uno stato noto dopo un'interruzione, una compromissione o un guasto. | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti. | |
| CP-10 | L'organizzazione provvede al ripristino e alla ricostituzione del sistema informativo a uno stato noto dopo un'interruzione, una compromissione o un guasto. | È possibile implementare tunnel VPN sito-sito ridondanti per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso in cui una delle connessioni VPN sito-sito non sia disponibile. Per evitare la perdita di connettività nel caso in cui il gateway del cliente non sia più disponibile, puoi configurare una seconda connessione VPN sito-sito al tuo Amazon Virtual Private Cloud (Amazon VPC) e al gateway privato virtuale utilizzando un secondo dispositivo gateway del cliente. | |
| CP-10 | L'organizzazione provvede al ripristino e alla ricostituzione del sistema informativo a uno stato noto dopo un'interruzione, una compromissione o un guasto. | La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot di archiviazione del volume dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| CP-10 | L'organizzazione provvede al ripristino e alla ricostituzione del sistema informativo a uno stato noto dopo un'interruzione, una compromissione o un guasto. | Abilita questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella degli ultimi 35 giorni. | |
| CP-10 | L'organizzazione provvede al ripristino e alla ricostituzione del sistema informativo a uno stato noto dopo un'interruzione, una compromissione o un guasto. | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere mantenuto per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
| CP-10 | L'organizzazione provvede al ripristino e alla ricostituzione del sistema informativo a uno stato noto dopo un'interruzione, una compromissione o un guasto. | La replica tra regioni (CRR) di Amazon Simple Storage Service (Amazon S3) supporta il mantenimento di capacità e disponibilità adeguate. La replica tra regioni (CRR) consente la copia asincrona e automatica di oggetti tra bucket Amazon S3 per assicurare il mantenimento della disponibilità dei dati. | |
| CP-10 | L'organizzazione provvede al ripristino e alla ricostituzione del sistema informativo a uno stato noto dopo un'interruzione, una compromissione o un guasto. | Per facilitare i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CP-10 | L'organizzazione provvede al ripristino e alla ricostituzione del sistema informativo a uno stato noto dopo un'interruzione, una compromissione o un guasto. | Per facilitare i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CP-10 | L'organizzazione provvede al ripristino e alla ricostituzione del sistema informativo a uno stato noto dopo un'interruzione, una compromissione o un guasto. | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CP-10 | L'organizzazione provvede al ripristino e alla ricostituzione del sistema informativo a uno stato noto dopo un'interruzione, una compromissione o un guasto. | Abilita il bilanciamento del carico tra zone per gli Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze. | |
| CP-10 | L'organizzazione provvede al ripristino e alla ricostituzione del sistema informativo a uno stato noto dopo un'interruzione, una compromissione o un guasto. | Per facilitare i processi di backup dei dati, assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| IA-2 | Il sistema informativo identifica e autentica in modo univoco gli utenti dell'organizzazione (o i processi che agiscono per loro conto). | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti indicati dal NIST SP 800-63 e dal Centers for Internet Security (CIS) AWS Foundations Benchmark per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| IA-2(1)(11) | (1) Il sistema informativo implementa l'autenticazione a più fattori per l'accesso alla rete negli account con privilegi. (11) Il sistema informativo implementa l'autenticazione a più fattori per l'accesso remoto negli account con e senza privilegi, in modo che uno dei fattori sia fornito da un dispositivo diverso dal sistema che ottiene l'accesso e che il dispositivo soddisfi [Assegnazione: requisiti di affidabilità del meccanismo definiti dall'organizzazione]. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che la MFA hardware sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| IA-2(1)(11) | (1) Il sistema informativo implementa l'autenticazione a più fattori per l'accesso alla rete negli account con privilegi. (11) Il sistema informativo implementa l'autenticazione a più fattori per l'accesso remoto negli account con e senza privilegi, in modo che uno dei fattori sia fornito da un dispositivo diverso dal sistema che ottiene l'accesso e che il dispositivo soddisfi [Assegnazione: requisiti di affidabilità del meccanismo definiti dall'organizzazione]. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| IA-2(1)(2)(11) | (1) Il sistema informativo implementa l'autenticazione a più fattori per l'accesso alla rete negli account con privilegi. (2) Il sistema informativo implementa l'autenticazione a più fattori per l'accesso alla rete negli account senza privilegi. (11) Il sistema informativo implementa l'autenticazione a più fattori per l'accesso remoto negli account con e senza privilegi, in modo che uno dei fattori sia fornito da un dispositivo diverso dal sistema che ottiene l'accesso e che il dispositivo soddisfi [Assegnazione: requisiti di affidabilità del meccanismo definiti dall'organizzazione]. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| IA-2(1)(2)(11) | (1) Il sistema informativo implementa l'autenticazione a più fattori per l'accesso alla rete negli account con privilegi. (2) Il sistema informativo implementa l'autenticazione a più fattori per l'accesso alla rete negli account senza privilegi. (11) Il sistema informativo implementa l'autenticazione a più fattori per l'accesso remoto negli account con e senza privilegi, in modo che uno dei fattori sia fornito da un dispositivo diverso dal sistema che ottiene l'accesso e che il dispositivo soddisfi [Assegnazione: requisiti di affidabilità del meccanismo definiti dall'organizzazione]. | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS . Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti dovuti alla compromissione degli account richiedendo l'autenticazione a più fattori per gli utenti. | |
| IA-5(1)(a)(d)(e) | Il sistema informativo, per l'autenticazione basata su password: a. Applica una complessità minima della password di [Assegnazione: requisiti definiti dall'organizzazione per la distinzione tra maiuscole e minuscole, numero di caratteri, combinazione di lettere maiuscole, lettere minuscole, numeri e caratteri speciali, inclusi i requisiti minimi per ogni tipo]; d. Applica le restrizioni sulla durata minima e massima delle password di [Assegnazione: numeri definiti dall'organizzazione per la durata minima, durata massima]; e. Proibisce il riutilizzo della password per [Assegnazione: numero definito dall'organizzazione] generazioni. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti indicati dal NIST SP 800-63 e dal benchmark Centers for Internet Security (CIS) AWS Foundations per quanto riguarda la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| IA-5(4) | L'organizzazione utilizza strumenti automatizzati per determinare se gli autenticatori di password sono sufficientemente potenti da soddisfare [Assegnazione: requisiti definiti dall'organizzazione]. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti indicati dal NIST SP 800-63 e dal Centers for Internet Security (CIS) AWS Foundations Benchmark per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| IA-5(7) | L'organizzazione garantisce che gli autenticatori statici non crittografati non vengano incorporati nelle applicazioni o negli script di accesso o memorizzati nei tasti funzione. | Assicurati che le credenziali di autenticazione AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY non esistano negli ambienti del progetto Codebuild. AWS Non archiviare queste variabili con testo in chiaro. L'archiviazione di queste variabili con testo in chiaro porta all'esposizione involontaria dei dati e all'accesso non autorizzato. | |
| IR-4(1) | L'organizzazione utilizza meccanismi automatizzati per supportare il processo di gestione degli incidenti. | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| IR-4(1) | L'organizzazione utilizza meccanismi automatizzati per supportare il processo di gestione degli incidenti. | Amazon ti GuardDuty aiuta a comprendere l'impatto di un incidente classificando i risultati in base alla gravità: bassa, media e alta. Puoi utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola consente di impostare facoltativamente daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) e daysHighSev (Config Default: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione. | |
| IR-6(1) | L'organizzazione utilizza meccanismi automatizzati per facilitare la segnalazione degli incidenti di sicurezza. | Amazon ti GuardDuty aiuta a comprendere l'impatto di un incidente classificando i risultati in base alla gravità: bassa, media e alta. Puoi utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola consente di impostare facoltativamente daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) e daysHighSev (Config Default: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione. | |
| IR-7(1) | L'organizzazione utilizza meccanismi automatizzati per aumentare la disponibilità di informazioni e supporto relativi alla risposta agli incidenti. | Amazon ti GuardDuty aiuta a comprendere l'impatto di un incidente classificando i risultati in base alla gravità: bassa, media e alta. Puoi utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola consente di impostare facoltativamente daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) e daysHighSev (Config Default: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione. | |
| RA-5 | L'organizzazione: a. Esegue la scansione delle vulnerabilità nel sistema informativo e nelle applicazioni ospitate [Assegnazione: frequenza definita dall'organizzazione e/o in modo casuale in base al processo definito dall'organizzazione] e quando vengono identificate e segnalate nuove vulnerabilità che potrebbero influire sul sistema/sulle applicazioni; b. Utilizza strumenti e tecniche di scansione delle vulnerabilità che facilitano l'interoperabilità tra gli strumenti e automatizzano parti del processo di gestione delle vulnerabilità utilizzando standard per: 1. Enumerazione di piattaforme, difetti del software e configurazioni improprie; 2. Formattazione di liste di controllo e procedure di test; e 3. Misurazione dell'impatto delle vulnerabilità; c. Analizza i report di scansione delle vulnerabilità e i risultati delle valutazioni del controllo di sicurezza; d. Corregge le vulnerabilità legittime [Assegnazione: tempi di risposta definiti dall'organizzazione], secondo una valutazione del rischio dell'organizzazione; e. Condivide le informazioni ottenute dal processo di scansione delle vulnerabilità e dalle valutazioni del controllo della sicurezza con [Assegnazione: personale o ruoli definiti dall'organizzazione] per aiutare a eliminare vulnerabilità simili in altri sistemi informativi (ad esempio, criticità o carenze sistemiche). | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| RA-5 | L'organizzazione: a. Esegue la scansione delle vulnerabilità nel sistema informativo e nelle applicazioni ospitate [Assegnazione: frequenza definita dall'organizzazione e/o in modo casuale in base al processo definito dall'organizzazione] e quando vengono identificate e segnalate nuove vulnerabilità che potrebbero influire sul sistema/sulle applicazioni; b. Utilizza strumenti e tecniche di scansione delle vulnerabilità che facilitano l'interoperabilità tra gli strumenti e automatizzano parti del processo di gestione delle vulnerabilità utilizzando standard per: 1. Enumerazione di piattaforme, difetti del software e configurazioni improprie; 2. Formattazione di liste di controllo e procedure di test; e 3. Misurazione dell'impatto delle vulnerabilità; c. Analizza i report di scansione delle vulnerabilità e i risultati delle valutazioni del controllo di sicurezza; d. Corregge le vulnerabilità legittime [Assegnazione: tempi di risposta definiti dall'organizzazione], secondo una valutazione del rischio dell'organizzazione; e. Condivide le informazioni ottenute dal processo di scansione delle vulnerabilità e dalle valutazioni del controllo della sicurezza con [Assegnazione: personale o ruoli definiti dall'organizzazione] per aiutare a eliminare vulnerabilità simili in altri sistemi informativi (ad esempio, criticità o carenze sistemiche). | Amazon ti GuardDuty aiuta a comprendere l'impatto di un incidente classificando i risultati in base alla gravità: bassa, media e alta. Puoi utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola consente di impostare facoltativamente daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) e daysHighSev (Config Default: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione. | |
| SA-3(a) | L'organizzazione: a. Gestisce il sistema informativo utilizzando [Assegnazione: ciclo di vita dello sviluppo del sistema definito dall'organizzazione] che incorpora considerazioni sulla sicurezza delle informazioni. | Assicurati che le credenziali di autenticazione AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY non esistano negli ambienti del progetto Codebuild. AWS Non archiviare queste variabili con testo in chiaro. L'archiviazione di queste variabili con testo in chiaro porta all'esposizione involontaria dei dati e all'accesso non autorizzato. | |
| SA-3(a) | L'organizzazione: a. Gestisce il sistema informativo utilizzando [Assegnazione: ciclo di vita dello sviluppo del sistema definito dall'organizzazione] che incorpora considerazioni sulla sicurezza delle informazioni. | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| SA-3(a) | L'organizzazione: a. Gestisce il sistema informativo utilizzando [Assegnazione: ciclo di vita dello sviluppo del sistema definito dall'organizzazione] che incorpora considerazioni sulla sicurezza delle informazioni. | Assicurati che l' GitHub URL del repository di origine di Bitbucket non contenga token di accesso personali e credenziali di accesso all'interno degli ambienti del progetto Codebuild. AWS Utilizza OAuth anziché i token di accesso personali o le credenziali di accesso per concedere l'autorizzazione all'accesso ai repository Bitbucket. GitHub | |
| SA-10 | L'organizzazione richiede allo sviluppatore del sistema informativo, del componente del sistema o del servizio del sistema informativo di: a. Gestire la configurazione durante [Selezione (una o più): la progettazione; lo sviluppo; l'implementazione; il funzionamento] del sistema, del componente o del servizio; b. Documentare, gestire e controllare l'integrità delle modifiche a [Assegnazione: elementi di configurazione definiti dall'organizzazione nell'ambito della gestione della configurazione]; c. Implementare solo le modifiche al sistema, al componente o al servizio approvate dall'organizzazione; d. Documentare le modifiche al sistema, al componente o al servizio approvate e i potenziali impatti sulla sicurezza di tali modifiche; e. Tieni traccia dei difetti di sicurezza e della risoluzione dei difetti all'interno del sistema, del componente o del servizio e segnala i risultati a [Assegnazione: personale definito dall'organizzazione]. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| SA-10 | L'organizzazione richiede allo sviluppatore del sistema informativo, del componente del sistema o del servizio del sistema informativo di: a. Gestire la configurazione durante [Selezione (una o più): la progettazione; lo sviluppo; l'implementazione; il funzionamento] del sistema, del componente o del servizio; b. Documentare, gestire e controllare l'integrità delle modifiche a [Assegnazione: elementi di configurazione definiti dall'organizzazione nell'ambito della gestione della configurazione]; c. Implementare solo le modifiche al sistema, al componente o al servizio approvate dall'organizzazione; d. Documentare le modifiche al sistema, al componente o al servizio approvate e i potenziali impatti sulla sicurezza di tali modifiche; e. Tieni traccia dei difetti di sicurezza e della risoluzione dei difetti all'interno del sistema, del componente o del servizio e segnala i risultati a [Assegnazione: personale definito dall'organizzazione]. | Amazon ti GuardDuty aiuta a comprendere l'impatto di un incidente classificando i risultati in base alla gravità: bassa, media e alta. Puoi utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola consente di impostare facoltativamente daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) e daysHighSev (Config Default: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione. | |
| SA-10 | L'organizzazione richiede allo sviluppatore del sistema informativo, del componente del sistema o del servizio del sistema informativo di: a. Gestire la configurazione durante [Selezione (una o più): la progettazione; lo sviluppo; l'implementazione; il funzionamento] del sistema, del componente o del servizio; b. Documentare, gestire e controllare l'integrità delle modifiche a [Assegnazione: elementi di configurazione definiti dall'organizzazione nell'ambito della gestione della configurazione]; c. Implementare solo le modifiche al sistema, al componente o al servizio approvate dall'organizzazione; d. Documentare le modifiche al sistema, al componente o al servizio approvate e i potenziali impatti sulla sicurezza di tali modifiche; e. Tieni traccia dei difetti di sicurezza e della risoluzione dei difetti all'interno del sistema, del componente o del servizio e segnala i risultati a [Assegnazione: personale definito dall'organizzazione]. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| SA-10 | L'organizzazione richiede allo sviluppatore del sistema informativo, del componente del sistema o del servizio del sistema informativo di: a. Gestire la configurazione durante [Selezione (una o più): la progettazione; lo sviluppo; l'implementazione; il funzionamento] del sistema, del componente o del servizio; b. Documentare, gestire e controllare l'integrità delle modifiche a [Assegnazione: elementi di configurazione definiti dall'organizzazione nell'ambito della gestione della configurazione]; c. Implementare solo le modifiche al sistema, al componente o al servizio approvate dall'organizzazione; d. Documentare le modifiche al sistema, al componente o al servizio approvate e i potenziali impatti sulla sicurezza di tali modifiche; e. Tieni traccia dei difetti di sicurezza e della risoluzione dei difetti all'interno del sistema, del componente o del servizio e segnala i risultati a [Assegnazione: personale definito dall'organizzazione]. | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| SC-2 | Il sistema informativo separa la funzionalità utente (compresi i servizi di interfaccia utente) dalla funzionalità di gestione del sistema informativo. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base ai permessi associati o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| SC-2 | Il sistema informativo separa la funzionalità utente (compresi i servizi di interfaccia utente) dalla funzionalità di gestione del sistema informativo. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| SC-4 | Il sistema informativo impedisce il trasferimento non autorizzato e non intenzionale di informazioni attraverso le risorse di sistema condivise. | Questa regola garantisce che i volumi Amazon Elastic Block Store collegati a istanze Amazon Elastic Compute Cloud (Amazon EC2) siano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegato viene terminata, potrebbe violare il concetto di funzionalità minima. | |
| SC-5 | Il sistema informativo protegge dai seguenti tipi di attacchi Denial of Service o ne limita gli effetti: [Assegnazione: tipi di attacchi Denial of Service definiti dall'organizzazione o riferimenti alle fonti di tali informazioni] utilizzando [Assegnazione: misure di sicurezza definite dall'organizzazione]. | I controlli dell'integrità Elastic Load Balancer (ELB) per i gruppi con dimensionamento automatico Amazon Elastic Compute Cloud (Amazon EC2) supportano il mantenimento di capacità e disponibilità adeguate. Periodicamente, il sistema di bilanciamento del carico invia ping, effettua tentativi di connessione o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo con dimensionamento automatico. Se un'istanza non risponde, il traffico viene inviato a una nuova istanza Amazon EC2. | |
| SC-5 | Il sistema informativo protegge dai seguenti tipi di attacchi Denial of Service o ne limita gli effetti: [Assegnazione: tipi di attacchi Denial of Service definiti dall'organizzazione o riferimenti alle fonti di tali informazioni] utilizzando [Assegnazione: misure di sicurezza definite dall'organizzazione]. | La scalabilità automatica di Amazon DynamoDB utilizza il servizio Application AWS Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura e scrittura assegnata per gestire improvvisi aumenti di traffico, senza alcuna limitazione (della larghezza di banda della rete). | |
| SC-5 | Il sistema informativo protegge dai seguenti tipi di attacchi Denial of Service o ne limita gli effetti: [Assegnazione: tipi di attacchi Denial of Service definiti dall'organizzazione o riferimenti alle fonti di tali informazioni] utilizzando [Assegnazione: misure di sicurezza definite dall'organizzazione]. | Il supporto multi-AZ in Amazon Relational Database Service (Amazon RDS) offre disponibilità e durabilità avanzate per le istanze database. Quando esegui il provisioning di un'istanza database multi-AZ, Amazon RDS crea automaticamente un'istanza database primaria e replica in modo sincrono i dati in un'istanza standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completato. | |
| SC-5 | Il sistema informativo protegge dai seguenti tipi di attacchi Denial of Service o ne limita gli effetti: [Assegnazione: tipi di attacchi Denial of Service definiti dall'organizzazione o riferimenti alle fonti di tali informazioni] utilizzando [Assegnazione: misure di sicurezza definite dall'organizzazione]. | La replica tra regioni (CRR) di Amazon Simple Storage Service (Amazon S3) supporta il mantenimento di capacità e disponibilità adeguate. La replica tra regioni (CRR) consente la copia asincrona e automatica di oggetti tra bucket Amazon S3 per assicurare il mantenimento della disponibilità dei dati. | |
| SC-5 | Il sistema informativo protegge dai seguenti tipi di attacchi Denial of Service o ne limita gli effetti: [Assegnazione: tipi di attacchi Denial of Service definiti dall'organizzazione o riferimenti alle fonti di tali informazioni] utilizzando [Assegnazione: misure di sicurezza definite dall'organizzazione]. | Abilita il bilanciamento del carico tra zone per gli Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze. | |
| SC-5 | Il sistema informativo protegge dai seguenti tipi di attacchi Denial of Service o ne limita gli effetti: [Assegnazione: tipi di attacchi Denial of Service definiti dall'organizzazione o riferimenti alle fonti di tali informazioni] utilizzando [Assegnazione: misure di sicurezza definite dall'organizzazione]. | Assicurati che per le istanze di Amazon Relational Database Service (Amazon RDS) sia abilitata la protezione da eliminazione. Utilizza la protezione da eliminazione per evitare che le istanze Amazon RDS vengano eliminate accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| SC-7 | Il sistema informativo: a. Monitora e controlla le comunicazioni ai confini esterni e ai principali confini interni del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti interne dell'organizzazione; c. Si connette a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione dei confini disposti secondo un'architettura di sicurezza dell'organizzazione. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| SC-7 | Il sistema informativo: a. Monitora e controlla le comunicazioni ai confini esterni e ai principali confini interni del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti interne dell'organizzazione; c. Si connette a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione dei confini disposti secondo un'architettura di sicurezza dell'organizzazione. | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC-7 | Il sistema informativo: a. Monitora e controlla le comunicazioni ai confini esterni e ai principali confini interni del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti interne dell'organizzazione; c. Si connette a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione dei confini disposti secondo un'architettura di sicurezza dell'organizzazione. | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC-7 | Il sistema informativo: a. Monitora e controlla le comunicazioni ai confini esterni e ai principali confini interni del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti interne dell'organizzazione; c. Si connette a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione dei confini disposti secondo un'architettura di sicurezza dell'organizzazione. | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| SC-7 | Il sistema informativo: a. Monitora e controlla le comunicazioni ai confini esterni e ai principali confini interni del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti interne dell'organizzazione; c. Si connette a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione dei confini disposti secondo un'architettura di sicurezza dell'organizzazione. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC-7 | Il sistema informativo: a. Monitora e controlla le comunicazioni ai confini esterni e ai principali confini interni del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti interne dell'organizzazione; c. Si connette a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione dei confini disposti secondo un'architettura di sicurezza dell'organizzazione. | Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC-7 | Il sistema informativo: a. Monitora e controlla le comunicazioni ai confini esterni e ai principali confini interni del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti interne dell'organizzazione; c. Si connette a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione dei confini disposti secondo un'architettura di sicurezza dell'organizzazione. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sugli ACL Web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| SC-7 | Il sistema informativo: a. Monitora e controlla le comunicazioni ai confini esterni e ai principali confini interni del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti interne dell'organizzazione; c. Si connette a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione dei confini disposti secondo un'architettura di sicurezza dell'organizzazione. | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) in un Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| SC-7 | Il sistema informativo: a. Monitora e controlla le comunicazioni ai confini esterni e ai principali confini interni del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti interne dell'organizzazione; c. Si connette a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione dei confini disposti secondo un'architettura di sicurezza dell'organizzazione. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| SC-7 | Il sistema informativo: a. Monitora e controlla le comunicazioni ai confini esterni e ai principali confini interni del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti interne dell'organizzazione; c. Si connette a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione dei confini disposti secondo un'architettura di sicurezza dell'organizzazione. | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| SC-7 | Il sistema informativo: a. Monitora e controlla le comunicazioni ai confini esterni e ai principali confini interni del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti interne dell'organizzazione; c. Si connette a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione dei confini disposti secondo un'architettura di sicurezza dell'organizzazione. | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| SC-7 | Il sistema informativo: a. Monitora e controlla le comunicazioni ai confini esterni e ai principali confini interni del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti interne dell'organizzazione; c. Si connette a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione dei confini disposti secondo un'architettura di sicurezza dell'organizzazione. | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| SC-7 | Il sistema informativo: a. Monitora e controlla le comunicazioni ai confini esterni e ai principali confini interni del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti interne dell'organizzazione; c. Si connette a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione dei confini disposti secondo un'architettura di sicurezza dell'organizzazione. | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| SC-7 | Il sistema informativo: a. Monitora e controlla le comunicazioni ai confini esterni e ai principali confini interni del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti interne dell'organizzazione; c. Si connette a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione dei confini disposti secondo un'architettura di sicurezza dell'organizzazione. | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| SC-7 | Il sistema informativo: a. Monitora e controlla le comunicazioni ai confini esterni e ai principali confini interni del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti interne dell'organizzazione; c. Si connette a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione dei confini disposti secondo un'architettura di sicurezza dell'organizzazione. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| SC-7 | Il sistema informativo: a. Monitora e controlla le comunicazioni ai confini esterni e ai principali confini interni del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti interne dell'organizzazione; c. Si connette a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione dei confini disposti secondo un'architettura di sicurezza dell'organizzazione. | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Questa configurazione non richiede un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| SC-7 | Il sistema informativo: a. Monitora e controlla le comunicazioni ai confini esterni e ai principali confini interni del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti interne dell'organizzazione; c. Si connette a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione dei confini disposti secondo un'architettura di sicurezza dell'organizzazione. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| SC-7 | Il sistema informativo: a. Monitora e controlla le comunicazioni ai confini esterni e ai principali confini interni del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti interne dell'organizzazione; c. Si connette a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione dei confini disposti secondo un'architettura di sicurezza dell'organizzazione. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| SC-7 | Il sistema informativo: a. Monitora e controlla le comunicazioni ai confini esterni e ai principali confini interni del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti interne dell'organizzazione; c. Si connette a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione dei confini disposti secondo un'architettura di sicurezza dell'organizzazione. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| SC-7 | Il sistema informativo: a. Monitora e controlla le comunicazioni ai confini esterni e ai principali confini interni del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti interne dell'organizzazione; c. Si connette a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione dei confini disposti secondo un'architettura di sicurezza dell'organizzazione. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| SC-7 | Il sistema informativo: a. Monitora e controlla le comunicazioni ai confini esterni e ai principali confini interni del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti interne dell'organizzazione; c. Si connette a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione dei confini disposti secondo un'architettura di sicurezza dell'organizzazione. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| SC-7 | Il sistema informativo: a. Monitora e controlla le comunicazioni ai confini esterni e ai principali confini interni del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti interne dell'organizzazione; c. Si connette a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione dei confini disposti secondo un'architettura di sicurezza dell'organizzazione. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| SC-7 | Il sistema informativo: a. Monitora e controlla le comunicazioni ai confini esterni e ai principali confini interni del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti interne dell'organizzazione; c. Si connette a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione dei confini disposti secondo un'architettura di sicurezza dell'organizzazione. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| SC-7 | Il sistema informativo: a. Monitora e controlla le comunicazioni ai confini esterni e ai principali confini interni del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti interne dell'organizzazione; c. Si connette a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione dei confini disposti secondo un'architettura di sicurezza dell'organizzazione. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| SC-7 | Il sistema informativo: a. Monitora e controlla le comunicazioni ai confini esterni e ai principali confini interni del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti interne dell'organizzazione; c. Si connette a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione dei confini disposti secondo un'architettura di sicurezza dell'organizzazione. | Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. | |
| SC-7 | Il sistema informativo: a. Monitora e controlla le comunicazioni ai confini esterni e ai principali confini interni del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti interne dell'organizzazione; c. Si connette a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione dei confini disposti secondo un'architettura di sicurezza dell'organizzazione. | Gestisci l'accesso al AWS cloud abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 sia limitato dai AWS principali, dagli utenti federati, dai responsabili del servizio, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti. | |
| SC-7 | Il sistema informativo: a. Monitora e controlla le comunicazioni ai confini esterni e ai principali confini interni del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti interne dell'organizzazione; c. Si connette a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione dei confini disposti secondo un'architettura di sicurezza dell'organizzazione. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| SC-7 | Il sistema informativo: a. Monitora e controlla le comunicazioni ai confini esterni e ai principali confini interni del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti interne dell'organizzazione; c. Si connette a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione dei confini disposti secondo un'architettura di sicurezza dell'organizzazione. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni. | |
| SC-7 | Il sistema informativo: a. Monitora e controlla le comunicazioni ai confini esterni e ai principali confini interni del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti interne dell'organizzazione; c. Si connette a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione dei confini disposti secondo un'architettura di sicurezza dell'organizzazione. | Assicurati che i tuoi Elastic Load Balancer (ELB) siano configurati per eliminare le intestazioni http. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC-7 | Il sistema informativo: a. Monitora e controlla le comunicazioni ai confini esterni e ai principali confini interni del sistema; b. Implementa sottoreti per componenti di sistema accessibili pubblicamente che sono [Selezione: fisicamente; logicamente] separati dalle reti interne dell'organizzazione; c. Si connette a reti o sistemi informativi esterni solo tramite interfacce gestite costituite da dispositivi di protezione dei confini disposti secondo un'architettura di sicurezza dell'organizzazione. | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC-7(3) | L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo. | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) in un Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| SC-7(3) | L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| SC-7(3) | L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo. | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| SC-7(3) | L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo. | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| SC-7(3) | L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| SC-7(3) | L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo. | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| SC-7(3) | L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo. | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| SC-7(3) | L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo. | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| SC-7(3) | L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| SC-7(3) | L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo. | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Questa configurazione non richiede un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| SC-7(3) | L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| SC-7(3) | L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| SC-7(3) | L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| SC-7(3) | L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| SC-7(3) | L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| SC-7(3) | L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo. | Gestisci l'accesso al AWS cloud abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 sia limitato dai AWS principali, dagli utenti federati, dai responsabili del servizio, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti. | |
| SC-7(3) | L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| SC-7(3) | L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| SC-7(3) | L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| SC-7(3) | L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| SC-7(3) | L'organizzazione limita il numero di connessioni di rete esterne al sistema informativo. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni. | |
| SC-8 | Il sistema informativo protegge [Selezione (una o più): la riservatezza; l'integrità] delle informazioni trasmesse. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC-8 | Il sistema informativo protegge [Selezione (una o più): la riservatezza; l'integrità] delle informazioni trasmesse. | Assicurati che i tuoi Elastic Load Balancer (ELB) siano configurati per eliminare le intestazioni http. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC-8 | Il sistema informativo protegge [Selezione (una o più): la riservatezza; l'integrità] delle informazioni trasmesse. | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC-8 | Il sistema informativo protegge [Selezione (una o più): la riservatezza; l'integrità] delle informazioni trasmesse. | Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC-8 | Il sistema informativo protegge [Selezione (una o più): la riservatezza; l'integrità] delle informazioni trasmesse. | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC-8 | Il sistema informativo protegge [Selezione (una o più): la riservatezza; l'integrità] delle informazioni trasmesse. | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC-8 | Il sistema informativo protegge [Selezione (una o più): la riservatezza; l'integrità] delle informazioni trasmesse. | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| SC-8(1) | Il sistema informativo implementa meccanismi crittografici per [Selezione (una o più): impedire la divulgazione non autorizzata di informazioni; rilevare le modifiche alle informazioni] durante la trasmissione, a meno che non sia diversamente protetto da [Assegnazione: protezioni fisiche alternative definite dall'organizzazione]. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC-8(1) | Il sistema informativo implementa meccanismi crittografici per [Selezione (una o più): impedire la divulgazione non autorizzata di informazioni; rilevare le modifiche alle informazioni] durante la trasmissione, a meno che non sia diversamente protetto da [Assegnazione: protezioni fisiche alternative definite dall'organizzazione]. | Assicurati che i tuoi Elastic Load Balancer (ELB) siano configurati per eliminare le intestazioni http. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC-8(1) | Il sistema informativo implementa meccanismi crittografici per [Selezione (una o più): impedire la divulgazione non autorizzata di informazioni; rilevare le modifiche alle informazioni] durante la trasmissione, a meno che non sia diversamente protetto da [Assegnazione: protezioni fisiche alternative definite dall'organizzazione]. | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC-8(1) | Il sistema informativo implementa meccanismi crittografici per [Selezione (una o più): impedire la divulgazione non autorizzata di informazioni; rilevare le modifiche alle informazioni] durante la trasmissione, a meno che non sia diversamente protetto da [Assegnazione: protezioni fisiche alternative definite dall'organizzazione]. | Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC-8(1) | Il sistema informativo implementa meccanismi crittografici per [Selezione (una o più): impedire la divulgazione non autorizzata di informazioni; rilevare le modifiche alle informazioni] durante la trasmissione, a meno che non sia diversamente protetto da [Assegnazione: protezioni fisiche alternative definite dall'organizzazione]. | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC-8(1) | Il sistema informativo implementa meccanismi crittografici per [Selezione (una o più): impedire la divulgazione non autorizzata di informazioni; rilevare le modifiche alle informazioni] durante la trasmissione, a meno che non sia diversamente protetto da [Assegnazione: protezioni fisiche alternative definite dall'organizzazione]. | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC-8(1) | Il sistema informativo implementa meccanismi crittografici per [Selezione (una o più): impedire la divulgazione non autorizzata di informazioni; rilevare le modifiche alle informazioni] durante la trasmissione, a meno che non sia diversamente protetto da [Assegnazione: protezioni fisiche alternative definite dall'organizzazione]. | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| SC-12 | L'organizzazione stabilisce e gestisce le chiavi crittografiche per la crittografia richiesta impiegata all'interno del sistema informativo in conformità a [Assegnazione: requisiti definiti dall'organizzazione per la generazione, la distribuzione, l'archiviazione e la distruzione delle chiavi e l'accesso alle stesse]. | Abilita la rotazione delle chiavi per garantire che vengano ruotate una volta terminato il loro periodo di crittografia. | |
| SC-12 | L'organizzazione stabilisce e gestisce le chiavi crittografiche per la crittografia richiesta impiegata all'interno del sistema informativo in conformità a [Assegnazione: requisiti definiti dall'organizzazione per la generazione, la distribuzione, l'archiviazione e la distruzione delle chiavi e l'accesso alle stesse]. | Garantisci la protezione dell'integrità della rete assicurando che i certificati X509 vengano emessi da ACM. AWS Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore per daysToExpiration (valore AWS Foundational Security Best Practices: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| SC-12 | L'organizzazione stabilisce e gestisce le chiavi crittografiche per la crittografia richiesta impiegata all'interno del sistema informativo in conformità a [Assegnazione: requisiti definiti dall'organizzazione per la generazione, la distribuzione, l'archiviazione e la distruzione delle chiavi e l'accesso alle stesse]. | Per proteggere i dati archiviati, assicurati che non sia pianificata l'eliminazione delle chiavi master del cliente (CMK) necessarie nel AWS Key Management Service (KMS).AWS Poiché a volte l'eliminazione delle chiavi è necessaria, questa regola può aiutare a verificare tutte le chiavi per le quali è pianificata l'eliminazione, nel caso in cui una chiave sia stata pianificata in modo non intenzionale. | |
| SC-13 | Il sistema informativo implementa [Assegnazione: usi crittografici definiti dall'organizzazione e tipo di crittografia richiesta per ciascun utilizzo] in conformità alle leggi federali applicabili, agli ordini esecutivi, alle direttive, alle policy, ai regolamenti e agli standard. | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| SC-13 | Il sistema informativo implementa [Assegnazione: usi crittografici definiti dall'organizzazione e tipo di crittografia richiesta per ciascun utilizzo] in conformità alle leggi federali applicabili, agli ordini esecutivi, alle direttive, alle policy, ai regolamenti e agli standard. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC-13 | Il sistema informativo implementa [Assegnazione: usi crittografici definiti dall'organizzazione e tipo di crittografia richiesta per ciascun utilizzo] in conformità alle leggi federali applicabili, agli ordini esecutivi, alle direttive, alle policy, ai regolamenti e agli standard. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per la cache della fase Gateway API. Per proteggere i dati sensibili che possono essere acquisiti per il metodo API, è necessario attivare la crittografia a riposo. | |
| SC-13 | Il sistema informativo implementa [Assegnazione: usi crittografici definiti dall'organizzazione e tipo di crittografia richiesta per ciascun utilizzo] in conformità alle leggi federali applicabili, agli ordini esecutivi, alle direttive, alle policy, ai regolamenti e agli standard. | Poiché possono esistere dati sensibili e per contribuire a proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CloudTrail percorsi. | |
| SC-13 | Il sistema informativo implementa [Assegnazione: usi crittografici definiti dall'organizzazione e tipo di crittografia richiesta per ciascun utilizzo] in conformità alle leggi federali applicabili, agli ordini esecutivi, alle direttive, alle policy, ai regolamenti e agli standard. | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi Amazon CloudWatch Log Groups. | |
| SC-13 | Il sistema informativo implementa [Assegnazione: usi crittografici definiti dall'organizzazione e tipo di crittografia richiesta per ciascun utilizzo] in conformità alle leggi federali applicabili, agli ordini esecutivi, alle direttive, alle policy, ai regolamenti e agli standard. | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| SC-13 | Il sistema informativo implementa [Assegnazione: usi crittografici definiti dall'organizzazione e tipo di crittografia richiesta per ciascun utilizzo] in conformità alle leggi federali applicabili, agli ordini esecutivi, alle direttive, alle policy, ai regolamenti e agli standard. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch OpenSearch Service (Service). | |
| SC-13 | Il sistema informativo implementa [Assegnazione: usi crittografici definiti dall'organizzazione e tipo di crittografia richiesta per ciascun utilizzo] in conformità alle leggi federali applicabili, agli ordini esecutivi, alle direttive, alle policy, ai regolamenti e agli standard. | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). | |
| SC-13 | Il sistema informativo implementa [Assegnazione: usi crittografici definiti dall'organizzazione e tipo di crittografia richiesta per ciascun utilizzo] in conformità alle leggi federali applicabili, agli ordini esecutivi, alle direttive, alle policy, ai regolamenti e agli standard. | Per aiutare a proteggere i dati a riposo, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo nelle istanze Amazon RDS, abilita la crittografia a riposo per proteggere tali dati. | |
| SC-13 | Il sistema informativo implementa [Assegnazione: usi crittografici definiti dall'organizzazione e tipo di crittografia richiesta per ciascun utilizzo] in conformità alle leggi federali applicabili, agli ordini esecutivi, alle direttive, alle policy, ai regolamenti e agli standard. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| SC-13 | Il sistema informativo implementa [Assegnazione: usi crittografici definiti dall'organizzazione e tipo di crittografia richiesta per ciascun utilizzo] in conformità alle leggi federali applicabili, agli ordini esecutivi, alle direttive, alle policy, ai regolamenti e agli standard. | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC-13 | Il sistema informativo implementa [Assegnazione: usi crittografici definiti dall'organizzazione e tipo di crittografia richiesta per ciascun utilizzo] in conformità alle leggi federali applicabili, agli ordini esecutivi, alle direttive, alle policy, ai regolamenti e agli standard. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| SC-13 | Il sistema informativo implementa [Assegnazione: usi crittografici definiti dall'organizzazione e tipo di crittografia richiesta per ciascun utilizzo] in conformità alle leggi federali applicabili, agli ordini esecutivi, alle direttive, alle policy, ai regolamenti e agli standard. | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC-13 | Il sistema informativo implementa [Assegnazione: usi crittografici definiti dall'organizzazione e tipo di crittografia richiesta per ciascun utilizzo] in conformità alle leggi federali applicabili, agli ordini esecutivi, alle direttive, alle policy, ai regolamenti e agli standard. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia a riposo per proteggere tali dati. | |
| SC-13 | Il sistema informativo implementa [Assegnazione: usi crittografici definiti dall'organizzazione e tipo di crittografia richiesta per ciascun utilizzo] in conformità alle leggi federali applicabili, agli ordini esecutivi, alle direttive, alle policy, ai regolamenti e agli standard. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo notebook. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| SC-13 | Il sistema informativo implementa [Assegnazione: usi crittografici definiti dall'organizzazione e tipo di crittografia richiesta per ciascun utilizzo] in conformità alle leggi federali applicabili, agli ordini esecutivi, alle direttive, alle policy, ai regolamenti e agli standard. | Per proteggere i dati archiviati, assicurati che gli argomenti di Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia AWS tramite Key Management Service AWS (KMS). Data la possibile presenza di dati sensibili a riposo nei messaggi pubblicati, abilita la crittografia a riposo per proteggere tali dati. | |
| SC-13 | Il sistema informativo implementa la crittografia convalidata da FIPS o approvata da NSA in conformità alle leggi federali applicabili, agli ordini esecutivi, alle direttive, alle policy, ai regolamenti e agli standard. | Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Data la possibile presenza di dati sensibili a riposo in queste tabelle, abilita la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con AWS una chiave master del cliente (CMK) di proprietà. | |
| SC-23 | Il sistema informativo protegge l'autenticità delle sessioni di comunicazione. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC-23 | Il sistema informativo protegge l'autenticità delle sessioni di comunicazione. | Assicurati che i tuoi Elastic Load Balancer (ELB) siano configurati per eliminare le intestazioni http. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC-23 | Il sistema informativo protegge l'autenticità delle sessioni di comunicazione. | Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC-28 | Il sistema informativo protegge [Selezione (una o più): la riservatezza; l'integrità] di [Assegnazione: informazioni a riposo definite dall'organizzazione]. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per la cache della fase Gateway API. Per proteggere i dati sensibili che possono essere acquisiti per il metodo API, è necessario attivare la crittografia a riposo. | |
| SC-28 | Il sistema informativo protegge [Selezione (una o più): la riservatezza; l'integrità] di [Assegnazione: informazioni a riposo definite dall'organizzazione]. | Poiché possono esistere dati sensibili e per contribuire a proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CloudTrail percorsi. | |
| SC-28 | Il sistema informativo protegge [Selezione (una o più): la riservatezza; l'integrità] di [Assegnazione: informazioni a riposo definite dall'organizzazione]. | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi Amazon CloudWatch Log Groups. | |
| SC-28 | Il sistema informativo protegge [Selezione (una o più): la riservatezza; l'integrità] di [Assegnazione: informazioni a riposo definite dall'organizzazione]. | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| SC-28 | Il sistema informativo protegge [Selezione (una o più): la riservatezza; l'integrità] di [Assegnazione: informazioni a riposo definite dall'organizzazione]. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch OpenSearch Service (Service). | |
| SC-28 | Il sistema informativo protegge [Selezione (una o più): la riservatezza; l'integrità] di [Assegnazione: informazioni a riposo definite dall'organizzazione]. | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). | |
| SC-28 | Il sistema informativo protegge [Selezione (una o più): la riservatezza; l'integrità] di [Assegnazione: informazioni a riposo definite dall'organizzazione]. | Per proteggere i dati archiviati, assicurati che non sia pianificata l'eliminazione delle chiavi master del cliente (CMK) necessarie nel AWS Key Management Service (KMS).AWS Poiché a volte l'eliminazione delle chiavi è necessaria, questa regola può aiutare a verificare tutte le chiavi per le quali è pianificata l'eliminazione, nel caso in cui una chiave sia stata pianificata in modo non intenzionale. | |
| SC-28 | Il sistema informativo protegge [Selezione (una o più): la riservatezza; l'integrità] di [Assegnazione: informazioni a riposo definite dall'organizzazione]. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| SC-28 | Il sistema informativo protegge [Selezione (una o più): la riservatezza; l'integrità] di [Assegnazione: informazioni a riposo definite dall'organizzazione]. | Assicurati che il blocco sia abilitato, per impostazione predefinita, per il bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket S3, applica i blocchi degli oggetti a riposo per proteggere tali dati. | |
| SC-28 | Il sistema informativo protegge [Selezione (una o più): la riservatezza; l'integrità] di [Assegnazione: informazioni a riposo definite dall'organizzazione]. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| SC-28 | Il sistema informativo protegge [Selezione (una o più): la riservatezza; l'integrità] di [Assegnazione: informazioni a riposo definite dall'organizzazione]. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia a riposo per proteggere tali dati. | |
| SC-28 | Il sistema informativo protegge [Selezione (una o più): la riservatezza; l'integrità] di [Assegnazione: informazioni a riposo definite dall'organizzazione]. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo notebook. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| SC-28 | Il sistema informativo protegge [Selezione (una o più): la riservatezza; l'integrità] di [Assegnazione: informazioni a riposo definite dall'organizzazione]. | Per proteggere i dati archiviati, assicurati che gli argomenti di Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia AWS tramite Key Management Service AWS (KMS). Data la possibile presenza di dati sensibili a riposo nei messaggi pubblicati, abilita la crittografia a riposo per proteggere tali dati. | |
| SC-28 | Il sistema informativo protegge [Selezione (una o più): la riservatezza; l'integrità] di [Assegnazione: informazioni a riposo definite dall'organizzazione]. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| SC-28 | Il sistema informativo protegge [Selezione (una o più): la riservatezza; l'integrità] di [Assegnazione: informazioni a riposo definite dall'organizzazione]. | Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| SC-28 | Il sistema informativo protegge [Selezione (una o più): la riservatezza; l'integrità] di [Assegnazione: informazioni a riposo definite dall'organizzazione]. | Per aiutare a proteggere i dati a riposo, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo nelle istanze Amazon RDS, abilita la crittografia a riposo per proteggere tali dati. | |
| SC-36 | L'organizzazione distribuisce [Assegnazione: elaborazione e archiviazione definiti dall'organizzazione] tra più posizioni fisiche. | Il supporto multi-AZ in Amazon Relational Database Service (Amazon RDS) offre disponibilità e durabilità avanzate per le istanze database. Quando esegui il provisioning di un'istanza database multi-AZ, Amazon RDS crea automaticamente un'istanza database primaria e replica in modo sincrono i dati in un'istanza standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completato. | |
| SC-36 | L'organizzazione distribuisce [Assegnazione: elaborazione e archiviazione definiti dall'organizzazione] tra più posizioni fisiche. | La replica tra regioni (CRR) di Amazon Simple Storage Service (Amazon S3) supporta il mantenimento di capacità e disponibilità adeguate. La replica tra regioni (CRR) consente la copia asincrona e automatica di oggetti tra bucket Amazon S3 per assicurare il mantenimento della disponibilità dei dati. | |
| SI-2(2) | L'organizzazione utilizza meccanismi automatizzati [Assegnazione: frequenza definita dall'organizzazione] per determinare lo stato dei componenti del sistema informativo per quanto riguarda la correzione dei difetti. | L'abilitazione di questa regola facilita l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| SI-2(2) | L'organizzazione utilizza meccanismi automatizzati [Assegnazione: frequenza definita dall'organizzazione] per determinare lo stato dei componenti del sistema informativo per quanto riguarda la correzione dei difetti. | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| SI-2(2) | L'organizzazione utilizza meccanismi automatizzati [Assegnazione: frequenza definita dall'organizzazione] per determinare lo stato dei componenti del sistema informativo per quanto riguarda la correzione dei difetti. | ec2- -controlla managedinstance-association-compliance-status |
Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee guida per livelli di patch del sistema operativo, installazioni software, configurazioni delle applicazioni e altri dettagli sull'ambiente. |
| SI-4(1) | L'organizzazione collega e configura i singoli strumenti di rilevamento delle intrusioni in un sistema di rilevamento delle intrusioni a livello di sistema informativo. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| SI-4(2) | L'organizzazione utilizza strumenti automatizzati per supportare l'analisi quasi in tempo reale degli eventi. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| SI-4(2) | L'organizzazione utilizza strumenti automatizzati per supportare l'analisi quasi in tempo reale degli eventi. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| SI-4(2) | L'organizzazione utilizza strumenti automatizzati per supportare l'analisi quasi in tempo reale degli eventi. | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| SI-4(2) | L'organizzazione utilizza strumenti automatizzati per supportare l'analisi quasi in tempo reale degli eventi. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| SI-4(2) | L'organizzazione utilizza strumenti automatizzati per supportare l'analisi quasi in tempo reale degli eventi. | Abilita questa regola per migliorare il monitoraggio delle istanze Amazon Elastic Compute Cloud (Amazon EC2) sulla console Amazon EC2, che visualizza grafici di monitoraggio relativi all'istanza a intervalli di 1 minuto. | |
| SI-4(4) | Il sistema informativo monitora il traffico di comunicazioni in entrata e in uscita [Assegnazione: frequenza definita dall'organizzazione] per attività o condizioni insolite o non autorizzate. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| SI-4(4) | Il sistema informativo monitora il traffico di comunicazioni in entrata e in uscita [Assegnazione: frequenza definita dall'organizzazione] per attività o condizioni insolite o non autorizzate. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| SI-4(4) | Il sistema informativo monitora il traffico di comunicazioni in entrata e in uscita [Assegnazione: frequenza definita dall'organizzazione] per attività o condizioni insolite o non autorizzate. | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| SI-4(4) | Il sistema informativo monitora il traffico di comunicazioni in entrata e in uscita [Assegnazione: frequenza definita dall'organizzazione] per attività o condizioni insolite o non autorizzate. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| SI-4(5) | Il sistema informativo avvisa [Assegnazione: personale o ruoli definiti dall'organizzazione] quando si presentano le seguenti indicazioni di compromissione o potenziale compromissione: [Assegnazione: indicatori di compromissione definiti dall'organizzazione]. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| SI-4(5) | Il sistema informativo avvisa [Assegnazione: personale o ruoli definiti dall'organizzazione] quando si presentano le seguenti indicazioni di compromissione o potenziale compromissione: [Assegnazione: indicatori di compromissione definiti dall'organizzazione]. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| SI-4(5) | Il sistema informativo avvisa [Assegnazione: personale o ruoli definiti dall'organizzazione] quando si presentano le seguenti indicazioni di compromissione o potenziale compromissione: [Assegnazione: indicatori di compromissione definiti dall'organizzazione]. | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| SI-4(5) | Il sistema informativo avvisa [Assegnazione: personale o ruoli definiti dall'organizzazione] quando si presentano le seguenti indicazioni di compromissione o potenziale compromissione: [Assegnazione: indicatori di compromissione definiti dall'organizzazione]. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| SI-4(16) | L'organizzazione mette in correlazione le informazioni provenienti dagli strumenti di monitoraggio utilizzati in tutto il sistema informativo. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| SI-4(16) | L'organizzazione mette in correlazione le informazioni provenienti dagli strumenti di monitoraggio utilizzati in tutto il sistema informativo. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| SI-4(a)(b)(c) | L'organizzazione: a. Monitora il sistema informativo per rilevare: 1. Attacchi e indicatori di potenziali attacchi in conformità a [Assegnazione: obiettivi di monitoraggio definiti dall'organizzazione]; 2. Connessioni locali, di rete e remote non autorizzate; b. Identifica l'uso non autorizzato del sistema informativo attraverso [Assegnazione: tecniche e metodi definiti dall'organizzazione]; c. Implementa dispositivi di monitoraggio: i. in modo strategico all'interno del sistema informativo per raccogliere informazioni essenziali stabilite dall'organizzazione e (ii) in posizioni ad hoc all'interno del sistema per tracciare tipi specifici di transazioni di interesse per l'organizzazione. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| SI-4(a)(b)(c) | L'organizzazione: a. Monitora il sistema informativo per rilevare: 1. Attacchi e indicatori di potenziali attacchi in conformità a [Assegnazione: obiettivi di monitoraggio definiti dall'organizzazione]; 2. Connessioni locali, di rete e remote non autorizzate; b. Identifica l'uso non autorizzato del sistema informativo attraverso [Assegnazione: tecniche e metodi definiti dall'organizzazione]; c. Implementa dispositivi di monitoraggio: i. in modo strategico all'interno del sistema informativo per raccogliere informazioni essenziali stabilite dall'organizzazione e (ii) in posizioni ad hoc all'interno del sistema per tracciare tipi specifici di transazioni di interesse per l'organizzazione. | Amazon ti GuardDuty aiuta a comprendere l'impatto di un incidente classificando i risultati in base alla gravità: bassa, media e alta. Puoi utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola consente di impostare facoltativamente daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) e daysHighSev (Config Default: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione. | |
| SI-4(a)(b)(c) | L'organizzazione: a. Monitora il sistema informativo per rilevare: 1. Attacchi e indicatori di potenziali attacchi in conformità a [Assegnazione: obiettivi di monitoraggio definiti dall'organizzazione]; 2. Connessioni locali, di rete e remote non autorizzate; b. Identifica l'uso non autorizzato del sistema informativo attraverso [Assegnazione: tecniche e metodi definiti dall'organizzazione]; c. Implementa dispositivi di monitoraggio: i. in modo strategico all'interno del sistema informativo per raccogliere informazioni essenziali stabilite dall'organizzazione e (ii) in posizioni ad hoc all'interno del sistema per tracciare tipi specifici di transazioni di interesse per l'organizzazione. | Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. | |
| SI-4(a)(b)(c) | L'organizzazione: a. Monitora il sistema informativo per rilevare: 1. Attacchi e indicatori di potenziali attacchi in conformità a [Assegnazione: obiettivi di monitoraggio definiti dall'organizzazione]; 2. Connessioni locali, di rete e remote non autorizzate; b. Identifica l'uso non autorizzato del sistema informativo attraverso [Assegnazione: tecniche e metodi definiti dall'organizzazione]; c. Implementa dispositivi di monitoraggio: i. in modo strategico all'interno del sistema informativo per raccogliere informazioni essenziali stabilite dall'organizzazione e (ii) in posizioni ad hoc all'interno del sistema per tracciare tipi specifici di transazioni di interesse per l'organizzazione. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) su ACL Web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| SI-4(a)(b)(c) | L'organizzazione: a. Monitora il sistema informativo per rilevare: 1. Attacchi e indicatori di potenziali attacchi in conformità a [Assegnazione: obiettivi di monitoraggio definiti dall'organizzazione]; 2. Connessioni locali, di rete e remote non autorizzate; b. Identifica l'uso non autorizzato del sistema informativo attraverso [Assegnazione: tecniche e metodi definiti dall'organizzazione]; c. Implementa dispositivi di monitoraggio: i. in modo strategico all'interno del sistema informativo per raccogliere informazioni essenziali stabilite dall'organizzazione e (ii) in posizioni ad hoc all'interno del sistema per tracciare tipi specifici di transazioni di interesse per l'organizzazione. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| SI-4(a)(b)(c) | L'organizzazione: a. Monitora il sistema informativo per rilevare: 1. Attacchi e indicatori di potenziali attacchi in conformità a [Assegnazione: obiettivi di monitoraggio definiti dall'organizzazione]; 2. Connessioni locali, di rete e remote non autorizzate; b. Identifica l'uso non autorizzato del sistema informativo attraverso [Assegnazione: tecniche e metodi definiti dall'organizzazione]; c. Implementa dispositivi di monitoraggio: i. in modo strategico all'interno del sistema informativo per raccogliere informazioni essenziali stabilite dall'organizzazione e (ii) in posizioni ad hoc all'interno del sistema per tracciare tipi specifici di transazioni di interesse per l'organizzazione. | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| SI-4(a)(b)(c) | L'organizzazione: a. Monitora il sistema informativo per rilevare: 1. Attacchi e indicatori di potenziali attacchi in conformità a [Assegnazione: obiettivi di monitoraggio definiti dall'organizzazione]; 2. Connessioni locali, di rete e remote non autorizzate; b. Identifica l'uso non autorizzato del sistema informativo attraverso [Assegnazione: tecniche e metodi definiti dall'organizzazione]; c. Implementa dispositivi di monitoraggio: i. in modo strategico all'interno del sistema informativo per raccogliere informazioni essenziali stabilite dall'organizzazione e (ii) in posizioni ad hoc all'interno del sistema per tracciare tipi specifici di transazioni di interesse per l'organizzazione. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| SI-4(a)(b)(c) | L'organizzazione: a. Monitora il sistema informativo per rilevare: 1. Attacchi e indicatori di potenziali attacchi in conformità a [Assegnazione: obiettivi di monitoraggio definiti dall'organizzazione]; 2. Connessioni locali, di rete e remote non autorizzate; b. Identifica l'uso non autorizzato del sistema informativo attraverso [Assegnazione: tecniche e metodi definiti dall'organizzazione]; c. Implementa dispositivi di monitoraggio: i. in modo strategico all'interno del sistema informativo per raccogliere informazioni essenziali stabilite dall'organizzazione e (ii) in posizioni ad hoc all'interno del sistema per tracciare tipi specifici di transazioni di interesse per l'organizzazione. | Abilita questa regola per migliorare il monitoraggio delle istanze Amazon Elastic Compute Cloud (Amazon EC2) sulla console Amazon EC2, che visualizza grafici di monitoraggio relativi all'istanza a intervalli di 1 minuto. | |
| SI-7 | L'organizzazione utilizza strumenti di verifica dell'integrità per rilevare modifiche non autorizzate a [Assegnazione: software, firmware e informazioni definiti dall'organizzazione]. | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei log. CloudTrail La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| SI-7(1) | Il sistema informativo esegue un controllo di integrità su [Assegnazione: software, firmware e informazioni definiti dall'organizzazione] [Selezione (una o più): all'avvio; [Assegnazione: nelle fasi di transizione definite dall'organizzazione o in caso di eventi rilevanti per la sicurezza]; [Assegnazione: frequenza definita dall'organizzazione]]. | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| SI-7(1) | Il sistema informativo esegue un controllo di integrità su [Assegnazione: software, firmware e informazioni definiti dall'organizzazione] [Selezione (una o più): all'avvio; [Assegnazione: nelle fasi di transizione definite dall'organizzazione o in caso di eventi rilevanti per la sicurezza]; [Assegnazione: frequenza definita dall'organizzazione]]. | L'abilitazione di questa regola facilita l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| SI-7(1) | Il sistema informativo esegue un controllo di integrità su [Assegnazione: software, firmware e informazioni definiti dall'organizzazione] [Selezione (una o più): all'avvio; [Assegnazione: nelle fasi di transizione definite dall'organizzazione o in caso di eventi rilevanti per la sicurezza]; [Assegnazione: frequenza definita dall'organizzazione]]. | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei log. CloudTrail La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| SI-12 | L'organizzazione gestisce e mantiene le informazioni all'interno del sistema e le informazioni in uscita dal sistema in conformità alle leggi, agli ordini esecutivi, alle direttive, ai regolamenti, alle policy, agli standard, alle linee guida e ai requisiti operativi applicabili. | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti. | |
| SI-12 | L'organizzazione gestisce e mantiene le informazioni all'interno del sistema e le informazioni in uscita dal sistema in conformità alle leggi, agli ordini esecutivi, alle direttive, ai regolamenti, alle policy, agli standard, alle linee guida e ai requisiti operativi applicabili. | La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot di archiviazione del volume dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| SI-12 | L'organizzazione gestisce e mantiene le informazioni all'interno del sistema e le informazioni in uscita dal sistema in conformità alle leggi, agli ordini esecutivi, alle direttive, ai regolamenti, alle policy, agli standard, alle linee guida e ai requisiti operativi applicabili. | Abilita questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella degli ultimi 35 giorni. | |
| SI-12 | L'organizzazione gestisce e mantiene le informazioni all'interno del sistema e le informazioni in uscita dal sistema in conformità alle leggi, agli ordini esecutivi, alle direttive, ai regolamenti, alle policy, agli standard, alle linee guida e ai requisiti operativi applicabili. | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere mantenuto per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
| SI-12 | L'organizzazione gestisce e mantiene le informazioni all'interno del sistema e le informazioni in uscita dal sistema in conformità alle leggi, agli ordini esecutivi, alle direttive, ai regolamenti, alle policy, agli standard, alle linee guida e ai requisiti operativi applicabili. | Per facilitare i processi di backup dei dati, assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| SI-12 | L'organizzazione gestisce e mantiene le informazioni all'interno del sistema e le informazioni in uscita dal sistema in conformità alle leggi, agli ordini esecutivi, alle direttive, ai regolamenti, alle policy, agli standard, alle linee guida e ai requisiti operativi applicabili. | Per facilitare i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| SI-12 | L'organizzazione gestisce e mantiene le informazioni all'interno del sistema e le informazioni in uscita dal sistema in conformità alle leggi, agli ordini esecutivi, alle direttive, ai regolamenti, alle policy, agli standard, alle linee guida e ai requisiti operativi applicabili. | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| SI-12 | L'organizzazione gestisce e mantiene le informazioni all'interno del sistema e le informazioni in uscita dal sistema in conformità alle leggi, agli ordini esecutivi, alle direttive, ai regolamenti, alle policy, agli standard, alle linee guida e ai requisiti operativi applicabili. | Per facilitare i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| SI-12 | L'organizzazione gestisce e mantiene le informazioni all'interno del sistema e le informazioni in uscita dal sistema in conformità alle leggi, agli ordini esecutivi, alle direttive, ai regolamenti, alle policy, agli standard, alle linee guida e ai requisiti operativi applicabili. | Assicurati che i dati dei log degli eventi vengano mantenuti per una durata minima per i gruppi di log in modo da agevolare la risoluzione dei problemi e le indagini forensi. La mancata disponibilità dei dati dei log degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. |
Modello
Il modello è disponibile su GitHub: Operational Best Practices for NIST 800-53
