Best practice operative per NIST 800 172 - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice operative per NIST 800 172

I pacchetti di conformità forniscono un framework di conformità generico progettato per consentire di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando gestiti o personalizzatiAWS Configregole eAWS Configazioni di risanamento. I Conformance Pack, come modelli di esempio, non sono progettati per garantire la piena conformità a uno standard di governance o conformità specifici. L'utente è responsabile di valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.

Di seguito viene fornito un esempio di mappatura tra il NIST 800-172 eAWSRegole Config gestite. Ogni regola di Config si applica a uno specificoAWSrisorsa e si riferisce a uno o più controlli NIST 800-172. Un controllo NIST 800-172 può essere correlato a più regole di Config. Fare riferimento alla tabella sottostante per ulteriori dettagli e indicazioni relative a queste mappature.

Regione AWS:Tutto supportatoRegioni AWStranne Medio Oriente (Bahrain)

ID controllo Descrizione del controllo Regola AWS Config Linee guida di
3.1.3e Utilizzare [Assegnazione: soluzioni di trasferimento sicuro delle informazioni definite dall'organizzazione] per controllare i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

alb-http-drop-invalid-header-enabled

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati per eliminare le intestazioni http. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
3.1.3e Utilizzare [Assegnazione: soluzioni di trasferimento sicuro delle informazioni definite dall'organizzazione] per controllare i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
3.1.3e Utilizzare [Assegnazione: soluzioni di trasferimento sicuro delle informazioni definite dall'organizzazione] per controllare i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
3.1.3e Utilizzare [Assegnazione: soluzioni di trasferimento sicuro delle informazioni definite dall'organizzazione] per controllare i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantirenode-to-nodecrittografia per AmazonOpenSearchIl servizio è abilitato. Node-to-nodeLa crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
3.1.3e Utilizzare [Assegnazione: soluzioni di trasferimento sicuro delle informazioni definite dall'organizzazione] per controllare i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
3.1.3e Utilizzare [Assegnazione: soluzioni di trasferimento sicuro delle informazioni definite dall'organizzazione] per controllare i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
3.1.3e Utilizzare [Assegnazione: soluzioni di trasferimento sicuro delle informazioni definite dall'organizzazione] per controllare i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

redshift-require-tls-ssl

Verifica che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi a client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
3.1.3e Utilizzare [Assegnazione: soluzioni di trasferimento sicuro delle informazioni definite dall'organizzazione] per controllare i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

s3-bucket-ssl-requests-only

Per proteggere i dati durante il transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste per utilizzare Secure Socket Layer (SSL). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
3.1.3e Utilizzare [Assegnazione: soluzioni di trasferimento sicuro delle informazioni definite dall'organizzazione] per controllare i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
3.1.3e Utilizzare [Assegnazione: soluzioni di trasferimento sicuro delle informazioni definite dall'organizzazione] per controllare i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
3.1.3e Utilizzare [Assegnazione: soluzioni di trasferimento sicuro delle informazioni definite dall'organizzazione] per controllare i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
3.1.3e Utilizzare [Assegnazione: soluzioni di trasferimento sicuro delle informazioni definite dall'organizzazione] per controllare i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
3.1.3e Utilizzare [Assegnazione: soluzioni di trasferimento sicuro delle informazioni definite dall'organizzazione] per controllare i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS garantendo l'accesso pubblico alle istanze Amazon Elastic Compute Cloud (Amazon EC2). Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
3.1.3e Utilizzare [Assegnazione: soluzioni di trasferimento sicuro delle informazioni definite dall'organizzazione] per controllare i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchservizio (OpenSearchI domini Service sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
3.1.3e Utilizzare [Assegnazione: soluzioni di trasferimento sicuro delle informazioni definite dall'organizzazione] per controllare i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
3.1.3e Utilizzare [Assegnazione: soluzioni di trasferimento sicuro delle informazioni definite dall'organizzazione] per controllare i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

ec2-instances-in-vpc

Distribuisci istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi nell'Amazon VPC, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
3.1.3e Utilizzare [Assegnazione: soluzioni di trasferimento sicuro delle informazioni definite dall'organizzazione] per controllare i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
3.1.3e Utilizzare [Assegnazione: soluzioni di trasferimento sicuro delle informazioni definite dall'organizzazione] per controllare i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

lambda-inside-vpc

Distribuisci le funzioni AWS Lambda all'interno di Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi nell'Amazon VPC. Con questa configurazione, non è necessario disporre di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
3.1.3e Utilizzare [Assegnazione: soluzioni di trasferimento sicuro delle informazioni definite dall'organizzazione] per controllare i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
3.1.3e Utilizzare [Assegnazione: soluzioni di trasferimento sicuro delle informazioni definite dall'organizzazione] per controllare i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
3.1.3e Utilizzare [Assegnazione: soluzioni di trasferimento sicuro delle informazioni definite dall'organizzazione] per controllare i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
3.1.3e Utilizzare [Assegnazione: soluzioni di trasferimento sicuro delle informazioni definite dall'organizzazione] per controllare i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
3.1.3e Utilizzare [Assegnazione: soluzioni di trasferimento sicuro delle informazioni definite dall'organizzazione] per controllare i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS garantendo la limitazione delle porte comuni nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
3.1.3e Utilizzare [Assegnazione: soluzioni di trasferimento sicuro delle informazioni definite dall'organizzazione] per controllare i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS garantendo l'accesso pubblico ai bucket Amazon Simple Storage Service (Amazon S3). Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
3.1.3e Utilizzare [Assegnazione: soluzioni di trasferimento sicuro delle informazioni definite dall'organizzazione] per controllare i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non consentire l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto.
3.1.3e Utilizzare [Assegnazione: soluzioni di trasferimento sicuro delle informazioni definite dall'organizzazione] per controllare i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS garantendo l'accesso pubblico ai bucket Amazon Simple Storage Service (Amazon S3). Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
3.1.3e Utilizzare [Assegnazione: soluzioni di trasferimento sicuro delle informazioni definite dall'organizzazione] per controllare i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
3.1.3e Utilizzare [Assegnazione: soluzioni di trasferimento sicuro delle informazioni definite dall'organizzazione] per controllare i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
3.1.3e Utilizzare [Assegnazione: soluzioni di trasferimento sicuro delle informazioni definite dall'organizzazione] per controllare i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
3.1.3e Utilizzare [Assegnazione: soluzioni di trasferimento sicuro delle informazioni definite dall'organizzazione] per controllare i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
3.1.3e Utilizzare [Assegnazione: soluzioni di trasferimento sicuro delle informazioni definite dall'organizzazione] per controllare i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
3.1.3e Utilizzare [Assegnazione: soluzioni di trasferimento sicuro delle informazioni definite dall'organizzazione] per controllare i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo filtri stateful del traffico di rete in ingresso e di uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
3.1.3e Utilizzare [Assegnazione: soluzioni di trasferimento sicuro delle informazioni definite dall'organizzazione] per controllare i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso a risorse nel cloud AWS assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
3.1.3e Utilizzare [Assegnazione: soluzioni di trasferimento sicuro delle informazioni definite dall'organizzazione] per controllare i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
3.1.3e Utilizzare [Assegnazione: soluzioni di trasferimento sicuro delle informazioni definite dall'organizzazione] per controllare i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

redshift-enhanced-vpc-routing-enabled

Il routing VPC avanzato forza il passaggio di tutto il traffico dei comandi COPY e UNLOAD tra il cluster e i repository di dati attraverso Amazon VPC. È quindi possibile utilizzare funzionalità VPC come gruppi di sicurezza e elenchi di controllo dell'accesso alla rete per proteggere il traffico di rete. È inoltre possibile utilizzare i registri di flusso VPC per monitorare il traffico di rete.
3.1.3e Utilizzare [Assegnazione: soluzioni di trasferimento sicuro delle informazioni definite dall'organizzazione] per controllare i flussi di informazioni tra domini di sicurezza sui sistemi connessi.

elbv2-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
3.2.1e Fornire una formazione di sensibilizzazione [Assegnazione: frequenza definita dall'organizzazione] incentrata sul riconoscimento e sulla risposta alle minacce provenienti dall'ingegneria sociale, attori avanzati di minacce persistenti, violazioni e comportamenti sospetti; aggiornare la formazione [Assegnazione: frequenza definita dall'organizzazione] o quando ci sono significativi modifiche alla minaccia. security-awareness-program-exists (verifica del processo) Stabilisci e gestisci un programma di sensibilizzazione sulla sicurezza per la tua organizzazione I programmi di sensibilizzazione sulla sicurezza educano i dipendenti su come proteggere la propria organizzazione da varie violazioni o incidenti della sicurezza.
3.4.2e Utilizzare meccanismi automatizzati per rilevare componenti di sistema non configurati o non autorizzati; dopo il rilevamento, [Selezione (uno o più): rimuovere i componenti; posizionare i componenti in una rete di quarantena o di riparazione] per facilitare l'applicazione di patch, riconfigurazione o altre attenuazioni.

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutare l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
3.4.2e Utilizzare meccanismi automatizzati per rilevare componenti di sistema non configurati o non autorizzati; dopo il rilevamento, [Selezione (uno o più): rimuovere i componenti; posizionare i componenti in una rete di quarantena o di riparazione] per facilitare l'applicazione di patch, riconfigurazione o altre attenuazioni.

elastic-beanstalk-managed-updates-enabled

L'abilitazione degli aggiornamenti della piattaforma gestita per un ambiente Amazon Elastic Beanstalk garantisce l'installazione delle più recenti correzioni, aggiornamenti e funzionalità della piattaforma disponibili per l'ambiente. Mantenersi aggiornati con l'installazione delle patch è una buona pratica nella protezione dei sistemi.
3.4.2e Utilizzare meccanismi automatizzati per rilevare componenti di sistema non configurati o non autorizzati; dopo il rilevamento, [Selezione (uno o più): rimuovere i componenti; posizionare i componenti in una rete di quarantena o di riparazione] per facilitare l'applicazione di patch, riconfigurazione o altre attenuazioni.

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. Nello specifico, hanno finestre di manutenzione preferite e periodi di conservazione automatica delle istantanee per il database. Questa regola richiede di impostare ilallowVersionUpgrade. Il valore predefinito è true. Consente inoltre di impostare facoltativamentepreferredMaintenanceWindow(il valore predefinito è sat: 16:00 -sab: 16:30) e ilautomatedSnapshotRetentionPeriodo (il valore predefinito è 1). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
3.4.2e Utilizzare meccanismi automatizzati per rilevare componenti di sistema non configurati o non autorizzati; dopo il rilevamento, [Selezione (uno o più): rimuovere i componenti; posizionare i componenti in una rete di quarantena o di riparazione] per facilitare l'applicazione di patch, riconfigurazione o altre attenuazioni.

rds-automatic-minor-version-upgrade abilitato

Abilita gli aggiornamenti automatici delle versioni secondarie sulle istanze di Amazon Relational Database Service (RDS) per garantire che siano installati gli ultimi aggiornamenti della versione secondaria del Relational Database Management System (RDBMS), che possono includere patch di sicurezza e correzioni di bug.
3.4.3e Utilizzo di strumenti di rilevamento e gestione automatizzati per mantenere unup-to-date, inventario completo, accurato e prontamente disponibile dei componenti del sistema.

ec2-instance-managed-by-systems-manager

Grazie alla gestione di istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager è possibile un inventario delle piattaforme software e delle applicazioni nell'organizzazione. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
3.4.3e Utilizzo di strumenti di rilevamento e gestione automatizzati per mantenere unup-to-date, inventario completo, accurato e prontamente disponibile dei componenti del sistema.

ec2-stopped-instance

Attiva questa regola per aiutare con la configurazione di base delle istanze Amazon Elastic Compute Cloud (Amazon EC2) verificando se le istanze Amazon EC2 sono state arrestate per più del numero consentito di giorni, in base agli standard dell'organizzazione.
3.4.3e Utilizzo di strumenti di rilevamento e gestione automatizzati per mantenere unup-to-date, inventario completo, accurato e prontamente disponibile dei componenti del sistema.

ec2-volume-inuse-check

Questa regola garantisce che i volumi Amazon Elastic Block Store collegati a istanze Amazon Elastic Compute Cloud (Amazon EC2) siano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegata è terminata, potrebbe violare il concetto di funzionalità minima.
3.4.3e Utilizzo di strumenti di rilevamento e gestione automatizzati per mantenere unup-to-date, inventario completo, accurato e prontamente disponibile dei componenti del sistema.

eip-attached

Questa regola garantisce che gli IP Elastic allocati a un Amazon Virtual Private Cloud (Amazon VPC) siano collegati a istanze Amazon Elastic Compute Cloud (Amazon EC2) o alle interfacce Elastic Network Interfaces in-use. Questa regola aiuta a monitorare gli EIP inutilizzati nel tuo ambiente.
3.4.3e Utilizzo di strumenti di rilevamento e gestione automatizzati per mantenere unup-to-date, inventario completo, accurato e prontamente disponibile dei componenti del sistema.

vpc-network-acl-unused-check

Questa regola garantisce l'utilizzo degli elenchi di controllo degli accessi di rete Amazon Virtual Private Cloud (VPC). Il monitoraggio degli elenchi di controllo degli accessi alla rete non utilizzati può aiutare nell'inventario accurato e nella gestione dell'ambiente.
3.5.2e Utilizzare meccanismi automatizzati per la generazione, la protezione, la rotazione e la gestione delle password per sistemi e componenti di sistema che non supportano l'autenticazione multifattore o la gestione complessa dell'account.

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
3.5.2e Utilizzare meccanismi automatizzati per la generazione, la protezione, la rotazione e la gestione delle password per sistemi e componenti di sistema che non supportano l'autenticazione multifattore o la gestione complessa dell'account.

secretsmanager-rotation-enabled-check

Questa regola assicura che i segreti di AWS Secrets Manager abbiano abilitato la rotazione. La rotazione dei segreti in base a un programma regolare può ridurre il periodo di attività di un segreto e potenzialmente ridurre l'impatto aziendale se il segreto viene compromesso.
3.5.2e Utilizzare meccanismi automatizzati per la generazione, la protezione, la rotazione e la gestione delle password per sistemi e componenti di sistema che non supportano l'autenticazione multifattore o la gestione complessa dell'account.

secretsmanager-scheduled-rotation-success-check

Questa regola garantisce che i segreti di AWS Secrets Manager siano stati ruotati correttamente in base al programma di rotazione. La rotazione dei segreti in base a un programma regolare può ridurre il periodo in cui un segreto è attivo e potenzialmente ridurre l'impatto aziendale se viene compromesso.
3.5.2e Utilizzare meccanismi automatizzati per la generazione, la protezione, la rotazione e la gestione delle password per sistemi e componenti di sistema che non supportano l'autenticazione multifattore o la gestione complessa dell'account.

secretsmanager-scheduled-rotation-success-check

Questa regola garantisce che i segreti di AWS Secrets Manager siano stati ruotati correttamente in base al programma di rotazione. La rotazione dei segreti in base a un programma regolare può ridurre il periodo in cui un segreto è attivo e potenzialmente ridurre l'impatto aziendale se viene compromesso.
3.11.1e Impiegare [Assegnazione: fonti di intelligence delle minacce definite dall'organizzazione] come parte di una valutazione del rischio per guidare e informare lo sviluppo di sistemi organizzativi, architetture di sicurezza, selezione di soluzioni di sicurezza, monitoraggio, caccia alle minacce e attività di risposta e recupero.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS.
3.11.2e Condurre attività di caccia alle minacce informatiche [Selezione (una o più): [Assegnazione: frequenza definita dall'organizzazione]; [Assegnazione: evento definito dall'organizzazione]] per cercare indicatori di compromesso in [Assegnazione: sistemi definiti dall'organizzazione] e rilevare, monitorare e interrompere le minacce che sfuggono ai controlli esistenti.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS.
3.11.5e Valutare l'efficacia delle soluzioni di sicurezza [Assegnazione: frequenza definita dall'organizzazione] per affrontare il rischio previsto per i sistemi organizzativi e l'organizzazione sulla base dell'intelligence delle minacce attuale e accumulata. annual-risk-assessment-eseguito (controllo del processo) Esegui una valutazione annuale del rischio sulla tua organizzazione. Le valutazioni dei rischi possono aiutare a determinare la probabilità e l'impatto dei rischi e/o delle vulnerabilità identificati che interessano un'organizzazione.
3.13.4e Impiega [Selezione: (uno o più): [Assegnazione: tecniche di isolamento fisico definite dall'organizzazione]; [Assegnazione: tecniche di isolamento logico definito dall'organizzazione]] nei sistemi organizzativi e nei componenti di sistema.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
3.13.4e Impiega [Selezione: (uno o più): [Assegnazione: tecniche di isolamento fisico definite dall'organizzazione]; [Assegnazione: tecniche di isolamento logico definito dall'organizzazione]] nei sistemi organizzativi e nei componenti di sistema.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
3.13.4e Impiega [Selezione: (uno o più): [Assegnazione: tecniche di isolamento fisico definite dall'organizzazione]; [Assegnazione: tecniche di isolamento logico definito dall'organizzazione]] nei sistemi organizzativi e nei componenti di sistema.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS garantendo l'accesso pubblico alle istanze Amazon Elastic Compute Cloud (Amazon EC2). Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
3.13.4e Impiega [Selezione: (uno o più): [Assegnazione: tecniche di isolamento fisico definite dall'organizzazione]; [Assegnazione: tecniche di isolamento logico definito dall'organizzazione]] nei sistemi organizzativi e nei componenti di sistema.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchservizio (OpenSearchI domini Service sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
3.13.4e Impiega [Selezione: (uno o più): [Assegnazione: tecniche di isolamento fisico definite dall'organizzazione]; [Assegnazione: tecniche di isolamento logico definito dall'organizzazione]] nei sistemi organizzativi e nei componenti di sistema.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
3.13.4e Impiega [Selezione: (uno o più): [Assegnazione: tecniche di isolamento fisico definite dall'organizzazione]; [Assegnazione: tecniche di isolamento logico definito dall'organizzazione]] nei sistemi organizzativi e nei componenti di sistema.

ec2-instances-in-vpc

Distribuisci istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi nell'Amazon VPC, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
3.13.4e Impiega [Selezione: (uno o più): [Assegnazione: tecniche di isolamento fisico definite dall'organizzazione]; [Assegnazione: tecniche di isolamento logico definito dall'organizzazione]] nei sistemi organizzativi e nei componenti di sistema.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
3.13.4e Impiega [Selezione: (uno o più): [Assegnazione: tecniche di isolamento fisico definite dall'organizzazione]; [Assegnazione: tecniche di isolamento logico definito dall'organizzazione]] nei sistemi organizzativi e nei componenti di sistema.

lambda-inside-vpc

Distribuisci le funzioni AWS Lambda all'interno di Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi nell'Amazon VPC. Con questa configurazione, non è necessario disporre di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
3.13.4e Impiega [Selezione: (uno o più): [Assegnazione: tecniche di isolamento fisico definite dall'organizzazione]; [Assegnazione: tecniche di isolamento logico definito dall'organizzazione]] nei sistemi organizzativi e nei componenti di sistema.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
3.13.4e Impiega [Selezione: (uno o più): [Assegnazione: tecniche di isolamento fisico definite dall'organizzazione]; [Assegnazione: tecniche di isolamento logico definito dall'organizzazione]] nei sistemi organizzativi e nei componenti di sistema.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
3.13.4e Impiega [Selezione: (uno o più): [Assegnazione: tecniche di isolamento fisico definite dall'organizzazione]; [Assegnazione: tecniche di isolamento logico definito dall'organizzazione]] nei sistemi organizzativi e nei componenti di sistema.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
3.13.4e Impiega [Selezione: (uno o più): [Assegnazione: tecniche di isolamento fisico definite dall'organizzazione]; [Assegnazione: tecniche di isolamento logico definito dall'organizzazione]] nei sistemi organizzativi e nei componenti di sistema.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS garantendo l'accesso pubblico ai bucket Amazon Simple Storage Service (Amazon S3). Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
3.13.4e Impiega [Selezione: (uno o più): [Assegnazione: tecniche di isolamento fisico definite dall'organizzazione]; [Assegnazione: tecniche di isolamento logico definito dall'organizzazione]] nei sistemi organizzativi e nei componenti di sistema.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
3.13.4e Impiega [Selezione: (uno o più): [Assegnazione: tecniche di isolamento fisico definite dall'organizzazione]; [Assegnazione: tecniche di isolamento logico definito dall'organizzazione]] nei sistemi organizzativi e nei componenti di sistema.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
3.13.4e Impiega [Selezione: (uno o più): [Assegnazione: tecniche di isolamento fisico definite dall'organizzazione]; [Assegnazione: tecniche di isolamento logico definito dall'organizzazione]] nei sistemi organizzativi e nei componenti di sistema.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
3.13.4e Impiega [Selezione: (uno o più): [Assegnazione: tecniche di isolamento fisico definite dall'organizzazione]; [Assegnazione: tecniche di isolamento logico definito dall'organizzazione]] nei sistemi organizzativi e nei componenti di sistema.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
3.13.4e Impiega [Selezione: (uno o più): [Assegnazione: tecniche di isolamento fisico definite dall'organizzazione]; [Assegnazione: tecniche di isolamento logico definito dall'organizzazione]] nei sistemi organizzativi e nei componenti di sistema.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS garantendo l'accesso pubblico ai bucket Amazon Simple Storage Service (Amazon S3). Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
3.13.4e Impiega [Selezione: (uno o più): [Assegnazione: tecniche di isolamento fisico definite dall'organizzazione]; [Assegnazione: tecniche di isolamento logico definito dall'organizzazione]] nei sistemi organizzativi e nei componenti di sistema.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
3.13.4e Impiega [Selezione: (uno o più): [Assegnazione: tecniche di isolamento fisico definite dall'organizzazione]; [Assegnazione: tecniche di isolamento logico definito dall'organizzazione]] nei sistemi organizzativi e nei componenti di sistema.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
3.13.4e Impiega [Selezione: (uno o più): [Assegnazione: tecniche di isolamento fisico definite dall'organizzazione]; [Assegnazione: tecniche di isolamento logico definito dall'organizzazione]] nei sistemi organizzativi e nei componenti di sistema.

redshift-enhanced-vpc-routing-enabled

Il routing VPC avanzato forza il passaggio di tutto il traffico dei comandi COPY e UNLOAD tra il cluster e i repository di dati attraverso Amazon VPC. È quindi possibile utilizzare funzionalità VPC come gruppi di sicurezza e elenchi di controllo dell'accesso alla rete per proteggere il traffico di rete. È inoltre possibile utilizzare i registri di flusso VPC per monitorare il traffico di rete.
3.13.4e Impiega [Selezione: (uno o più): [Assegnazione: tecniche di isolamento fisico definite dall'organizzazione]; [Assegnazione: tecniche di isolamento logico definito dall'organizzazione]] nei sistemi organizzativi e nei componenti di sistema.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non consentire l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto.
3.13.4e Impiega [Selezione: (uno o più): [Assegnazione: tecniche di isolamento fisico definite dall'organizzazione]; [Assegnazione: tecniche di isolamento logico definito dall'organizzazione]] nei sistemi organizzativi e nei componenti di sistema.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS garantendo la limitazione delle porte comuni nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
3.13.4e Impiega [Selezione: (uno o più): [Assegnazione: tecniche di isolamento fisico definite dall'organizzazione]; [Assegnazione: tecniche di isolamento logico definito dall'organizzazione]] nei sistemi organizzativi e nei componenti di sistema.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo filtri stateful del traffico di rete in ingresso e di uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
3.13.4e Impiega [Selezione: (uno o più): [Assegnazione: tecniche di isolamento fisico definite dall'organizzazione]; [Assegnazione: tecniche di isolamento logico definito dall'organizzazione]] nei sistemi organizzativi e nei componenti di sistema.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS garantendo la limitazione delle porte comuni nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
3.13.4e Impiega [Selezione: (uno o più): [Assegnazione: tecniche di isolamento fisico definite dall'organizzazione]; [Assegnazione: tecniche di isolamento logico definito dall'organizzazione]] nei sistemi organizzativi e nei componenti di sistema.

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
3.14.1e Verificare l'integrità di [Assignment: software critico o essenziale per la sicurezza definito dall'organizzazione] utilizzando meccanismi di root of trust o firme crittografiche.

cloud-trail-log-file-validation-enabled

Utilizzo di AWSCloudTrailconvalida del file di log per verificare l'integrità diCloudTrailregistri. La convalida del file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o invariato dopoCloudTraill'ha consegnato. Questa funzione è costruita utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende impossibile, a livello di programmazione, qualsiasi operazione di modifica, eliminazione o contraffazione dei file di log di CloudTrail senza che tale operazione venga rilevata.
3.14.2e Monitora i sistemi organizzativi e i componenti di sistema su base continuativa per comportamenti anomali o sospetti.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS.
3.14.2e Monitora i sistemi organizzativi e i componenti di sistema su base continuativa per comportamenti anomali o sospetti.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati forniscono dettagli sull'attività delle chiamate API nel tuo account AWS.
3.14.2e Monitora i sistemi organizzativi e i componenti di sistema su base continuativa per comportamenti anomali o sospetti.

cloudwatch-alarm-action-check

AmazonCloudWatchavvisi quando una metrica supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionRichiesto (Config predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
3.14.2e Monitora i sistemi organizzativi e i componenti di sistema su base continuativa per comportamenti anomali o sospetti.

ec2-instance-detailed-monitoring-enabled

Abilita questa regola per migliorare il monitoraggio di istanze Amazon Elastic Compute Cloud (Amazon EC2) sulla console Amazon EC2, che visualizza grafici di monitoraggio con un periodo di 1 minuto per l'istanza.
3.14.2e Monitora i sistemi organizzativi e i componenti di sistema su base continuativa per comportamenti anomali o sospetti.

rds-enhanced-monitoring-enabled

Abilita Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità di Amazon RDS. Ciò fornisce una visibilità dettagliata dello stato delle istanze di database Amazon RDS. Quando lo storage Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ciascun dispositivo. Inoltre, quando l'istanza del database Amazon RDS è in esecuzione in una distribuzione Multi-AZ, vengono raccolti i dati per ciascun dispositivo sull'host secondario e le metriche dell'host secondario.
3.14.2e Monitora i sistemi organizzativi e i componenti di sistema su base continuativa per comportamenti anomali o sospetti.

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita, il record del log di flusso include valori per i diversi componenti del flusso IP, tra cui origine, destinazione e protocollo.
3.14.2e Monitora i sistemi organizzativi e i componenti di sistema su base continuativa per comportamenti anomali o sospetti.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
3.14.6e Utilizza le informazioni sugli indicatori di minaccia e le attenuazioni efficaci ottenute da [Assegnazione: organizzazioni esterne definite dall'organizzazione] per guidare e informare il rilevamento delle intrusioni e la caccia alle minacce.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS.
3.14.7e Verificare la correttezza di [Assegnazione: software, firmware e componenti hardware critici o essenziali per la sicurezza definiti dall'organizzazione] utilizzando [Assegnazione: metodi o tecniche di verifica definiti dall'organizzazione].

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
3.14.7e Verificare la correttezza di [Assegnazione: software, firmware e componenti hardware critici o essenziali per la sicurezza definiti dall'organizzazione] utilizzando [Assegnazione: metodi o tecniche di verifica definiti dall'organizzazione].

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutare l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
3.14.7e Verificare la correttezza di [Assegnazione: software, firmware e componenti hardware critici o essenziali per la sicurezza definiti dall'organizzazione] utilizzando [Assegnazione: metodi o tecniche di verifica definiti dall'organizzazione].

ec2-instance-managed-by-systems-manager

Grazie alla gestione di istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager è possibile un inventario delle piattaforme software e delle applicazioni nell'organizzazione. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.

Modello

Il modello è disponibile suGitHub: Best practice operative per NIST 800 172.