Best practice operative per NIST 800 181 - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice operative per NIST 800 181

I pacchetti di conformità forniscono un framework di conformità generico progettato per consentire di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando gestiti o personalizzatiAWS Configregole eAWS Configazioni di risanazione. I Conformance Pack, come modelli di esempio, non sono progettati per garantire la piena conformità con uno standard di governance o conformità specifici. L'utente è responsabile di valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.

Di seguito viene fornito un esempio di mappatura tra il NIST 800 181 eAWSregole di Config gestite. Ogni regola di Config si applica a uno specificoAWSrisorsa e si riferisce a uno o più controlli NIST 800 181. Un controllo NIST 800 181 può essere correlato a più regole di Config. Fare riferimento alla tabella sottostante per ulteriori dettagli e indicazioni relative a queste mappature.

Regione AWS:Tutto supportatoRegioni AWStranne il Medio Oriente (Bahrein)

ID controllo Descrizione del controllo Regola AWS Config Linee guida di
T0008 Analizza e pianifica le modifiche previste nei requisiti di capacità dei dati.

controllo di backup-plan-min-frequency-and-min-retention

Per aiutare con i processi di backup dei dati, assicurati che il piano AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup. Questa regola permette la configurazionerequiredFrequencyValue(impostazione predefinita di Config: 1),requiredRetentionDays(impostazione predefinita di Config: 35) erequiredFrequencyUnit(Config default: giorni) parametri. Il valore effettivo dovrebbe riflettere i requisiti della tua organizzazione.
T0008 Analizza e pianifica le modifiche previste nei requisiti di capacità dei dati.

dynamodb-autoscaling-enabled

La scalabilità automatica di Amazon DynamoDB utilizza il servizio AWS Application Auto Scaling di per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura/scrittura assegnata per gestire improvvisi aumenti di traffico, senza throttling.
T0008 Analizza e pianifica le modifiche previste nei requisiti di capacità dei dati.

dynamic odb-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup.
T0008 Analizza e pianifica le modifiche previste nei requisiti di capacità dei dati.

dynamodb-pitr-enabled

Abilitare questa regola per verificare che le informazioni siano state eseguite il backup. Mantiene inoltre i backup garantendo chepoint-in-timeIl ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
T0008 Analizza e pianifica le modifiche previste nei requisiti di capacità dei dati.

dynamodb-throughput-limit-check

Attiva questa regola per garantire che la capacità di throughput di provisioning sia controllata sulle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura/scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando il throughput si avvicina al limite massimo per l'account di un cliente. Questa regola permette l'impostazione facoltativa AccountRCUThresholdPercentage(Config Default: 80) e accountWCUThresholdPercentage(Config Default: 80) parametri. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0008 Analizza e pianifica le modifiche previste nei requisiti di capacità dei dati.

ebs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup.
T0008 Analizza e pianifica le modifiche previste nei requisiti di capacità dei dati.

ec2-Resources-protectd-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le risorse Amazon Elastic Compute Cloud (Amazon EC2) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup.
T0008 Analizza e pianifica le modifiche previste nei requisiti di capacità dei dati.

efs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
T0008 Analizza e pianifica le modifiche previste nei requisiti di capacità dei dati.

elasticache-redis-cluster-automatic-backup-check

Quando i backup automatici sono abilitati, AmazonElastiCachecrea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. In caso di esito negativo, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente.
T0008 Analizza e pianifica le modifiche previste nei requisiti di capacità dei dati.

elb-cross-zone-load-balancing-abilitato

Abilita il bilanciamento del carico tra zone per i tuoi Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il sistema di bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze.
T0008 Analizza e pianifica le modifiche previste nei requisiti di capacità dei dati.

rds-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le istanze Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
T0008 Analizza e pianifica le modifiche previste nei requisiti di capacità dei dati.

rds-multi-az-support

Il supporto Multi-AZ in Amazon Relational Database Service (Amazon RDS) fornisce una maggiore disponibilità e durata per le istanze di database. Quando esegui il provisioning di un'istanza di database Multi-AZ, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati in un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su un'infrastruttura fisica, distinta e indipendente ed è progettata in modo da essere altamente affidabili. In caso di guasto all'infrastruttura, Amazon RDS esegue un failover automatico sullo standby in modo da poter riprendere le operazioni del database non appena il failover è stato completato.
T0008 Analizza e pianifica le modifiche previste nei requisiti di capacità dei dati.

redshift-backup-enabled

Per aiutarti con i processi di backup dei dati, assicurati che i tuoi cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB di modifiche dei dati per nodo, a seconda di quale evento si verifica prima.
T0008 Analizza e pianifica le modifiche previste nei requisiti di capacità dei dati.

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

backup-recovery-point crittografato

Assicurati che la crittografia sia abilitata per i punti di ripristino di AWS Backup. Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

cloud-trail-encryption-enabled

Poiché potrebbero esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo AWSCloudTrailsentieri.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

ec2-ebs-encryption-by-default

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

efs-encrypted-check

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo Amazon Elastic File System (EFS).
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

elasticsearch-encrypted-at-rest

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per AmazonOpenSearchServizio (OpenSearchDomini Service).
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantirenode-to-nodeCrittografia per AmazonOpenSearchIl servizio è abilitato. Node-to-nodeLa crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC) di Amazon. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

elbv2-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

encrypted-volumes

Poiché possono esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS).
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

redshift-cluster-kms-enabled

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il cluster Amazon Redshift. Poiché i dati sensibili possono esistere a riposo nei cluster Redshift, abilitare la crittografia a riposo per proteggere tali dati.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

S3-bucket-server-side-encryption-enabled

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

s3-bucket-ssl-requests-only

Per proteggere i dati durante il transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

s3-default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo in un bucket Amazon S3, abilitare la crittografia a riposo per proteggere tali dati.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

sagemaker-endpoint-configuration-kms-key-configured

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per ilSageMakerendpoint. Perché i dati sensibili possono esistere a riposoSageMakerendpoint, abilita la crittografia a riposo per proteggere tali dati.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

sagemaker-notebook-instance-kms-key-configurato

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per ilSageMakernotebook. Perché i dati sensibili possono esistere a riposoSageMakernotebook, abilita la crittografia a riposo per proteggere tali dati.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

cloud-trail-log-file-validation-enabled

Utilizzo di AWSCloudTrailconvalida del file di log per verificare l'integrità diCloudTrailregistri. La convalida del file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o invariato dopoCloudTraill'ha consegnato. Questa funzione è costruita utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende impossibile, a livello di programmazione, qualsiasi operazione di modifica, eliminazione o contraffazione dei file di log di CloudTrail senza che tale operazione venga rilevata.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

dynamodb-autoscaling-enabled

La scalabilità automatica di Amazon DynamoDB utilizza il servizio AWS Application Auto Scaling di per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura/scrittura assegnata per gestire improvvisi aumenti di traffico, senza throttling.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

elb-cross-zone-load-balancing-abilitato

Abilita il bilanciamento del carico tra zone per i tuoi Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il sistema di bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

rds-multi-az-support

Il supporto Multi-AZ in Amazon Relational Database Service (Amazon RDS) fornisce disponibilità e durata migliorate per le istanze di database. Quando esegui il provisioning di un'istanza di database Multi-AZ, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati in un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su un'infrastruttura fisica, distinta e indipendente ed è progettata in modo da essere altamente affidabili. In caso di guasto all'infrastruttura, Amazon RDS esegue un failover automatico sullo standby in modo da poter riprendere le operazioni del database non appena il failover è stato completato.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

acm-certificate-expiration-check

Assicurati che l'integrità della rete sia protetta assicurando che i certificati X509 vengano emessi da AWS ACM. Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore perdaysToExpiration(Valore AWS Foundational Security Best Practices: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

api-gw-cache-enabled-and-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per la cache della fase API Gateway. Poiché i dati sensibili possono essere acquisiti per il metodo API, abilitare la crittografia a riposo per proteggere tali dati.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

cmk-backing-key-rotation-enabled

È possibile utilizzare questa funzione per garantire che le chiavi siano ruotate una volta che hanno raggiunto la fine del periodo di crittografia.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

kms-cmk-not-scheduled-for-deletion

Per proteggere i dati inattivi, assicurati che le chiavi master cliente (CMK) necessarie non siano pianificate per l'eliminazione in AWS Key Management Service (AWS KMS). Poiché a volte è necessaria l'eliminazione della chiave, questa regola può aiutare a controllare tutte le chiavi pianificate per l'eliminazione, nel caso in cui una chiave sia stata pianificata involontariamente.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

rds-snapshot-encrypted

Assicurati che la crittografia sia abilitata per gli snapshot di Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

rds-storage-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea automaticamente una snapshot dei volumi di storage dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

dynamodb-pitr-enabled

Abilitare questa regola per verificare che le informazioni siano state eseguite il backup. Mantiene inoltre i backup garantendo chepoint-in-timeIl ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

elasticache-redis-cluster-automatic-backup-check

Quando i backup automatici sono abilitati, AmazonElastiCachecrea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. In caso di esito negativo, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

elb-deletion-protection-enabled

Questa regola garantisce che Elastic Load Balancing abbia la protezione da eliminazione abilitata. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

rds-instance-deletion-protection-enabled

Assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) abbiano abilitata la protezione dall'eliminazione. Utilizza la protezione dall'eliminazione per evitare che le tue istanze Amazon RDS vengano cancellate accidentalmente o dannosamente, il che può comportare una perdita di disponibilità per le tue applicazioni.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

s3-bucket-versioning-enabled

Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza questa funzione per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni consente il semplice recupero dopo errori dell'applicazione e operazioni non intenzionali dell'utente.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

vpc-vpn-2-tunnels-up

È possibile implementare tunnel Site-to-Site VPN per ottenere requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso una delle connessioni Site-to-Site VPN non sia disponibile. Per evitare la perdita di connettività, nel caso in cui il gateway del cliente non sia disponibile, puoi configurare una seconda connessione Site-to-Site VPN al Amazon Virtual Private Cloud (Amazon VPC) e al gateway virtuale privato utilizzando un secondo gateway del cliente.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

redshift-backup-enabled

Per aiutarti con i processi di backup dei dati, assicurati che i tuoi cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB di modifiche dei dati per nodo, a seconda di quale evento si verifica prima.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

controllo di backup-plan-min-frequency-and-min-retention

Per aiutare con i processi di backup dei dati, assicurati che il piano AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup. Questa regola permette la configurazionerequiredFrequencyValue(impostazione predefinita di Config: 1),requiredRetentionDays(impostazione predefinita di Config: 35) erequiredFrequencyUnit(Config default: giorni) parametri. Il valore effettivo dovrebbe riflettere i requisiti della tua organizzazione.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

backup-recovery-point-manual-deletion-disabilitato

Assicurati che i punti di ripristino di AWS Backup dispongano di una policy basata sulle risorse che impedisce l'eliminazione dei punti di ripristino. L'utilizzo di un criterio basato sulle risorse per impedire l'eliminazione dei punti di ripristino può aiutare a prevenire l'eliminazione accidentale o intenzionale.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

dynamodb-risorse-protected-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le risorse Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

ec2-Resources-protectd-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le risorse Amazon Elastic Compute Cloud (Amazon EC2) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

rds-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le istanze Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

ebs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup.
T0017 Applica i principi dell'architettura di sicurezza orientati ai servizi per soddisfare i requisiti di riservatezza, integrità e disponibilità dell'organizzazione.

efs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup.
T0024 Raccogli e mantieni i dati necessari per soddisfare i report sulla sicurezza informatica del sistema.

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
T0042 Coordinarsi con gli analisti di Cyber Defense per gestire e amministrare l'aggiornamento di regole e firme (ad esempio, sistemi di rilevamento/protezione delle intrusioni, antivirus e blacklist dei contenuti) per applicazioni specializzate di cyber defense.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
T0047 Correlate i dati degli incidenti per identificare vulnerabilità specifiche e formulare raccomandazioni che consentano una correzione rapida.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
T0051 Definire i livelli appropriati di disponibilità del sistema in base alle funzioni critiche del sistema e garantire che i requisiti di sistema identifichino i requisiti di disaster recovery e continuità delle operazioni appropriati per includere eventuali requisiti di failover/sito alternativi, requisiti di backup e materiale appropriati requisiti di supportabilità per il ripristino e il ripristino del sistema.

backup-recovery-point crittografato

Assicurati che la crittografia sia abilitata per i punti di ripristino di AWS Backup. Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
T0051 Definire i livelli appropriati di disponibilità del sistema in base alle funzioni critiche del sistema e garantire che i requisiti di sistema identifichino i requisiti di disaster recovery e continuità delle operazioni appropriati per includere eventuali requisiti di failover/sito alternativi, requisiti di backup e materiale appropriati requisiti di supportabilità per il ripristino e il ripristino del sistema.

backup-recovery-point-manual-deletion-disabilitato

Assicurati che i punti di ripristino di AWS Backup dispongano di una policy basata sulle risorse che impedisce l'eliminazione dei punti di ripristino. L'utilizzo di un criterio basato sulle risorse per impedire l'eliminazione dei punti di ripristino può aiutare a prevenire l'eliminazione accidentale o intenzionale.
T0051 Definire i livelli appropriati di disponibilità del sistema in base alle funzioni critiche del sistema e garantire che i requisiti di sistema identifichino i requisiti di disaster recovery e continuità delle operazioni appropriati per includere eventuali requisiti di failover/sito alternativi, requisiti di backup e materiale appropriati requisiti di supportabilità per il ripristino e il ripristino del sistema.

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea automaticamente una snapshot dei volumi di storage dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
T0051 Definire i livelli appropriati di disponibilità del sistema in base alle funzioni critiche del sistema e garantire che i requisiti di sistema identifichino i requisiti di disaster recovery e continuità delle operazioni appropriati per includere eventuali requisiti di failover/sito alternativi, requisiti di backup e materiale appropriati requisiti di supportabilità per il ripristino e il ripristino del sistema.

dynamodb-risorse-protected-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le risorse Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup.
T0051 Definire i livelli appropriati di disponibilità del sistema in base alle funzioni critiche del sistema e garantire che i requisiti di sistema identifichino i requisiti di disaster recovery e continuità delle operazioni appropriati per includere eventuali requisiti di failover/sito alternativi, requisiti di backup e materiale appropriati requisiti di supportabilità per il ripristino e il ripristino del sistema.

ebs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup.
T0051 Definire i livelli appropriati di disponibilità del sistema in base alle funzioni critiche del sistema e garantire che i requisiti di sistema identifichino i requisiti di disaster recovery e continuità delle operazioni appropriati per includere eventuali requisiti di failover/sito alternativi, requisiti di backup e materiale appropriati requisiti di supportabilità per il ripristino e il ripristino del sistema.

efs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup.
T0051 Definire i livelli appropriati di disponibilità del sistema in base alle funzioni critiche del sistema e garantire che i requisiti di sistema identifichino i requisiti di disaster recovery e continuità delle operazioni appropriati per includere eventuali requisiti di failover/sito alternativi, requisiti di backup e materiale appropriati requisiti di supportabilità per il ripristino e il ripristino del sistema.

elb-deletion-protection-enabled

Questa regola garantisce che Elastic Load Balancing abbia la protezione da eliminazione abilitata. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni.
T0051 Definire i livelli appropriati di disponibilità del sistema in base alle funzioni critiche del sistema e garantire che i requisiti di sistema identifichino i requisiti di disaster recovery e continuità delle operazioni appropriati per includere eventuali requisiti di failover/sito alternativi, requisiti di backup e materiale appropriati requisiti di supportabilità per il ripristino e il ripristino del sistema.

rds-instance-deletion-protection-enabled

Assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) abbiano abilitata la protezione dall'eliminazione. Utilizza la protezione dall'eliminazione per evitare che le tue istanze Amazon RDS vengano cancellate accidentalmente o dannosamente, il che può comportare una perdita di disponibilità per le tue applicazioni.
T0051 Definire i livelli appropriati di disponibilità del sistema in base alle funzioni critiche del sistema e garantire che i requisiti di sistema identifichino i requisiti di disaster recovery e continuità delle operazioni appropriati per includere eventuali requisiti di failover/sito alternativi, requisiti di backup e materiale appropriati requisiti di supportabilità per il ripristino e il ripristino del sistema.

s3-bucket-versioning-enabled

Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza questa funzione per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni consente il semplice recupero dopo errori dell'applicazione e operazioni non intenzionali dell'utente.
T0051 Definire i livelli appropriati di disponibilità del sistema in base alle funzioni critiche del sistema e garantire che i requisiti di sistema identifichino i requisiti di disaster recovery e continuità delle operazioni appropriati per includere eventuali requisiti di failover/sito alternativi, requisiti di backup e materiale appropriati requisiti di supportabilità per il ripristino e il ripristino del sistema.

vpc-vpn-2-tunnels-up

È possibile implementare tunnel Site-to-Site VPN per ottenere requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso una delle connessioni Site-to-Site VPN non sia disponibile. Per evitare la perdita di connettività, nel caso in cui il gateway del cliente non sia disponibile, puoi configurare una seconda connessione Site-to-Site VPN al Amazon Virtual Private Cloud (Amazon VPC) e al gateway virtuale privato utilizzando un secondo gateway del cliente.
T0051 Definire i livelli appropriati di disponibilità del sistema in base alle funzioni critiche del sistema e garantire che i requisiti di sistema identifichino i requisiti di disaster recovery e continuità delle operazioni appropriati per includere eventuali requisiti di failover/sito alternativi, requisiti di backup e materiale appropriati requisiti di supportabilità per il ripristino e il ripristino del sistema.

controllo di backup-plan-min-frequency-and-min-retention

Per aiutare con i processi di backup dei dati, assicurati che il piano AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup. Questa regola permette la configurazionerequiredFrequencyValue(impostazione predefinita di Config: 1),requiredRetentionDays(impostazione predefinita di Config: 35) erequiredFrequencyUnit(Config default: giorni) parametri. Il valore effettivo dovrebbe riflettere i requisiti della tua organizzazione.
T0051 Definire i livelli appropriati di disponibilità del sistema in base alle funzioni critiche del sistema e garantire che i requisiti di sistema identifichino i requisiti di disaster recovery e continuità delle operazioni appropriati per includere eventuali requisiti di failover/sito alternativi, requisiti di backup e materiale appropriati requisiti di supportabilità per il ripristino e il ripristino del sistema.

dynamodb-autoscaling-enabled

La scalabilità automatica di Amazon DynamoDB utilizza il servizio AWS Application Auto Scaling di per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura/scrittura assegnata per gestire improvvisi aumenti di traffico, senza throttling.
T0051 Definire i livelli appropriati di disponibilità del sistema in base alle funzioni critiche del sistema e garantire che i requisiti di sistema identifichino i requisiti di disaster recovery e continuità delle operazioni appropriati per includere eventuali requisiti di failover/sito alternativi, requisiti di backup e materiale appropriati requisiti di supportabilità per il ripristino e il ripristino del sistema.

dynamic odb-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup.
T0051 Definire i livelli appropriati di disponibilità del sistema in base alle funzioni critiche del sistema e garantire che i requisiti di sistema identifichino i requisiti di disaster recovery e continuità delle operazioni appropriati per includere eventuali requisiti di failover/sito alternativi, requisiti di backup e materiale appropriati requisiti di supportabilità per il ripristino e il ripristino del sistema.

dynamodb-pitr-enabled

Abilitare questa regola per verificare che le informazioni siano state eseguite il backup. Mantiene inoltre i backup garantendo chepoint-in-timeIl ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
T0051 Definire i livelli appropriati di disponibilità del sistema in base alle funzioni critiche del sistema e garantire che i requisiti di sistema identifichino i requisiti di disaster recovery e continuità delle operazioni appropriati per includere eventuali requisiti di failover/sito alternativi, requisiti di backup e materiale appropriati requisiti di supportabilità per il ripristino e il ripristino del sistema.

dynamodb-throughput-limit-check

Attiva questa regola per garantire che la capacità di throughput di provisioning sia controllata sulle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura/scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando il throughput si avvicina al limite massimo per l'account di un cliente. Questa regola permette l'impostazione facoltativa AccountRCUThresholdPercentage(Config Default: 80) e accountWCUThresholdPercentage(Config Default: 80) parametri. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0051 Definire i livelli appropriati di disponibilità del sistema in base alle funzioni critiche del sistema e garantire che i requisiti di sistema identifichino i requisiti di disaster recovery e continuità delle operazioni appropriati per includere eventuali requisiti di failover/sito alternativi, requisiti di backup e materiale appropriati requisiti di supportabilità per il ripristino e il ripristino del sistema.

ec2-Resources-protectd-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le risorse Amazon Elastic Compute Cloud (Amazon EC2) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup.
T0051 Definire i livelli appropriati di disponibilità del sistema in base alle funzioni critiche del sistema e garantire che i requisiti di sistema identifichino i requisiti di disaster recovery e continuità delle operazioni appropriati per includere eventuali requisiti di failover/sito alternativi, requisiti di backup e materiale appropriati requisiti di supportabilità per il ripristino e il ripristino del sistema.

elasticache-redis-cluster-automatic-backup-check

Quando i backup automatici sono abilitati, AmazonElastiCachecrea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. In caso di esito negativo, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente.
T0051 Definire i livelli appropriati di disponibilità del sistema in base alle funzioni critiche del sistema e garantire che i requisiti di sistema identifichino i requisiti di disaster recovery e continuità delle operazioni appropriati per includere eventuali requisiti di failover/sito alternativi, requisiti di backup e materiale appropriati requisiti di supportabilità per il ripristino e il ripristino del sistema.

elb-cross-zone-load-balancing-abilitato

Abilita il bilanciamento del carico tra zone per i tuoi Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il sistema di bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze.
T0051 Definire i livelli appropriati di disponibilità del sistema in base alle funzioni critiche del sistema e garantire che i requisiti di sistema identifichino i requisiti di disaster recovery e continuità delle operazioni appropriati per includere eventuali requisiti di failover/sito alternativi, requisiti di backup e materiale appropriati requisiti di supportabilità per il ripristino e il ripristino del sistema.

rds-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le istanze Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup.
T0051 Definire i livelli appropriati di disponibilità del sistema in base alle funzioni critiche del sistema e garantire che i requisiti di sistema identifichino i requisiti di disaster recovery e continuità delle operazioni appropriati per includere eventuali requisiti di failover/sito alternativi, requisiti di backup e materiale appropriati requisiti di supportabilità per il ripristino e il ripristino del sistema.

rds-multi-az-support

Il supporto Multi-AZ in Amazon Relational Database Service (Amazon RDS) fornisce una maggiore disponibilità e durata per le istanze di database. Quando esegui il provisioning di un'istanza di database Multi-AZ, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati in un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su un'infrastruttura fisica, distinta e indipendente ed è progettata in modo da essere altamente affidabili. In caso di guasto all'infrastruttura, Amazon RDS esegue un failover automatico sullo standby in modo da poter riprendere le operazioni del database non appena il failover è stato completato.
T0051 Definire i livelli appropriati di disponibilità del sistema in base alle funzioni critiche del sistema e garantire che i requisiti di sistema identifichino i requisiti di disaster recovery e continuità delle operazioni appropriati per includere eventuali requisiti di failover/sito alternativi, requisiti di backup e materiale appropriati requisiti di supportabilità per il ripristino e il ripristino del sistema.

redshift-backup-enabled

Per aiutarti con i processi di backup dei dati, assicurati che i tuoi cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB di modifiche dei dati per nodo, a seconda di quale evento si verifica prima.
T0051 Definire i livelli appropriati di disponibilità del sistema in base alle funzioni critiche del sistema e garantire che i requisiti di sistema identifichino i requisiti di disaster recovery e continuità delle operazioni appropriati per includere eventuali requisiti di failover/sito alternativi, requisiti di backup e materiale appropriati requisiti di supportabilità per il ripristino e il ripristino del sistema.

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
T0065 Sviluppa e implementa procedure di backup e ripristino di rete.

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea automaticamente una snapshot dei volumi di storage dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
T0065 Sviluppa e implementa procedure di backup e ripristino di rete.

controllo di backup-plan-min-frequency-and-min-retention

Per aiutare con i processi di backup dei dati, assicurati che il piano AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup. Questa regola permette la configurazionerequiredFrequencyValue(impostazione predefinita di Config: 1),requiredRetentionDays(impostazione predefinita di Config: 35) erequiredFrequencyUnit(Config default: giorni) parametri. Il valore effettivo dovrebbe riflettere i requisiti della tua organizzazione.
T0065 Sviluppa e implementa procedure di backup e ripristino di rete.

backup-recovery-point crittografato

Assicurati che la crittografia sia abilitata per i punti di ripristino di AWS Backup. Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
T0065 Sviluppa e implementa procedure di backup e ripristino di rete.

backup-recovery-point-manual-deletion-disabilitato

Assicurati che i punti di ripristino di AWS Backup dispongano di una policy basata sulle risorse che impedisce l'eliminazione dei punti di ripristino. L'utilizzo di un criterio basato sulle risorse per impedire l'eliminazione dei punti di ripristino può aiutare a prevenire l'eliminazione accidentale o intenzionale.
T0065 Sviluppa e implementa procedure di backup e ripristino di rete.

dynamodb-risorse-protected-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le risorse Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup.
T0065 Sviluppa e implementa procedure di backup e ripristino di rete.

ec2-Resources-protectd-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le risorse Amazon Elastic Compute Cloud (Amazon EC2) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup.
T0065 Sviluppa e implementa procedure di backup e ripristino di rete.

dynamodb-autoscaling-enabled

La scalabilità automatica di Amazon DynamoDB utilizza il servizio AWS Application Auto Scaling di per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura/scrittura assegnata per gestire improvvisi aumenti di traffico, senza throttling.
T0065 Sviluppa e implementa procedure di backup e ripristino di rete.

elb-cross-zone-load-balancing-abilitato

Abilita il bilanciamento del carico tra zone per i tuoi Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il sistema di bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze.
T0065 Sviluppa e implementa procedure di backup e ripristino di rete.

elb-deletion-protection-enabled

Questa regola garantisce che Elastic Load Balancing abbia la protezione da eliminazione abilitata. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni.
T0065 Sviluppa e implementa procedure di backup e ripristino di rete.

rds-instance-deletion-protection-enabled

Assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) abbiano abilitata la protezione dall'eliminazione. Utilizza la protezione dall'eliminazione per evitare che le tue istanze Amazon RDS vengano cancellate accidentalmente o dannosamente, il che può comportare una perdita di disponibilità per le tue applicazioni.
T0065 Sviluppa e implementa procedure di backup e ripristino di rete.

rds-multi-az-support

Il supporto Multi-AZ in Amazon Relational Database Service (Amazon RDS) fornisce una maggiore disponibilità e durata per le istanze di database. Quando esegui il provisioning di un'istanza di database Multi-AZ, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati in un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su un'infrastruttura fisica, distinta e indipendente ed è progettata in modo da essere altamente affidabili. In caso di guasto all'infrastruttura, Amazon RDS esegue un failover automatico sullo standby in modo da poter riprendere le operazioni del database non appena il failover è stato completato.
T0065 Sviluppa e implementa procedure di backup e ripristino di rete.

vpc-vpn-2-tunnels-up

È possibile implementare tunnel Site-to-Site VPN per ottenere requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso una delle connessioni Site-to-Site VPN non sia disponibile. Per evitare la perdita di connettività, nel caso in cui il gateway del cliente non sia disponibile, puoi configurare una seconda connessione Site-to-Site VPN al Amazon Virtual Private Cloud (Amazon VPC) e al gateway virtuale privato utilizzando un secondo gateway del cliente.
T0065 Sviluppa e implementa procedure di backup e ripristino di rete.

dynamic odb-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup.
T0065 Sviluppa e implementa procedure di backup e ripristino di rete.

dynamodb-pitr-enabled

Abilitare questa regola per verificare che le informazioni siano state eseguite il backup. Mantiene inoltre i backup garantendo chepoint-in-timeIl ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
T0065 Sviluppa e implementa procedure di backup e ripristino di rete.

ebs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup.
T0065 Sviluppa e implementa procedure di backup e ripristino di rete.

efs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup.
T0065 Sviluppa e implementa procedure di backup e ripristino di rete.

elasticache-redis-cluster-automatic-backup-check

Quando i backup automatici sono abilitati, AmazonElastiCachecrea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. In caso di esito negativo, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente.
T0065 Sviluppa e implementa procedure di backup e ripristino di rete.

rds-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le istanze Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup.
T0065 Sviluppa e implementa procedure di backup e ripristino di rete.

redshift-backup-enabled

Per aiutarti con i processi di backup dei dati, assicurati che i tuoi cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB di modifiche dei dati per nodo, a seconda di quale evento si verifica prima.
T0065 Sviluppa e implementa procedure di backup e ripristino di rete.

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
T0065 Sviluppa e implementa procedure di backup e ripristino di rete.

s3-bucket-versioning-enabled

Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza questa funzione per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni consente il semplice recupero dopo errori dell'applicazione e operazioni non intenzionali dell'utente.
T0065 Sviluppa e implementa procedure di backup e ripristino di rete.

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. Nello specifico, hanno finestre di manutenzione preferite e periodi di conservazione automatica delle istantanee per il database. Questa regola richiede di impostare ilallowVersionUpgrade. Il valore predefinito è true. Consente inoltre di impostare facoltativamente ilpreferredMaintenanceWindow(il valore predefinito è sat: 16:00 -sab: 16:30) e ilautomatedSnapshotRetentionPeriodo (il valore predefinito è 1). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0070 Sviluppare piani di Disaster Recovery e Continuity of Operations per i sistemi in fase di sviluppo e garantire il test prima che i sistemi entrino in un ambiente di produzione.

dynamodb-autoscaling-enabled

La scalabilità automatica di Amazon DynamoDB utilizza il servizio AWS Application Auto Scaling di per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura/scrittura assegnata per gestire improvvisi aumenti di traffico, senza throttling.
T0070 Sviluppare piani di Disaster Recovery e Continuity of Operations per i sistemi in fase di sviluppo e garantire il test prima che i sistemi entrino in un ambiente di produzione.

controllo di backup-plan-min-frequency-and-min-retention

Per aiutare con i processi di backup dei dati, assicurati che il piano AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup. Questa regola permette la configurazionerequiredFrequencyValue(impostazione predefinita di Config: 1),requiredRetentionDays(impostazione predefinita di Config: 35) erequiredFrequencyUnit(Config default: giorni) parametri. Il valore effettivo dovrebbe riflettere i requisiti della tua organizzazione.
T0070 Sviluppare piani di Disaster Recovery e Continuity of Operations per i sistemi in fase di sviluppo e garantire il test prima che i sistemi entrino in un ambiente di produzione.

backup-recovery-point crittografato

Assicurati che la crittografia sia abilitata per i punti di ripristino di AWS Backup. Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
T0070 Sviluppare piani di Disaster Recovery e Continuity of Operations per i sistemi in fase di sviluppo e garantire il test prima che i sistemi entrino in un ambiente di produzione.

backup-recovery-point-manual-deletion-disabilitato

Assicurati che i punti di ripristino di AWS Backup dispongano di una policy basata sulle risorse che impedisce l'eliminazione dei punti di ripristino. L'utilizzo di un criterio basato sulle risorse per impedire l'eliminazione dei punti di ripristino può aiutare a prevenire l'eliminazione accidentale o intenzionale.
T0070 Sviluppare piani di Disaster Recovery e Continuity of Operations per i sistemi in fase di sviluppo e garantire il test prima che i sistemi entrino in un ambiente di produzione.

dynamodb-risorse-protected-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le risorse Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup.
T0070 Sviluppare piani di Disaster Recovery e Continuity of Operations per i sistemi in fase di sviluppo e garantire il test prima che i sistemi entrino in un ambiente di produzione.

ec2-Resources-protectd-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le risorse Amazon Elastic Compute Cloud (Amazon EC2) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup.
T0070 Sviluppare piani di Disaster Recovery e Continuity of Operations per i sistemi in fase di sviluppo e garantire il test prima che i sistemi entrino in un ambiente di produzione.

elb-cross-zone-load-balancing-abilitato

Abilita il bilanciamento del carico tra zone per i tuoi Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il sistema di bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze.
T0070 Sviluppare piani di Disaster Recovery e Continuity of Operations per i sistemi in fase di sviluppo e garantire il test prima che i sistemi entrino in un ambiente di produzione.

elb-deletion-protection-enabled

Questa regola garantisce che Elastic Load Balancing abbia la protezione da eliminazione abilitata. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni.
T0070 Sviluppare piani di Disaster Recovery e Continuity of Operations per i sistemi in fase di sviluppo e garantire il test prima che i sistemi entrino in un ambiente di produzione.

rds-instance-deletion-protection-enabled

Assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) abbiano abilitata la protezione dall'eliminazione. Utilizza la protezione dall'eliminazione per evitare che le tue istanze Amazon RDS vengano cancellate accidentalmente o dannosamente, il che può comportare una perdita di disponibilità per le tue applicazioni.
T0070 Sviluppare piani di Disaster Recovery e Continuity of Operations per i sistemi in fase di sviluppo e garantire il test prima che i sistemi entrino in un ambiente di produzione.

rds-multi-az-support

Il supporto Multi-AZ in Amazon Relational Database Service (Amazon RDS) fornisce una maggiore disponibilità e durata per le istanze di database. Quando esegui il provisioning di un'istanza di database Multi-AZ, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati in un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su un'infrastruttura fisica, distinta e indipendente ed è progettata in modo da essere altamente affidabili. In caso di guasto all'infrastruttura, Amazon RDS esegue un failover automatico sullo standby in modo da poter riprendere le operazioni del database non appena il failover è stato completato.
T0070 Sviluppare piani di Disaster Recovery e Continuity of Operations per i sistemi in fase di sviluppo e garantire il test prima che i sistemi entrino in un ambiente di produzione.

vpc-vpn-2-tunnels-up

È possibile implementare tunnel Site-to-Site VPN per ottenere requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso una delle connessioni Site-to-Site VPN non sia disponibile. Per evitare la perdita di connettività, nel caso in cui il gateway del cliente non sia disponibile, puoi configurare una seconda connessione Site-to-Site VPN al Amazon Virtual Private Cloud (Amazon VPC) e al gateway virtuale privato utilizzando un secondo gateway del cliente.
T0070 Sviluppare piani di Disaster Recovery e Continuity of Operations per i sistemi in fase di sviluppo e garantire il test prima che i sistemi entrino in un ambiente di produzione.

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea automaticamente una snapshot dei volumi di storage dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
T0070 Sviluppare piani di Disaster Recovery e Continuity of Operations per i sistemi in fase di sviluppo e garantire il test prima che i sistemi entrino in un ambiente di produzione.

dynamic odb-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup.
T0070 Sviluppare piani di Disaster Recovery e Continuity of Operations per i sistemi in fase di sviluppo e garantire il test prima che i sistemi entrino in un ambiente di produzione.

dynamodb-pitr-enabled

Abilitare questa regola per verificare che le informazioni siano state eseguite il backup. Mantiene inoltre i backup garantendo chepoint-in-timeIl ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
T0070 Sviluppare piani di Disaster Recovery e Continuity of Operations per i sistemi in fase di sviluppo e garantire il test prima che i sistemi entrino in un ambiente di produzione.

ebs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup.
T0070 Sviluppare piani di Disaster Recovery e Continuity of Operations per i sistemi in fase di sviluppo e garantire il test prima che i sistemi entrino in un ambiente di produzione.

efs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
T0070 Sviluppare piani di Disaster Recovery e Continuity of Operations per i sistemi in fase di sviluppo e garantire il test prima che i sistemi entrino in un ambiente di produzione.

elasticache-redis-cluster-automatic-backup-check

Quando i backup automatici sono abilitati, AmazonElastiCachecrea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. In caso di esito negativo, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente.
T0070 Sviluppare piani di Disaster Recovery e Continuity of Operations per i sistemi in fase di sviluppo e garantire il test prima che i sistemi entrino in un ambiente di produzione.

rds-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le istanze Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
T0070 Sviluppare piani di Disaster Recovery e Continuity of Operations per i sistemi in fase di sviluppo e garantire il test prima che i sistemi entrino in un ambiente di produzione.

redshift-backup-enabled

Per aiutarti con i processi di backup dei dati, assicurati che i tuoi cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB di modifiche dei dati per nodo, a seconda di quale evento si verifica prima.
T0070 Sviluppare piani di Disaster Recovery e Continuity of Operations per i sistemi in fase di sviluppo e garantire il test prima che i sistemi entrino in un ambiente di produzione.

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
T0070 Sviluppare piani di Disaster Recovery e Continuity of Operations per i sistemi in fase di sviluppo e garantire il test prima che i sistemi entrino in un ambiente di produzione.

s3-bucket-versioning-enabled

Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza questa funzione per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni consente il semplice recupero dopo errori dell'applicazione e operazioni non intenzionali dell'utente.
T0086 Assicurarsi che l'applicazione delle patch di sicurezza per i prodotti commerciali integrati nella progettazione del sistema soddisfi le tempistiche dettate dall'autorità di gestione per l'ambiente operativo previsto.

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutare con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
T0086 Assicurarsi che l'applicazione delle patch di sicurezza per i prodotti commerciali integrati nella progettazione del sistema soddisfi le tempistiche dettate dall'autorità di gestione per l'ambiente operativo previsto.

elastic-beanstalk-managed-updates-enabled

L'abilitazione degli aggiornamenti della piattaforma gestita per un ambiente Amazon Elastic Beanstalk garantisce l'installazione delle più recenti correzioni, aggiornamenti e funzionalità della piattaforma disponibili per l'ambiente. Mantenersi aggiornati con l'installazione delle patch è una buona pratica nella protezione dei sistemi.
T0086 Assicurarsi che l'applicazione delle patch di sicurezza per i prodotti commerciali integrati nella progettazione del sistema soddisfi le tempistiche dettate dall'autorità di gestione per l'ambiente operativo previsto.

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. Nello specifico, hanno finestre di manutenzione preferite e periodi di conservazione automatica delle istantanee per il database. Questa regola richiede di impostare ilallowVersionUpgrade. Il valore predefinito è true. Consente inoltre di impostare facoltativamente ilpreferredMaintenanceWindow(il valore predefinito è sat: 16:00 -sab: 16:30) e ilautomatedSnapshotRetentionPeriodo (il valore predefinito è 1). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0086 Assicurarsi che l'applicazione delle patch di sicurezza per i prodotti commerciali integrati nella progettazione del sistema soddisfi le tempistiche dettate dall'autorità di gestione per l'ambiente operativo previsto.

rds-automatic-minor-version-upgrade abilitato

Abilita gli aggiornamenti automatici delle versioni secondarie sulle istanze di Amazon Relational Database Service (RDS) per garantire che siano installati gli ultimi aggiornamenti della versione secondaria del Relational Database Management System (RDBMS), che possono includere patch di sicurezza e correzioni di bug.
T0110 Identificare e/o determinare se un incidente di sicurezza è indicativo di una violazione della legge che richiede un'azione legale specifica.

cloudwatch-alarm-action-check

AmazonCloudWatchavvisi gli allarmi quando una parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionObbligatorio Config impostazione predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
T0110 Identificare e/o determinare se un incidente di sicurezza è indicativo di una violazione della legge che richiede un'azione legale specifica.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
T0110 Identificare e/o determinare se un incidente di sicurezza è indicativo di una violazione della legge che richiede un'azione legale specifica.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
T0128 Integra funzionalità automatizzate per l'aggiornamento o l'applicazione di patch software di sistema in cui è pratico e sviluppa processi e procedure per l'aggiornamento manuale e l'applicazione di patch del software di sistema in base ai requisiti di timeline delle patch attuali e previsti per l'ambiente operativo del sistema.

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutare con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
T0128 Integra funzionalità automatizzate per l'aggiornamento o l'applicazione di patch software di sistema in cui è pratico e sviluppa processi e procedure per l'aggiornamento manuale e l'applicazione di patch del software di sistema in base ai requisiti di timeline delle patch attuali e previsti per l'ambiente operativo del sistema.

elastic-beanstalk-managed-updates-enabled

L'abilitazione degli aggiornamenti della piattaforma gestita per un ambiente Amazon Elastic Beanstalk garantisce l'installazione delle più recenti correzioni, aggiornamenti e funzionalità della piattaforma disponibili per l'ambiente. Mantenersi aggiornati con l'installazione delle patch è una buona pratica nella protezione dei sistemi.
T0128 Integra funzionalità automatizzate per l'aggiornamento o l'applicazione di patch software di sistema in cui è pratico e sviluppa processi e procedure per l'aggiornamento manuale e l'applicazione di patch del software di sistema in base ai requisiti di timeline delle patch attuali e previsti per l'ambiente operativo del sistema.

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. Nello specifico, hanno finestre di manutenzione preferite e periodi di conservazione automatica delle istantanee per il database. Questa regola richiede di impostare ilallowVersionUpgrade. Il valore predefinito è true. Consente inoltre di impostare facoltativamente ilpreferredMaintenanceWindow(il valore predefinito è sat: 16:00 -sab: 16:30) e ilautomatedSnapshotRetentionPeriodo (il valore predefinito è 1). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0128 Integra funzionalità automatizzate per l'aggiornamento o l'applicazione di patch software di sistema in cui è pratico e sviluppa processi e procedure per l'aggiornamento manuale e l'applicazione di patch del software di sistema in base ai requisiti di timeline delle patch attuali e previsti per l'ambiente operativo del sistema.

rds-automatic-minor-version-upgrade abilitato

Abilita gli aggiornamenti automatici delle versioni secondarie sulle istanze di Amazon Relational Database Service (RDS) per garantire che siano installati gli ultimi aggiornamenti della versione secondaria del Relational Database Management System (RDBMS), che possono includere patch di sicurezza e correzioni di bug.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive nel tuo ambiente.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non consentendo l'ingresso (o in remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i Gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

redshift-enhanced-vpc-routing-enabled

Il routing VPC avanzato forza il passaggio di tutto il traffico dei comandi COPY e UNLOAD tra il cluster e i repository di dati a passare attraverso Amazon VPC. È quindi possibile utilizzare funzionalità VPC come gruppi di sicurezza e elenchi di controllo dell'accesso alla rete per proteggere il traffico di rete. È inoltre possibile utilizzare i registri di flusso VPC per monitorare il traffico di rete.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

api-gw-associato-con-waf

AWS WAF consente di configurare un set di regole (denominato lista di controllo accessi Web (web ACL)) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

account-parte delle organizzazioni

La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata dell'account può portare a configurazioni di account incoerenti, che possono esporre risorse e dati sensibili.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. A questo proposito, il KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e separazione dei doveri. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

azioni iam-inline-policy-blocked-kms-actions

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia l'utilizzo delle policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Allow» con «Action»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano associate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può aiutare con la gestione dei privilegi e delle autorizzazioni minimi.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

ebs-snapshot-public-restorable-check

Gestisci l'accesso all'AWS Cloud assicurando che gli snapshot EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchServizio (OpenSearchServizio) I domini sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizio e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

ec2-instances-in-vpc

Distribuisci istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC di Amazon, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

lambda-inside-vpc

Utilizza le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi nell'Amazon VPC. Con questa configurazione, non hai bisogno di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

ecs-task-definition-user-per-host-mode check

Se una definizione di attività ha privilegi elevati, è perché il cliente ha specificamente optato per tali configurazioni. Questo controllo verifica la presenza di un'escalation imprevista dei privilegi quando una definizione di attività ha abilitato la rete host ma il cliente non ha optato per privilegi elevati.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

access-keys-rotated

Le credenziali vengono controllate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo i criteri organizzativi. La modifica delle chiavi di accesso con una pianificazione periodica è una procedura consigliata per la sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

secretsmanager-rotation-enabled-check

Questa regola assicura che i segreti di AWS Secrets Manager abbiano abilitato la rotazione. La rotazione dei segreti in base a un programma regolare può ridurre il periodo di attività di un segreto e potenzialmente ridurre l'impatto aziendale se il segreto viene compromesso.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
T0144 Gestisci account, diritti di rete e accesso a sistemi e apparecchiature.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0151 Monitorare e valutare l'efficacia delle misure di sicurezza informatica dell'azienda per garantire che forniscano il livello di protezione previsto.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
T0151 Monitorare e valutare l'efficacia delle misure di sicurezza informatica dell'azienda per garantire che forniscano il livello di protezione previsto.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
T0151 Monitorare e valutare l'efficacia delle misure di sicurezza informatica dell'azienda per garantire che forniscano il livello di protezione previsto.

cloudwatch-alarm-action-check

AmazonCloudWatchavvisi gli allarmi quando una parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionObbligatorio Config impostazione predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
T0152 Monitora e mantieni i database per garantire prestazioni ottimali.

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea automaticamente una snapshot dei volumi di storage dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
T0152 Monitora e mantieni i database per garantire prestazioni ottimali.

dynamodb-autoscaling-enabled

La scalabilità automatica di Amazon DynamoDB utilizza il servizio AWS Application Auto Scaling di per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura/scrittura assegnata per gestire improvvisi aumenti di traffico, senza throttling.
T0152 Monitora e mantieni i database per garantire prestazioni ottimali.

dynamic odb-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
T0152 Monitora e mantieni i database per garantire prestazioni ottimali.

dynamodb-pitr-enabled

Abilitare questa regola per verificare che le informazioni siano state eseguite il backup. Mantiene inoltre i backup garantendo chepoint-in-timeIl ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
T0152 Monitora e mantieni i database per garantire prestazioni ottimali.

dynamodb-risorse-protected-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le risorse Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
T0152 Monitora e mantieni i database per garantire prestazioni ottimali.

dynamodb-throughput-limit-check

Attiva questa regola per garantire che la capacità di throughput di provisioning sia controllata sulle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura/scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando il throughput si avvicina al limite massimo per l'account di un cliente. Questa regola permette l'impostazione facoltativa AccountRCUThresholdPercentage(Config Default: 80) e accountWCUThresholdPercentage(Config Default: 80) parametri. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0152 Monitora e mantieni i database per garantire prestazioni ottimali.

rds-automatic-minor-version-upgrade abilitato

Abilita gli aggiornamenti automatici delle versioni secondarie sulle istanze di Amazon Relational Database Service (RDS) per garantire che siano installati gli ultimi aggiornamenti della versione secondaria del Relational Database Management System (RDBMS), che possono includere patch di sicurezza e correzioni di bug.
T0152 Monitora e mantieni i database per garantire prestazioni ottimali.

rds-enhanced-monitoring-enabled

È possibile attivare Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità di Amazon RDS. Ciò fornisce una visibilità dettagliata dello stato delle istanze di database Amazon RDS. Quando lo storage Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ciascun dispositivo. Inoltre, quando l'istanza del database Amazon RDS è in esecuzione in una distribuzione Multi-AZ, vengono raccolti i dati per ciascun dispositivo sull'host secondario e le metriche dell'host secondario.
T0152 Monitora e mantieni i database per garantire prestazioni ottimali.

rds-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le istanze Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
T0152 Monitora e mantieni i database per garantire prestazioni ottimali.

rds-instance-deletion-protection-enabled

Assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) abbiano abilitata la protezione dall'eliminazione. Utilizza la protezione dall'eliminazione per evitare che le tue istanze Amazon RDS vengano cancellate accidentalmente o dannosamente, il che può comportare una perdita di disponibilità per le tue applicazioni.
T0152 Monitora e mantieni i database per garantire prestazioni ottimali.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
T0152 Monitora e mantieni i database per garantire prestazioni ottimali.

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
T0152 Monitora e mantieni i database per garantire prestazioni ottimali.

rds-multi-az-support

Il supporto Multi-AZ in Amazon Relational Database Service (Amazon RDS) fornisce una maggiore disponibilità e durata per le istanze di database. Quando esegui il provisioning di un'istanza di database Multi-AZ, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati in un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su un'infrastruttura fisica, distinta e indipendente ed è progettata in modo da essere altamente affidabili. In caso di guasto all'infrastruttura, Amazon RDS esegue un failover automatico sullo standby in modo da poter riprendere le operazioni del database non appena il failover è stato completato.
T0152 Monitora e mantieni i database per garantire prestazioni ottimali.

rds-snapshot-encrypted

Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
T0152 Monitora e mantieni i database per garantire prestazioni ottimali.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
T0152 Monitora e mantieni i database per garantire prestazioni ottimali.

rds-storage-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati.
T0152 Monitora e mantieni i database per garantire prestazioni ottimali.

redshift-backup-enabled

Per aiutarti con i processi di backup dei dati, assicurati che i tuoi cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB di modifiche dei dati per nodo, a seconda di quale evento si verifica prima.
T0152 Monitora e mantieni i database per garantire prestazioni ottimali.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0152 Monitora e mantieni i database per garantire prestazioni ottimali.

redshift-cluster-kms-enabled

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il cluster Amazon Redshift. Poiché i dati sensibili possono esistere a riposo nei cluster Redshift, abilitare la crittografia a riposo per proteggere tali dati.
T0152 Monitora e mantieni i database per garantire prestazioni ottimali.

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. Nello specifico, hanno finestre di manutenzione preferite e periodi di conservazione automatica delle istantanee per il database. Questa regola richiede di impostare ilallowVersionUpgrade. Il valore predefinito è true. Consente inoltre di impostare facoltativamente ilpreferredMaintenanceWindow(il valore predefinito è sat: 16:00 -sab: 16:30) e ilautomatedSnapshotRetentionPeriodo (il valore predefinito è 1). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0152 Monitora e mantieni i database per garantire prestazioni ottimali.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
T0152 Monitora e mantieni i database per garantire prestazioni ottimali.

redshift-enhanced-vpc-routing-enabled

Il routing VPC avanzato forza il passaggio di tutto il traffico dei comandi COPY e UNLOAD tra il cluster e i repository di dati a passare attraverso Amazon VPC. È quindi possibile utilizzare funzionalità VPC come gruppi di sicurezza e elenchi di controllo dell'accesso alla rete per proteggere il traffico di rete. È inoltre possibile utilizzare i registri di flusso VPC per monitorare il traffico di rete.
T0152 Monitora e mantieni i database per garantire prestazioni ottimali.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
T0153 Monitora capacità e prestazioni della rete.

autoscaling-group-elb-healthcheck-required

I controlli di integrità Elastic Load Balancer (ELB) per i gruppi Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) supportano la manutenzione di capacità e disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ping, effettua tentativi di connessione o invia richieste per testare l'integrità delle istanze Amazon EC2 in un gruppo di auto-scaling. Se un'istanza non viene segnalata, il traffico viene inviato a una nuova istanza Amazon EC2.
T0153 Monitora capacità e prestazioni della rete.

dynamodb-throughput-limit-check

Attiva questa regola per garantire che la capacità di throughput di provisioning sia controllata sulle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura/scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando il throughput si avvicina al limite massimo per l'account di un cliente. Questa regola permette l'impostazione facoltativa AccountRCUThresholdPercentage(Config Default: 80) e accountWCUThresholdPercentage(Config Default: 80) parametri. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0153 Monitora capacità e prestazioni della rete.

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP da e verso le interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
T0153 Monitora capacità e prestazioni della rete.

vpc-vpn-2-tunnels-up

È possibile implementare tunnel Site-to-Site VPN per ottenere requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso una delle connessioni Site-to-Site VPN non sia disponibile. Per evitare la perdita di connettività, nel caso in cui il gateway del cliente non sia disponibile, puoi configurare una seconda connessione Site-to-Site VPN al Amazon Virtual Private Cloud (Amazon VPC) e al gateway virtuale privato utilizzando un secondo gateway del cliente.
T0154 Monitorare e segnalare l'utilizzo delle risorse e delle risorse per la gestione delle conoscenze.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
T0154 Monitorare e segnalare l'utilizzo delle risorse e delle risorse per la gestione delle conoscenze.

autoscaling-group-elb-healthcheck-required

I controlli di integrità Elastic Load Balancer (ELB) per i gruppi Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) supportano la manutenzione di capacità e disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ping, effettua tentativi di connessione o invia richieste per testare l'integrità delle istanze Amazon EC2 in un gruppo di auto-scaling. Se un'istanza non viene segnalata, il traffico viene inviato a una nuova istanza Amazon EC2.
T0154 Monitorare e segnalare l'utilizzo delle risorse e delle risorse per la gestione delle conoscenze.

beanstalk-potenziato-health reporting-abilitato

Il reporting dello stato avanzato AWS Elastic Beanstalk consente una risposta più rapida ai cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione. Elastic Beanstalk migliorata segnalazione dello stato fornisce un descrittore di stato per valutare la gravità dei problemi identificati e identificare le possibili cause da indagare.
T0154 Monitorare e segnalare l'utilizzo delle risorse e delle risorse per la gestione delle conoscenze.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati forniscono dettagli sull'attività delle chiamate API all'interno dell'account AWS.
T0154 Monitorare e segnalare l'utilizzo delle risorse e delle risorse per la gestione delle conoscenze.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
T0154 Monitorare e segnalare l'utilizzo delle risorse e delle risorse per la gestione delle conoscenze.

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
T0154 Monitorare e segnalare l'utilizzo delle risorse e delle risorse per la gestione delle conoscenze.

cloudwatch-alarm-action-check

AmazonCloudWatchavvisi gli allarmi quando una parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionRichiesto (Config predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
T0154 Monitorare e segnalare l'utilizzo delle risorse e delle risorse per la gestione delle conoscenze.

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
T0154 Monitorare e segnalare l'utilizzo delle risorse e delle risorse per la gestione delle conoscenze.

dynamodb-throughput-limit-check

Attiva questa regola per garantire che la capacità di throughput di provisioning sia controllata sulle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura/scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando il throughput si avvicina al limite massimo per l'account di un cliente. Questa regola permette l'impostazione facoltativa AccountRCUThresholdPercentage(Config Default: 80) e accountWCUThresholdPercentage(Config Default: 80) parametri. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0154 Monitorare e segnalare l'utilizzo delle risorse e delle risorse per la gestione delle conoscenze.

ec2-instance-detailed-monitoring-enabled

Abilita questa regola per migliorare il monitoraggio delle istanze Amazon Elastic Compute Cloud (Amazon EC2) sulla console Amazon EC2, che visualizza dei grafici di monitoraggio relativi all'istanza a intervalli di 1 minuto.
T0154 Monitorare e segnalare l'utilizzo delle risorse e delle risorse per la gestione delle conoscenze.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
T0154 Monitorare e segnalare l'utilizzo delle risorse e delle risorse per la gestione delle conoscenze.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
T0154 Monitorare e segnalare l'utilizzo delle risorse e delle risorse per la gestione delle conoscenze.

lambda-concurrency-check

Questa regola assicura che vengano stabiliti i limiti alti e bassi di concorrenza di una funzione Lambda. Questo può aiutare a baseline del numero di richieste che la funzione sta elaborando in un dato momento.
T0154 Monitorare e segnalare l'utilizzo delle risorse e delle risorse per la gestione delle conoscenze.

lambda-dlq-check

Abilita questa regola per informare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione non è riuscita.
T0154 Monitorare e segnalare l'utilizzo delle risorse e delle risorse per la gestione delle conoscenze.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
T0154 Monitorare e segnalare l'utilizzo delle risorse e delle risorse per la gestione delle conoscenze.

rds-enhanced-monitoring-enabled

È possibile attivare Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità di Amazon RDS. Ciò fornisce una visibilità dettagliata dello stato delle istanze di database Amazon RDS. Quando lo storage Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ciascun dispositivo. Inoltre, quando l'istanza del database Amazon RDS è in esecuzione in una distribuzione Multi-AZ, vengono raccolti i dati per ciascun dispositivo sull'host secondario e le metriche dell'host secondario.
T0154 Monitorare e segnalare l'utilizzo delle risorse e delle risorse per la gestione delle conoscenze.

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
T0154 Monitorare e segnalare l'utilizzo delle risorse e delle risorse per la gestione delle conoscenze.

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
T0154 Monitorare e segnalare l'utilizzo delle risorse e delle risorse per la gestione delle conoscenze.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
T0154 Monitorare e segnalare l'utilizzo delle risorse e delle risorse per la gestione delle conoscenze.

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
T0154 Monitorare e segnalare l'utilizzo delle risorse e delle risorse per la gestione delle conoscenze.

wafv2-logging abilitato

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per la regola corrispondente a ogni richiesta.
T0154 Monitorare e segnalare l'utilizzo delle risorse e delle risorse per la gestione delle conoscenze.

ricerca elastica - logs-to-cloud watch

Garantire AmazonOpenSearchI domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su AmazonCloudWatchRegistri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
T0154 Monitorare e segnalare l'utilizzo delle risorse e delle risorse per la gestione delle conoscenze.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0156 Supervisionare e formulare raccomandazioni sulla gestione della configurazione.

account-parte delle organizzazioni

La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata dell'account può portare a configurazioni di account incoerenti, che possono esporre risorse e dati sensibili.
T0156 Supervisionare e formulare raccomandazioni sulla gestione della configurazione.

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. Nello specifico, hanno finestre di manutenzione preferite e periodi di conservazione automatica delle istantanee per il database. Questa regola richiede di impostare ilallowVersionUpgrade. Il valore predefinito è true. Consente inoltre di impostare facoltativamente ilpreferredMaintenanceWindow(il valore predefinito è sat: 16:00 -sab: 16:30) e ilautomatedSnapshotRetentionPeriodo (il valore predefinito è 1). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0156 Supervisionare e formulare raccomandazioni sulla gestione della configurazione.

elastic-beanstalk-managed-updates-enabled

L'abilitazione degli aggiornamenti della piattaforma gestita per un ambiente Amazon Elastic Beanstalk garantisce l'installazione delle più recenti correzioni, aggiornamenti e funzionalità della piattaforma disponibili per l'ambiente. Mantenersi aggiornati con l'installazione delle patch è una buona pratica nella protezione dei sistemi.
T0156 Supervisionare e formulare raccomandazioni sulla gestione della configurazione.

ec2-instance-managed-by-systems-manager

Puoi inventare le piattaforme software e le applicazioni nell'organizzazione gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
T0156 Supervisionare e formulare raccomandazioni sulla gestione della configurazione.

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
T0156 Supervisionare e formulare raccomandazioni sulla gestione della configurazione.

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutare con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
T0156 Supervisionare e formulare raccomandazioni sulla gestione della configurazione.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0156 Supervisionare e formulare raccomandazioni sulla gestione della configurazione.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
T0156 Supervisionare e formulare raccomandazioni sulla gestione della configurazione.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i Gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
T0160 Vulnerabilità della rete di patch per garantire che le informazioni siano salvaguardate da terze parti.

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
T0160 Vulnerabilità della rete di patch per garantire che le informazioni siano salvaguardate da terze parti.

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutare con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
T0160 Vulnerabilità della rete di patch per garantire che le informazioni siano salvaguardate da terze parti.

rds-automatic-minor-version-upgrade abilitato

Abilita gli aggiornamenti automatici delle versioni secondarie sulle istanze di Amazon Relational Database Service (RDS) per garantire che siano installati gli ultimi aggiornamenti della versione secondaria del Relational Database Management System (RDBMS), che possono includere patch di sicurezza e correzioni di bug.
T0162 Eseguire il backup e il ripristino dei database per garantire l'integrità dei dati.

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea automaticamente una snapshot dei volumi di storage dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
T0162 Eseguire il backup e il ripristino dei database per garantire l'integrità dei dati.

controllo di backup-plan-min-frequency-and-min-retention

Per aiutare con i processi di backup dei dati, assicurati che il piano AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità. Questa regola permette la configurazionerequiredFrequencyValue(impostazione predefinita di Config: 1),requiredRetentionDays(impostazione predefinita di Config: 35) erequiredFrequencyUnit(Config default: giorni) parametri. Il valore effettivo dovrebbe riflettere i requisiti della tua organizzazione.
T0162 Eseguire il backup e il ripristino dei database per garantire l'integrità dei dati.

backup-recovery-point crittografato

Assicurati che la crittografia sia abilitata per i punti di ripristino di AWS Backup. Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
T0162 Eseguire il backup e il ripristino dei database per garantire l'integrità dei dati.

backup-recovery-point-manual-deletion-disabilitato

Assicurati che i punti di ripristino di AWS Backup dispongano di una policy basata sulle risorse che impedisce l'eliminazione dei punti di ripristino. L'utilizzo di un criterio basato sulle risorse per impedire l'eliminazione dei punti di ripristino può aiutare a prevenire l'eliminazione accidentale o intenzionale.
T0162 Eseguire il backup e il ripristino dei database per garantire l'integrità dei dati.

dynamodb-risorse-protected-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le risorse Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
T0162 Eseguire il backup e il ripristino dei database per garantire l'integrità dei dati.

ec2-Resources-protectd-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le risorse Amazon Elastic Compute Cloud (Amazon EC2) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
T0162 Eseguire il backup e il ripristino dei database per garantire l'integrità dei dati.

dynamic odb-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
T0162 Eseguire il backup e il ripristino dei database per garantire l'integrità dei dati.

dynamodb-pitr-enabled

Abilitare questa regola per verificare che le informazioni siano state eseguite il backup. Mantiene inoltre i backup garantendo chepoint-in-timeIl ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
T0162 Eseguire il backup e il ripristino dei database per garantire l'integrità dei dati.

ebs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
T0162 Eseguire il backup e il ripristino dei database per garantire l'integrità dei dati.

efs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
T0162 Eseguire il backup e il ripristino dei database per garantire l'integrità dei dati.

elasticache-redis-cluster-automatic-backup-check

Quando i backup automatici sono abilitati, AmazonElastiCachecrea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. In caso di esito negativo, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente.
T0162 Eseguire il backup e il ripristino dei database per garantire l'integrità dei dati.

rds-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le istanze Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
T0162 Eseguire il backup e il ripristino dei database per garantire l'integrità dei dati.

redshift-backup-enabled

Per aiutarti con i processi di backup dei dati, assicurati che i tuoi cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB di modifiche dei dati per nodo, a seconda di quale evento si verifica prima.
T0162 Eseguire il backup e il ripristino dei database per garantire l'integrità dei dati.

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
T0162 Eseguire il backup e il ripristino dei database per garantire l'integrità dei dati.

s3-bucket-versioning-enabled

Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza questa funzione per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni consente il semplice recupero dopo errori dell'applicazione e operazioni non intenzionali dell'utente.
T0162 Eseguire il backup e il ripristino dei database per garantire l'integrità dei dati.

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. Nello specifico, hanno finestre di manutenzione preferite e periodi di conservazione automatica delle istantanee per il database. Questa regola richiede di impostare ilallowVersionUpgrade. Il valore predefinito è true. Consente inoltre di impostare facoltativamente ilpreferredMaintenanceWindow(il valore predefinito è sat: 16:00 -sab: 16:30) e ilautomatedSnapshotRetentionPeriodo (il valore predefinito è 1). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0166 Esegui la correlazione degli eventi utilizzando le informazioni raccolte da una varietà di fonti all'interno dell'azienda per acquisire consapevolezza situazionale e determinare l'efficacia di un attacco osservato.

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
T0166 Esegui la correlazione degli eventi utilizzando le informazioni raccolte da una varietà di fonti all'interno dell'azienda per acquisire consapevolezza situazionale e determinare l'efficacia di un attacco osservato.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
T0166 Esegui la correlazione degli eventi utilizzando le informazioni raccolte da una varietà di fonti all'interno dell'azienda per acquisire consapevolezza situazionale e determinare l'efficacia di un attacco osservato.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
T0166 Esegui la correlazione degli eventi utilizzando le informazioni raccolte da una varietà di fonti all'interno dell'azienda per acquisire consapevolezza situazionale e determinare l'efficacia di un attacco osservato.

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
T0166 Esegui la correlazione degli eventi utilizzando le informazioni raccolte da una varietà di fonti all'interno dell'azienda per acquisire consapevolezza situazionale e determinare l'efficacia di un attacco osservato.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
T0166 Esegui la correlazione degli eventi utilizzando le informazioni raccolte da una varietà di fonti all'interno dell'azienda per acquisire consapevolezza situazionale e determinare l'efficacia di un attacco osservato.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati forniscono dettagli sull'attività delle chiamate API all'interno dell'account AWS.
T0166 Esegui la correlazione degli eventi utilizzando le informazioni raccolte da una varietà di fonti all'interno dell'azienda per acquisire consapevolezza situazionale e determinare l'efficacia di un attacco osservato.

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
T0166 Esegui la correlazione degli eventi utilizzando le informazioni raccolte da una varietà di fonti all'interno dell'azienda per acquisire consapevolezza situazionale e determinare l'efficacia di un attacco osservato.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
T0166 Esegui la correlazione degli eventi utilizzando le informazioni raccolte da una varietà di fonti all'interno dell'azienda per acquisire consapevolezza situazionale e determinare l'efficacia di un attacco osservato.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0166 Esegui la correlazione degli eventi utilizzando le informazioni raccolte da una varietà di fonti all'interno dell'azienda per acquisire consapevolezza situazionale e determinare l'efficacia di un attacco osservato.

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
T0166 Esegui la correlazione degli eventi utilizzando le informazioni raccolte da una varietà di fonti all'interno dell'azienda per acquisire consapevolezza situazionale e determinare l'efficacia di un attacco osservato.

wafv2-logging abilitato

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per la regola corrispondente a ogni richiesta.
T0166 Esegui la correlazione degli eventi utilizzando le informazioni raccolte da una varietà di fonti all'interno dell'azienda per acquisire consapevolezza situazionale e determinare l'efficacia di un attacco osservato.

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
T0166 Esegui la correlazione degli eventi utilizzando le informazioni raccolte da una varietà di fonti all'interno dell'azienda per acquisire consapevolezza situazionale e determinare l'efficacia di un attacco osservato.

ricerca elastica - logs-to-cloud watch

Garantire AmazonOpenSearchI domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su AmazonCloudWatchRegistri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
T-0168 Eseguire un confronto hash con il database stabilito.

cloud-trail-log-file-validation-enabled

Utilizzo di AWSCloudTrailconvalida del file di log per verificare l'integrità diCloudTrailregistri. La convalida del file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o invariato dopoCloudTraill'ha consegnato. Questa funzione è costruita utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende impossibile, a livello di programmazione, qualsiasi operazione di modifica, eliminazione o contraffazione dei file di log di CloudTrail senza che tale operazione venga rilevata.
T0195 Fornire un flusso gestito di informazioni pertinenti (tramite portali basati sul Web o altri mezzi) in base ai requisiti della missione.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non consentendo l'ingresso (o in remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto.
T0195 Fornire un flusso gestito di informazioni pertinenti (tramite portali basati sul Web o altri mezzi) in base ai requisiti della missione.

redshift-enhanced-vpc-routing-enabled

Il routing VPC avanzato forza il passaggio di tutto il traffico dei comandi COPY e UNLOAD tra il cluster e i repository di dati a passare attraverso Amazon VPC. È quindi possibile utilizzare funzionalità VPC come gruppi di sicurezza e elenchi di controllo dell'accesso alla rete per proteggere il traffico di rete. È inoltre possibile utilizzare i registri di flusso VPC per monitorare il traffico di rete.
T0195 Fornire un flusso gestito di informazioni pertinenti (tramite portali basati sul Web o altri mezzi) in base ai requisiti della missione.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0195 Fornire un flusso gestito di informazioni pertinenti (tramite portali basati sul Web o altri mezzi) in base ai requisiti della missione.

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive nel tuo ambiente.
T0195 Fornire un flusso gestito di informazioni pertinenti (tramite portali basati sul Web o altri mezzi) in base ai requisiti della missione.

api-gw-associato-con-waf

AWS WAF consente di configurare un set di regole (denominato lista di controllo accessi Web (web ACL)) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi
T0195 Fornire un flusso gestito di informazioni pertinenti (tramite portali basati sul Web o altri mezzi) in base ai requisiti della missione.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
T0195 Fornire un flusso gestito di informazioni pertinenti (tramite portali basati sul Web o altri mezzi) in base ai requisiti della missione.

ebs-snapshot-public-restorable-check

Gestisci l'accesso all'AWS Cloud assicurando che gli snapshot EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
T0195 Fornire un flusso gestito di informazioni pertinenti (tramite portali basati sul Web o altri mezzi) in base ai requisiti della missione.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
T0195 Fornire un flusso gestito di informazioni pertinenti (tramite portali basati sul Web o altri mezzi) in base ai requisiti della missione.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchServizio (OpenSearchServizio) I domini sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizio e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
T0195 Fornire un flusso gestito di informazioni pertinenti (tramite portali basati sul Web o altri mezzi) in base ai requisiti della missione.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
T0195 Fornire un flusso gestito di informazioni pertinenti (tramite portali basati sul Web o altri mezzi) in base ai requisiti della missione.

ec2-instances-in-vpc

Distribuisci istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC di Amazon, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
T0195 Fornire un flusso gestito di informazioni pertinenti (tramite portali basati sul Web o altri mezzi) in base ai requisiti della missione.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
T0195 Fornire un flusso gestito di informazioni pertinenti (tramite portali basati sul Web o altri mezzi) in base ai requisiti della missione.

lambda-inside-vpc

Distribuisci le funzioni di AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi nel VPC Amazon. Con questa configurazione, non hai bisogno di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
T0195 Fornire un flusso gestito di informazioni pertinenti (tramite portali basati sul Web o altri mezzi) in base ai requisiti della missione.

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
T0195 Fornire un flusso gestito di informazioni pertinenti (tramite portali basati sul Web o altri mezzi) in base ai requisiti della missione.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
T0195 Fornire un flusso gestito di informazioni pertinenti (tramite portali basati sul Web o altri mezzi) in base ai requisiti della missione.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
T0195 Fornire un flusso gestito di informazioni pertinenti (tramite portali basati sul Web o altri mezzi) in base ai requisiti della missione.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
T0195 Fornire un flusso gestito di informazioni pertinenti (tramite portali basati sul Web o altri mezzi) in base ai requisiti della missione.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0195 Fornire un flusso gestito di informazioni pertinenti (tramite portali basati sul Web o altri mezzi) in base ai requisiti della missione.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
T0195 Fornire un flusso gestito di informazioni pertinenti (tramite portali basati sul Web o altri mezzi) in base ai requisiti della missione.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
T0195 Fornire un flusso gestito di informazioni pertinenti (tramite portali basati sul Web o altri mezzi) in base ai requisiti della missione.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
T0195 Fornire un flusso gestito di informazioni pertinenti (tramite portali basati sul Web o altri mezzi) in base ai requisiti della missione.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
T0195 Fornire un flusso gestito di informazioni pertinenti (tramite portali basati sul Web o altri mezzi) in base ai requisiti della missione.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
T0195 Fornire un flusso gestito di informazioni pertinenti (tramite portali basati sul Web o altri mezzi) in base ai requisiti della missione.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
T0195 Fornire un flusso gestito di informazioni pertinenti (tramite portali basati sul Web o altri mezzi) in base ai requisiti della missione.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
T0195 Fornire un flusso gestito di informazioni pertinenti (tramite portali basati sul Web o altri mezzi) in base ai requisiti della missione.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i Gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
T0195 Fornire un flusso gestito di informazioni pertinenti (tramite portali basati sul Web o altri mezzi) in base ai requisiti della missione.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
T0215 Riconoscere una possibile violazione della sicurezza e intraprendere le misure appropriate per segnalare l'incidente, secondo necessità.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
T0244 Verificare che le posizioni di sicurezza del software dell'applicazione/rete/sistema siano implementate come indicato, documentare le deviazioni e raccomandare le azioni necessarie per correggere tali deviazioni.

ec2-instance-managed-by-systems-manager

Puoi inventare le piattaforme software e le applicazioni nell'organizzazione gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
T0244 Verificare che le posizioni di sicurezza del software dell'applicazione/rete/sistema siano implementate come indicato, documentare le deviazioni e raccomandare le azioni necessarie per correggere tali deviazioni.

cloud-trail-log-file-validation-enabled

Utilizzo di AWSCloudTrailconvalida del file di log per verificare l'integrità diCloudTrailregistri. La convalida del file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o invariato dopoCloudTraill'ha consegnato. Questa funzione è costruita utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende impossibile, a livello di programmazione, qualsiasi operazione di modifica, eliminazione o contraffazione dei file di log di CloudTrail senza che tale operazione venga rilevata.
T0244 Verificare che le posizioni di sicurezza del software dell'applicazione/rete/sistema siano implementate come indicato, documentare le deviazioni e raccomandare le azioni necessarie per correggere tali deviazioni.

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
T0258 Fornire rilevazione, identificazione e avviso tempestivi di possibili attacchi/intrusioni, attività anomale e attività di uso improprio e distinguere questi incidenti ed eventi da attività benigne.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
T0259 Usa gli strumenti di cyber defense per il monitoraggio e l'analisi continui dell'attività del sistema per identificare attività dannose.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
T0262 Approvazione da impiegaredefense-in-depthprincipi e pratiche (ad esempio,defense-in-multipleluoghi, difese stratificate, robustezza della sicurezza).

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
T0262 Approvazione da impiegaredefense-in-depthprincipi e pratiche (ad esempio,defense-in-multipleluoghi, difese stratificate, robustezza della sicurezza).

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive nel tuo ambiente.
T0262 Approvazione da impiegaredefense-in-depthprincipi e pratiche (ad esempio,defense-in-multipleluoghi, difese stratificate, robustezza della sicurezza).

api-gw-associato-con-waf

AWS WAF consente di configurare un set di regole (denominato lista di controllo accessi Web (web ACL)) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi
T0262 Approvazione da impiegaredefense-in-depthprincipi e pratiche (ad esempio,defense-in-multipleluoghi, difese stratificate, robustezza della sicurezza).

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0262 Approvazione da impiegaredefense-in-depthprincipi e pratiche (ad esempio,defense-in-multipleluoghi, difese stratificate, robustezza della sicurezza).

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
T0262 Approvazione da impiegaredefense-in-depthprincipi e pratiche (ad esempio,defense-in-multipleluoghi, difese stratificate, robustezza della sicurezza).

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
T0262 Approvazione da impiegaredefense-in-depthprincipi e pratiche (ad esempio,defense-in-multipleluoghi, difese stratificate, robustezza della sicurezza).

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchServizio (OpenSearchServizio) I domini sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizio e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
T0262 Approvazione da impiegaredefense-in-depthprincipi e pratiche (ad esempio,defense-in-multipleluoghi, difese stratificate, robustezza della sicurezza).

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
T0262 Approvazione dei dipendentidefense-in-depthprincipi e pratiche (ad esempio,defense-in-multipleluoghi, difese stratificate, robustezza della sicurezza).

ec2-instances-in-vpc

Distribuisci istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC di Amazon, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
T0262 Approvazione da impiegaredefense-in-depthprincipi e pratiche (ad esempio,defense-in-multipleluoghi, difese stratificate, robustezza della sicurezza).

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
T0262 Approvazione da impiegaredefense-in-depthprincipi e pratiche (ad esempio,defense-in-multipleluoghi, difese stratificate, robustezza della sicurezza).

lambda-inside-vpc

Distribuisci le funzioni di AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi nel VPC Amazon. Con questa configurazione, non hai bisogno di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
T0262 Approvazione dei dipendentidefense-in-depthprincipi e pratiche (ad esempio,defense-in-multipleluoghi, difese stratificate, robustezza della sicurezza).

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
T0262 Approvazione dei dipendentidefense-in-depthprincipi e pratiche (ad esempio,defense-in-multipleluoghi, difese stratificate, robustezza della sicurezza).

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
T0262 Approvazione dei dipendentidefense-in-depthprincipi e pratiche (ad esempio,defense-in-multipleluoghi, difese stratificate, robustezza della sicurezza).

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
T0262 Approvazione dei dipendentidefense-in-depthprincipi e pratiche (ad esempio,defense-in-multipleluoghi, difese stratificate, robustezza della sicurezza).

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0262 Approvazione dei dipendentidefense-in-depthprincipi e pratiche (ad esempio,defense-in-multipleluoghi, difese stratificate, robustezza della sicurezza).

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
T0262 Approvazione dei dipendentidefense-in-depthprincipi e pratiche (ad esempio,defense-in-multipleluoghi, difese stratificate, robustezza della sicurezza).

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
T0262 Approvazione dei dipendentidefense-in-depthprincipi e pratiche (ad esempio,defense-in-multipleluoghi, difese stratificate, robustezza della sicurezza).

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
T0262 Approvazione dei dipendentidefense-in-depthprincipi e pratiche (ad esempio,defense-in-multipleluoghi, difese stratificate, robustezza della sicurezza).

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
T0262 Approvazione dei dipendentidefense-in-depthprincipi e pratiche (ad esempio,defense-in-multipleluoghi, difese stratificate, robustezza della sicurezza).

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
T0262 Approvazione dei dipendentidefense-in-depthprincipi e pratiche (ad esempio,defense-in-multipleluoghi, difese stratificate, robustezza della sicurezza).

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i Gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
T0262 Approvazione dei dipendentidefense-in-depthprincipi e pratiche (ad esempio,defense-in-multipleluoghi, difese stratificate, robustezza della sicurezza).

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
T0262 Approvazione dei dipendentidefense-in-depthprincipi e pratiche (ad esempio,defense-in-multipleluoghi, difese stratificate, robustezza della sicurezza).

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
T0262 Approvazione dei dipendentidefense-in-depthprincipi e pratiche (ad esempio,defense-in-multipleluoghi, difese stratificate, robustezza della sicurezza).

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
T0262 Approvazione dei dipendentidefense-in-depthprincipi e pratiche (ad esempio,defense-in-multipleluoghi, difese stratificate, robustezza della sicurezza).

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
T0262 Approvazione dei dipendentidefense-in-depthprincipi e pratiche (ad esempio,defense-in-multipleluoghi, difese stratificate, robustezza della sicurezza).

redshift-enhanced-vpc-routing-enabled

Il routing VPC avanzato forza il passaggio di tutto il traffico dei comandi COPY e UNLOAD tra il cluster e i repository di dati a passare attraverso Amazon VPC. È quindi possibile utilizzare funzionalità VPC come gruppi di sicurezza e elenchi di controllo dell'accesso alla rete per proteggere il traffico di rete. È inoltre possibile utilizzare i registri di flusso VPC per monitorare il traffico di rete.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

account-parte delle organizzazioni

La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata dell'account può portare a configurazioni di account incoerenti, che possono esporre risorse e dati sensibili.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive nel tuo ambiente.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

api-gw-associato-con-waf

AWS WAF consente di configurare un set di regole (denominato lista di controllo accessi Web (web ACL)) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

cloud-trail-log-file-validation-enabled

Utilizzo di AWSCloudTrailconvalida del file di log per verificare l'integrità diCloudTrailregistri. La convalida del file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o invariato dopoCloudTraill'ha consegnato. Questa funzione è costruita utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende impossibile, a livello di programmazione, qualsiasi operazione di modifica, eliminazione o contraffazione dei file di log di CloudTrail senza che tale operazione venga rilevata.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

codebuild-project-envvar-awscred-check

Assicurati che le credenziali di autenticazione AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY non esistano negli ambienti di progetto AWS Codebuild. Non memorizzare queste variabili in testo chiaro. L'archiviazione di queste variabili in testo chiaro comporta l'esposizione involontaria dei dati e l'accesso non autorizzato.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

codebuild-project-source-repo-url-check

Garantire laGitHubo l'URL del repository di origine Bitbucket non contiene token di accesso personali, nome utente e password negli ambienti di progetto AWS Codebuild. Utilizzare OAuth anziché token di accesso personali o un nome utente e una password per concedere l'autorizzazione per accedereGitHubo repository Bitbucket.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può aiutare con la gestione dei privilegi e delle autorizzazioni minimi.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchServizio (OpenSearchServizio) I domini sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizio e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. A questo proposito, il KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e la separazione dei doveri. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

azioni iam-inline-policy-blocked-kms-actions

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Allow» con «Action»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano associate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

ec2-instances-in-vpc

Distribuisci istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC di Amazon, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

lambda-inside-vpc

Distribuisci le funzioni di AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi nel VPC Amazon. Con questa configurazione, non hai bisogno di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

rds-automatic-minor-version-upgrade abilitato

Abilita gli aggiornamenti automatici delle versioni secondarie sulle istanze di Amazon Relational Database Service (RDS) per garantire che siano installati gli ultimi aggiornamenti della versione secondaria del Relational Database Management System (RDBMS), che possono includere patch di sicurezza e correzioni di bug.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. Nello specifico, hanno finestre di manutenzione preferite e periodi di conservazione automatica delle istantanee per il database. Questa regola richiede di impostare ilallowVersionUpgrade. Il valore predefinito è true. Consente inoltre di impostare facoltativamente ilpreferredMaintenanceWindow(il valore predefinito è sat: 16:00 -sab: 16:30) e ilautomatedSnapshotRetentionPeriodo (il valore predefinito è 1). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i Gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

ecs-task-definition-user-per-host-mode check

Se una definizione di attività ha privilegi elevati, è perché il cliente ha specificamente optato per tali configurazioni. Questo controllo verifica la presenza di un'escalation imprevista dei privilegi quando una definizione di attività ha abilitato la rete host ma il cliente non ha optato per privilegi elevati.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

redshift-enhanced-vpc-routing-enabled

Il routing VPC avanzato forza il passaggio di tutto il traffico dei comandi COPY e UNLOAD tra il cluster e i repository di dati a passare attraverso Amazon VPC. È quindi possibile utilizzare funzionalità VPC come gruppi di sicurezza e elenchi di controllo dell'accesso alla rete per proteggere il traffico di rete. È inoltre possibile utilizzare i registri di flusso VPC per monitorare il traffico di rete.
T0284 Progetta e sviluppa nuovi strumenti/tecnologie in relazione alla sicurezza informatica.

backup-recovery-point-manual-deletion-disabilitato

Assicurati che i punti di ripristino di AWS Backup dispongano di una policy basata sulle risorse che impedisce l'eliminazione dei punti di ripristino. L'utilizzo di un criterio basato sulle risorse per impedire l'eliminazione dei punti di ripristino può aiutare a prevenire l'eliminazione accidentale o intenzionale.
T0306 Supporta la gestione degli incidenti, la gestione dei livelli di servizio, la gestione delle modifiche, la gestione dei rilasci, la gestione della continuità e la gestione della disponibilità per database e sistemi di gestione dei dati.

cloudwatch-alarm-action-check

AmazonCloudWatchavvisi gli allarmi quando una parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionRichiesto (Config predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
T0306 Supporta la gestione degli incidenti, la gestione dei livelli di servizio, la gestione delle modifiche, la gestione dei rilasci, la gestione della continuità e la gestione della disponibilità per database e sistemi di gestione dei dati.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
T0306 Supporta la gestione degli incidenti, la gestione dei livelli di servizio, la gestione delle modifiche, la gestione dei rilasci, la gestione della continuità e la gestione della disponibilità per database e sistemi di gestione dei dati.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
T-0314 Sviluppare un contesto di sicurezza del sistema, un Concept of Operations (CONOPS) di sicurezza preliminare del sistema e definire i requisiti di sicurezza del sistema di base in conformità ai requisiti di sicurezza informatica applicabili.

ec2-instance-managed-by-systems-manager

Puoi inventare le piattaforme software e le applicazioni nell'organizzazione gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
T-0314 Sviluppare un contesto di sicurezza del sistema, un Concept of Operations (CONOPS) di sicurezza preliminare del sistema e definire i requisiti di sicurezza del sistema di base in conformità ai requisiti di sicurezza informatica applicabili.

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
T-0314 Sviluppare un contesto di sicurezza del sistema, un Concept of Operations (CONOPS) di sicurezza preliminare del sistema e definire i requisiti di sicurezza del sistema di base in conformità ai requisiti di sicurezza informatica applicabili.

ec2-stopped-instance

Attiva questa regola per aiutare con la configurazione di base delle istanze Amazon Elastic Compute Cloud (Amazon EC2) verificando se le istanze Amazon EC2 sono state arrestate per più del numero consentito di giorni, in base agli standard dell'organizzazione.
T-0314 Sviluppare un contesto di sicurezza del sistema, un Concept of Operations (CONOPS) di sicurezza preliminare del sistema e definire i requisiti di sicurezza del sistema di base in conformità ai requisiti di sicurezza informatica applicabili.

ec2-volume-inuse-check

Questa regola garantisce che i volumi Amazon Elastic Block Store collegati alle istanze Amazon Elastic Compute Cloud (Amazon EC2) siano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegata è terminata, potrebbe violare il concetto di funzionalità minima.
T-0314 Sviluppare un contesto di sicurezza del sistema, un Concept of Operations (CONOPS) di sicurezza preliminare del sistema e definire i requisiti di sicurezza del sistema di base in conformità ai requisiti di sicurezza informatica applicabili.

elb-deletion-protection-enabled

Questa regola garantisce che Elastic Load Balancing abbia la protezione da eliminazione abilitata. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni.
T-0314 Sviluppare un contesto di sicurezza del sistema, un Concept of Operations (CONOPS) di sicurezza preliminare del sistema e definire i requisiti di sicurezza del sistema di base in conformità ai requisiti di sicurezza informatica applicabili.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0333 Esegui analisi e reporting delle tendenze della cyber defense.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
T0333 Esegui analisi e reporting delle tendenze della cyber defense.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
T0347 Valutare la validità dei dati di origine e i risultati successivi.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
T0358 Progettare e sviluppare funzionalità di amministrazione e gestione del sistema per utenti con accesso privilegiato.

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e la separazione dei doveri. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione
T0358 Progettare e sviluppare funzionalità di amministrazione e gestione del sistema per utenti con accesso privilegiato.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
T0358 Progettare e sviluppare funzionalità di amministrazione e gestione del sistema per utenti con accesso privilegiato.

azioni iam-inline-policy-blocked-kms-actions

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0358 Progettare e sviluppare funzionalità di amministrazione e gestione del sistema per utenti con accesso privilegiato.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
T0358 Progettare e sviluppare funzionalità di amministrazione e gestione del sistema per utenti con accesso privilegiato.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Allow» con «Action»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
T0358 Progettare e sviluppare funzionalità di amministrazione e gestione del sistema per utenti con accesso privilegiato.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
T0358 Progettare e sviluppare funzionalità di amministrazione e gestione del sistema per utenti con accesso privilegiato.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano associate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
T0358 Progettare e sviluppare funzionalità di amministrazione e gestione del sistema per utenti con accesso privilegiato.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
T0376 Stabilire, utilizzare, implementare e valutare i programmi di gestione della forza lavoro informatica in base ai requisiti organizzativi.

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. A questo proposito, il KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
T0376 Stabilire, utilizzare, implementare e valutare i programmi di gestione della forza lavoro informatica in base ai requisiti organizzativi.

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e la separazione dei doveri. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione
T0376 Stabilire, utilizzare, implementare e valutare i programmi di gestione della forza lavoro informatica in base ai requisiti organizzativi.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
T0376 Stabilire, utilizzare, implementare e valutare i programmi di gestione della forza lavoro informatica in base ai requisiti organizzativi.

azioni iam-inline-policy-blocked-kms-actions

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0376 Stabilire, utilizzare, implementare e valutare i programmi di gestione della forza lavoro informatica in base ai requisiti organizzativi.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
T0376 Stabilire, utilizzare, implementare e valutare i programmi di gestione della forza lavoro informatica in base ai requisiti organizzativi.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Allow» con «Action»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
T0376 Stabilire, utilizzare, implementare e valutare i programmi di gestione della forza lavoro informatica in base ai requisiti organizzativi.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
T0376 Stabilire, utilizzare, implementare e valutare i programmi di gestione della forza lavoro informatica in base ai requisiti organizzativi.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano associate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
T0376 Stabilire, utilizzare, implementare e valutare i programmi di gestione della forza lavoro informatica in base ai requisiti organizzativi.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
T0376 Stabilire, utilizzare, implementare e valutare i programmi di gestione della forza lavoro informatica in base ai requisiti organizzativi.

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può aiutare con la gestione dei privilegi e delle autorizzazioni minimi.
T0376 Stabilire, utilizzare, implementare e valutare i programmi di gestione della forza lavoro informatica in base ai requisiti organizzativi.

ecs-task-definition-user-per-host-mode check

Se una definizione di attività ha privilegi elevati, è perché il cliente ha specificamente optato per tali configurazioni. Questo controllo verifica la presenza di un'escalation imprevista dei privilegi quando una definizione di attività ha abilitato la rete host ma il cliente non ha optato per privilegi elevati.
T0376 Stabilire, utilizzare, implementare e valutare i programmi di gestione della forza lavoro informatica in base ai requisiti organizzativi.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati forniscono dettagli sull'attività delle chiamate API all'interno dell'account AWS.
T0376 Stabilire, utilizzare, implementare e valutare i programmi di gestione della forza lavoro informatica in base ai requisiti organizzativi.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
T0376 Stabilire, utilizzare, implementare e valutare i programmi di gestione della forza lavoro informatica in base ai requisiti organizzativi.

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
T0376 Stabilire, utilizzare, implementare e valutare i programmi di gestione della forza lavoro informatica in base ai requisiti organizzativi.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
T0376 Stabilire, utilizzare, implementare e valutare i programmi di gestione della forza lavoro informatica in base ai requisiti organizzativi.

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
T0376 Stabilire, utilizzare, implementare e valutare i programmi di gestione della forza lavoro informatica in base ai requisiti organizzativi.

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
T0376 Stabilire, utilizzare, implementare e valutare i programmi di gestione della forza lavoro informatica in base ai requisiti organizzativi.

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
T0376 Stabilire, utilizzare, implementare e valutare i programmi di gestione della forza lavoro informatica in base ai requisiti organizzativi.

ricerca elastica - logs-to-cloud watch

Garantire AmazonOpenSearchI domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su AmazonCloudWatchRegistri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
T0416 Abilitare le applicazioni con chiave pubblica sfruttando le librerie PKI (Public Key Infrastructure) esistenti e incorporando le funzionalità di gestione dei certificati e crittografia quando necessario.

acm-certificate-expiration-check

Assicurati che l'integrità della rete sia protetta assicurando che i certificati X509 vengano emessi da AWS ACM. Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore perdaysToExpiration(Valore AWS Foundational Security Best Practices: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
T0416 Abilitare le applicazioni con chiave pubblica sfruttando le librerie PKI (Public Key Infrastructure) esistenti e incorporando le funzionalità di gestione dei certificati e crittografia quando necessario.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
T0416 Abilitare le applicazioni con chiave pubblica sfruttando le librerie PKI (Public Key Infrastructure) esistenti e incorporando le funzionalità di gestione dei certificati e crittografia quando necessario.

elbv2-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
T0416 Abilitare le applicazioni con chiave pubblica sfruttando le librerie PKI (Public Key Infrastructure) esistenti e incorporando le funzionalità di gestione dei certificati e crittografia quando necessario.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
T0416 Abilitare le applicazioni con chiave pubblica sfruttando le librerie PKI (Public Key Infrastructure) esistenti e incorporando le funzionalità di gestione dei certificati e crittografia quando necessario.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
T0416 Abilitare le applicazioni con chiave pubblica sfruttando le librerie PKI (Public Key Infrastructure) esistenti e incorporando le funzionalità di gestione dei certificati e crittografia quando necessario.

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantirenode-to-nodeCrittografia per AmazonOpenSearchIl servizio è abilitato. Node-to-nodeLa crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC) di Amazon. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
T0416 Abilitare le applicazioni con chiave pubblica sfruttando le librerie PKI (Public Key Infrastructure) esistenti e incorporando le funzionalità di gestione dei certificati e crittografia quando necessario.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
T0416 Abilitare le applicazioni con chiave pubblica sfruttando le librerie PKI (Public Key Infrastructure) esistenti e incorporando le funzionalità di gestione dei certificati e crittografia quando necessario.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
T0416 Abilitare le applicazioni con chiave pubblica sfruttando le librerie PKI (Public Key Infrastructure) esistenti e incorporando le funzionalità di gestione dei certificati e crittografia quando necessario.

s3-bucket-ssl-requests-only

Per proteggere i dati durante il transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
T0421 Gestisci l'indicizzazione/catalogazione, l'archiviazione e l'accesso a conoscenze organizzative esplicite (ad esempio documenti cartacei, file digitali).

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. A questo proposito, il KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
T0421 Gestisci l'indicizzazione/catalogazione, l'archiviazione e l'accesso a conoscenze organizzative esplicite (ad esempio documenti cartacei, file digitali).

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
T0421 Gestisci l'indicizzazione/catalogazione, l'archiviazione e l'accesso a conoscenze organizzative esplicite (ad esempio documenti cartacei, file digitali).

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
T0421 Gestisci l'indicizzazione/catalogazione, l'archiviazione e l'accesso a conoscenze organizzative esplicite (ad esempio documenti cartacei, file digitali).

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
T0421 Gestisci l'indicizzazione/catalogazione, l'archiviazione e l'accesso a conoscenze organizzative esplicite (ad esempio documenti cartacei, file digitali).

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
T0421 Gestisci l'indicizzazione/catalogazione, l'archiviazione e l'accesso a conoscenze organizzative esplicite (ad esempio documenti cartacei, file digitali).

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
T0421 Gestisci l'indicizzazione/catalogazione, l'archiviazione e l'accesso a conoscenze organizzative esplicite (ad esempio documenti cartacei, file digitali).

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
T0421 Gestisci l'indicizzazione/catalogazione, l'archiviazione e l'accesso a conoscenze organizzative esplicite (ad esempio documenti cartacei, file digitali).

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
T0421 Gestisci l'indicizzazione/catalogazione, l'archiviazione e l'accesso a conoscenze organizzative esplicite (ad esempio documenti cartacei, file digitali).

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
T0421 Gestisci l'indicizzazione/catalogazione, l'archiviazione e l'accesso a conoscenze organizzative esplicite (ad esempio documenti cartacei, file digitali).

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
T0421 Gestisci l'indicizzazione/catalogazione, l'archiviazione e l'accesso a conoscenze organizzative esplicite (ad esempio documenti cartacei, file digitali).

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0421 Gestisci l'indicizzazione/catalogazione, l'archiviazione e l'accesso a conoscenze organizzative esplicite (ad esempio documenti cartacei, file digitali).

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
T0421 Gestisci l'indicizzazione/catalogazione, l'archiviazione e l'accesso a conoscenze organizzative esplicite (ad esempio documenti cartacei, file digitali).

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
T0421 Gestisci l'indicizzazione/catalogazione, l'archiviazione e l'accesso a conoscenze organizzative esplicite (ad esempio documenti cartacei, file digitali).

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
T0421 Gestisci l'indicizzazione/catalogazione, l'archiviazione e l'accesso a conoscenze organizzative esplicite (ad esempio documenti cartacei, file digitali).

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
T0421 Gestisci l'indicizzazione/catalogazione, l'archiviazione e l'accesso a conoscenze organizzative esplicite (ad esempio documenti cartacei, file digitali).

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
T-0475 Valutare adeguati controlli di accesso sulla base di principi di minimo privilegio eneed-to-know.

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. A questo proposito, il KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
T-0475 Valutare adeguati controlli di accesso sulla base di principi di minimo privilegio eneed-to-know.

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e la separazione dei doveri. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione
T-0475 Valutare adeguati controlli di accesso sulla base di principi di minimo privilegio eneed-to-know.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
T-0475 Valutare adeguati controlli di accesso sulla base di principi di minimo privilegio eneed-to-know.

azioni iam-inline-policy-blocked-kms-actions

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T-0475 Valutare adeguati controlli di accesso sulla base di principi di minimo privilegio eneed-to-know.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
T-0475 Valutare adeguati controlli di accesso sulla base di principi di minimo privilegio eneed-to-know.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Allow» con «Action»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
T-0475 Valutare adeguati controlli di accesso sulla base di principi di minimo privilegio eneed-to-know.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
T-0475 Valutare adeguati controlli di accesso sulla base di principi di minimo privilegio eneed-to-know.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
T-0475 Valutare adeguati controlli di accesso sulla base di principi di minimo privilegio eneed-to-know.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano associate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
T-0475 Valutare adeguati controlli di accesso sulla base di principi di minimo privilegio eneed-to-know.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
T-0475 Valutare adeguati controlli di accesso sulla base di principi di minimo privilegio eneed-to-know.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
T-0475 Valutare adeguati controlli di accesso sulla base di principi di minimo privilegio eneed-to-know.

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può aiutare con la gestione dei privilegi e delle autorizzazioni minimi.
T-0475 Valutare adeguati controlli di accesso sulla base di principi di minimo privilegio eneed-to-know.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
T-0475 Valutare adeguati controlli di accesso sulla base di principi di minimo privilegio eneed-to-know.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
T-0475 Valutare adeguati controlli di accesso sulla base di principi di minimo privilegio eneed-to-know.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
T-0475 Valutare adeguati controlli di accesso sulla base di principi di minimo privilegio eneed-to-know.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchServizio (OpenSearchServizio) I domini sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizio e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
T-0475 Valutare adeguati controlli di accesso sulla base di principi di minimo privilegio eneed-to-know.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
T-0475 Valutare adeguati controlli di accesso sulla base di principi di minimo privilegio eneed-to-know.

ec2-instances-in-vpc

Distribuisci istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC di Amazon, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
T-0475 Valutare adeguati controlli di accesso sulla base di principi di minimo privilegio eneed-to-know.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
T-0475 Valutare adeguati controlli di accesso sulla base di principi di minimo privilegio eneed-to-know.

lambda-inside-vpc

Distribuisci le funzioni di AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi nel VPC Amazon. Con questa configurazione, non hai bisogno di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
T-0475 Valutare adeguati controlli di accesso sulla base di principi di minimo privilegio eneed-to-know.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
T-0475 Valutare adeguati controlli di accesso sulla base di principi di minimo privilegio eneed-to-know.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
T-0475 Valutare adeguati controlli di accesso sulla base di principi di minimo privilegio eneed-to-know.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
T-0475 Valutare adeguati controlli di accesso sulla base di principi di minimo privilegio eneed-to-know.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T-0475 Valutare adeguati controlli di accesso sulla base di principi di minimo privilegio eneed-to-know.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
T-0475 Valutare adeguati controlli di accesso sulla base di principi di minimo privilegio eneed-to-know.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
T-0475 Valutare adeguati controlli di accesso sulla base di principi di minimo privilegio eneed-to-know.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
T-0475 Valutare adeguati controlli di accesso sulla base di principi di minimo privilegio eneed-to-know.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
T-0475 Valutare adeguati controlli di accesso sulla base di principi di minimo privilegio eneed-to-know.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
T-0475 Valutare adeguati controlli di accesso sulla base di principi di minimo privilegio eneed-to-know.

ecs-task-definition-user-per-host-mode check

Se una definizione di attività ha privilegi elevati, è perché il cliente ha specificamente optato per tali configurazioni. Questo controllo verifica la presenza di un'escalation imprevista dei privilegi quando una definizione di attività ha abilitato la rete host ma il cliente non ha optato per privilegi elevati.
T-0475 Valutare adeguati controlli di accesso sulla base di principi di minimo privilegio eneed-to-know.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
T-0475 Valutare adeguati controlli di accesso sulla base di principi di minimo privilegio eneed-to-know.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
T 0489 Implementare le misure di sicurezza del sistema secondo le procedure stabilite per garantire riservatezza, integrità, disponibilità, autenticazione e non ripudio.

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
T 0489 Implementare le misure di sicurezza del sistema secondo le procedure stabilite per garantire riservatezza, integrità, disponibilità, autenticazione e non ripudio.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
T 0489 Implementare le misure di sicurezza del sistema secondo le procedure stabilite per garantire riservatezza, integrità, disponibilità, autenticazione e non ripudio.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
T 0489 Implementare le misure di sicurezza del sistema secondo le procedure stabilite per garantire riservatezza, integrità, disponibilità, autenticazione e non ripudio.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
T 0489 Implementare le misure di sicurezza del sistema secondo le procedure stabilite per garantire riservatezza, integrità, disponibilità, autenticazione e non ripudio.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati forniscono dettagli sull'attività delle chiamate API all'interno dell'account AWS.
T 0489 Implementare le misure di sicurezza del sistema secondo le procedure stabilite per garantire riservatezza, integrità, disponibilità, autenticazione e non ripudio.

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
T 0489 Implementare le misure di sicurezza del sistema secondo le procedure stabilite per garantire riservatezza, integrità, disponibilità, autenticazione e non ripudio.

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP da e verso le interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
T 0489 Implementare le misure di sicurezza del sistema secondo le procedure stabilite per garantire riservatezza, integrità, disponibilità, autenticazione e non ripudio.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
T 0489 Implementare le misure di sicurezza del sistema secondo le procedure stabilite per garantire riservatezza, integrità, disponibilità, autenticazione e non ripudio.

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
T 0489 Implementare le misure di sicurezza del sistema secondo le procedure stabilite per garantire riservatezza, integrità, disponibilità, autenticazione e non ripudio.

wafv2-logging abilitato

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per la regola corrispondente a ogni richiesta.
T 0489 Implementare le misure di sicurezza del sistema secondo le procedure stabilite per garantire riservatezza, integrità, disponibilità, autenticazione e non ripudio.

ricerca elastica - logs-to-cloud watch

Garantire AmazonOpenSearchI domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su AmazonCloudWatchRegistri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
T 0489 Implementare le misure di sicurezza del sistema secondo le procedure stabilite per garantire riservatezza, integrità, disponibilità, autenticazione e non ripudio.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0491 Installare e configurare hardware, software e apparecchiature periferiche per gli utenti del sistema in conformità con gli standard organizzativi.

ec2-instance-managed-by-systems-manager

Puoi inventare le piattaforme software e le applicazioni nell'organizzazione gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
T0491 Installare e configurare hardware, software e apparecchiature periferiche per gli utenti del sistema in conformità con gli standard organizzativi.

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
T0491 Installare e configurare hardware, software e apparecchiature periferiche per gli utenti del sistema in conformità con gli standard organizzativi.

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutare con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
T0503 Monitora le origini dati esterne (ad esempio, siti di fornitori di cyber defense, Computer Emergency Response Team, Security Focus) per mantenere la valuta delle condizioni di minaccia per la difesa informatica e determinare quali problemi di sicurezza possono avere un impatto sull'azienda.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
T0509 Eseguire una valutazione del rischio per la sicurezza delle informazioni. annual-risk-assessment-eseguito (controllo del processo) Esegui una valutazione annuale del rischio sulla tua organizzazione. Le valutazioni dei rischi possono aiutare a determinare la probabilità e l'impatto dei rischi e/o delle vulnerabilità identificati che interessano un'organizzazione.
T0510 Coordinare le funzioni di risposta agli incidenti. response-plan-exists-mantenuto (controllo del processo) Assicurarsi che i piani di risposta agli incidenti siano stabiliti, mantenuti e distribuiti al personale responsabile.
T0553 Applica funzioni di sicurezza informatica (ad esempio crittografia, controllo degli accessi e gestione delle identità) per ridurre le opportunità di sfruttamento.

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e separazione dei doveri. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione
T0553 Applica funzioni di sicurezza informatica (ad esempio crittografia, controllo degli accessi e gestione delle identità) per ridurre le opportunità di sfruttamento.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
T0553 Applica funzioni di sicurezza informatica (ad esempio crittografia, controllo degli accessi e gestione delle identità) per ridurre le opportunità di sfruttamento.

azioni iam-inline-policy-blocked-kms-actions

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia l'utilizzo delle policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0553 Applica funzioni di sicurezza informatica (ad esempio crittografia, controllo degli accessi e gestione delle identità) per ridurre le opportunità di sfruttamento.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia l'utilizzo delle policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
T0553 Applica funzioni di sicurezza informatica (ad esempio crittografia, controllo degli accessi e gestione delle identità) per ridurre le opportunità di sfruttamento.

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0553 Applica funzioni di sicurezza informatica (ad esempio crittografia, controllo degli accessi e gestione delle identità) per ridurre le opportunità di sfruttamento.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Allow» con «Action»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
T0553 Applica funzioni di sicurezza informatica (ad esempio crittografia, controllo degli accessi e gestione delle identità) per ridurre le opportunità di sfruttamento.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
T0553 Applica funzioni di sicurezza informatica (ad esempio crittografia, controllo degli accessi e gestione delle identità) per ridurre le opportunità di sfruttamento.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
T0553 Applica funzioni di sicurezza informatica (ad esempio crittografia, controllo degli accessi e gestione delle identità) per ridurre le opportunità di sfruttamento.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
T0553 Applica funzioni di sicurezza informatica (ad esempio crittografia, controllo degli accessi e gestione delle identità) per ridurre le opportunità di sfruttamento.

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
T0553 Applica funzioni di sicurezza informatica (ad esempio crittografia, controllo degli accessi e gestione delle identità) per ridurre le opportunità di sfruttamento.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano associate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
T0553 Applica funzioni di sicurezza informatica (ad esempio crittografia, controllo degli accessi e gestione delle identità) per ridurre le opportunità di sfruttamento.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
T0553 Applica funzioni di sicurezza informatica (ad esempio crittografia, controllo degli accessi e gestione delle identità) per ridurre le opportunità di sfruttamento.

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
T0553 Applica funzioni di sicurezza informatica (ad esempio crittografia, controllo degli accessi e gestione delle identità) per ridurre le opportunità di sfruttamento.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
T0553 Applica funzioni di sicurezza informatica (ad esempio crittografia, controllo degli accessi e gestione delle identità) per ridurre le opportunità di sfruttamento.

api-gw-cache-enabled-and-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per la cache della fase API Gateway. Poiché i dati sensibili possono essere acquisiti per il metodo API, abilitare la crittografia a riposo per proteggere tali dati.
T0553 Applica funzioni di sicurezza informatica (ad esempio crittografia, controllo degli accessi e gestione delle identità) per ridurre le opportunità di sfruttamento.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
T0553 Applica funzioni di sicurezza informatica (ad esempio crittografia, controllo degli accessi e gestione delle identità) per ridurre le opportunità di sfruttamento.

cloud-trail-encryption-enabled

Poiché potrebbero esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo AWSCloudTrailsentieri.
T0553 Applica funzioni di sicurezza informatica (ad esempio crittografia, controllo degli accessi e gestione delle identità) per ridurre le opportunità di sfruttamento.

ec2-ebs-encryption-by-default

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati.
T0553 Applica funzioni di sicurezza informatica (ad esempio crittografia, controllo degli accessi e gestione delle identità) per ridurre le opportunità di sfruttamento.

efs-encrypted-check

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo Amazon Elastic File System (EFS).
T0553 Applica funzioni di sicurezza informatica (ad esempio crittografia, controllo degli accessi e gestione delle identità) per ridurre le opportunità di sfruttamento.

elasticsearch-encrypted-at-rest

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per AmazonOpenSearchServizio (OpenSearchDomini Service).
T0553 Applica funzioni di sicurezza informatica (ad esempio crittografia, controllo degli accessi e gestione delle identità) per ridurre le opportunità di sfruttamento.

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantirenode-to-nodeCrittografia per AmazonOpenSearchIl servizio è abilitato. Node-to-nodeLa crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC) di Amazon. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
T0553 Applica funzioni di sicurezza informatica (ad esempio crittografia, controllo degli accessi e gestione delle identità) per ridurre le opportunità di sfruttamento.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
T0553 Applica funzioni di sicurezza informatica (ad esempio crittografia, controllo degli accessi e gestione delle identità) per ridurre le opportunità di sfruttamento.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
T0553 Applica funzioni di sicurezza informatica (ad esempio crittografia, controllo degli accessi e gestione delle identità) per ridurre le opportunità di sfruttamento.

encrypted-volumes

Poiché possono esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS).
T0553 Applica funzioni di sicurezza informatica (ad esempio crittografia, controllo degli accessi e gestione delle identità) per ridurre le opportunità di sfruttamento.

rds-snapshot-encrypted

Assicurati che la crittografia sia abilitata per gli snapshot di Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
T0553 Applica funzioni di sicurezza informatica (ad esempio crittografia, controllo degli accessi e gestione delle identità) per ridurre le opportunità di sfruttamento.

rds-storage-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati.
T0553 Applica funzioni di sicurezza informatica (ad esempio crittografia, controllo degli accessi e gestione delle identità) per ridurre le opportunità di sfruttamento.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0553 Applica funzioni di sicurezza informatica (ad esempio crittografia, controllo degli accessi e gestione delle identità) per ridurre le opportunità di sfruttamento.

redshift-cluster-kms-enabled

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il cluster Amazon Redshift. Poiché i dati sensibili possono esistere a riposo nei cluster Redshift, abilitare la crittografia a riposo per proteggere tali dati.
T0553 Applica funzioni di sicurezza informatica (ad esempio crittografia, controllo degli accessi e gestione delle identità) per ridurre le opportunità di sfruttamento.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
T0553 Applica funzioni di sicurezza informatica (ad esempio crittografia, controllo degli accessi e gestione delle identità) per ridurre le opportunità di sfruttamento.

S3-bucket-server-side-encryption-enabled

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati.
T0553 Applica funzioni di sicurezza informatica (ad esempio crittografia, controllo degli accessi e gestione delle identità) per ridurre le opportunità di sfruttamento.

s3-bucket-ssl-requests-only

Per proteggere i dati durante il transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
T0553 Applica funzioni di sicurezza informatica (ad esempio crittografia, controllo degli accessi e gestione delle identità) per ridurre le opportunità di sfruttamento.

s3-default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo in un bucket Amazon S3, abilitare la crittografia a riposo per proteggere tali dati.
T0553 Applica funzioni di sicurezza informatica (ad esempio crittografia, controllo degli accessi e gestione delle identità) per ridurre le opportunità di sfruttamento.

sagemaker-endpoint-configuration-kms-key-configured

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per ilSageMakerendpoint. Perché i dati sensibili possono esistere a riposoSageMakerendpoint, abilita la crittografia a riposo per proteggere tali dati.
T0553 Applica funzioni di sicurezza informatica (ad esempio crittografia, controllo degli accessi e gestione delle identità) per ridurre le opportunità di sfruttamento.

sagemaker-notebook-instance-kms-key-configurato

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per ilSageMakernotebook. Perché i dati sensibili possono esistere a riposoSageMakernotebook, abilita la crittografia a riposo per proteggere tali dati.
T0557 Integra le funzioni di gestione delle chiavi relative al cyberspazio.

cmk-backing-key-rotation-enabled

È possibile utilizzare questa funzione per garantire che le chiavi siano ruotate una volta che hanno raggiunto la fine del periodo di crittografia.
T0557 Integra le funzioni di gestione delle chiavi relative al cyberspazio.

kms-cmk-not-scheduled-for-deletion

Per proteggere i dati inattivi, assicurati che le chiavi master cliente (CMK) necessarie non siano pianificate per l'eliminazione in AWS Key Management Service (AWS KMS). Poiché a volte è necessaria l'eliminazione della chiave, questa regola può aiutare a controllare tutte le chiavi pianificate per l'eliminazione, nel caso in cui una chiave sia stata pianificata involontariamente.
T0576 Valutare l'intelligence all-source e raccomandare obiettivi per supportare gli obiettivi di cyber operation.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
T0609 Condurre l'abilitazione dell'accesso ai computer wireless e alle reti digitali.

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
T0609 Condurre l'abilitazione dell'accesso ai computer wireless e alle reti digitali.

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive nel tuo ambiente.
T0609 Condurre l'abilitazione dell'accesso ai computer wireless e alle reti digitali.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
T0609 Condurre l'abilitazione dell'accesso ai computer wireless e alle reti digitali.

ebs-snapshot-public-restorable-check

Gestisci l'accesso all'AWS Cloud assicurando che gli snapshot EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
T0609 Condurre l'abilitazione dell'accesso ai computer wireless e alle reti digitali.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
T0609 Condurre l'abilitazione dell'accesso ai computer wireless e alle reti digitali.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchServizio (OpenSearchServizio) I domini sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizio e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
T0609 Condurre l'abilitazione dell'accesso ai computer wireless e alle reti digitali.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
T0609 Condurre l'abilitazione dell'accesso ai computer wireless e alle reti digitali.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non consentendo l'ingresso (o in remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto.
T0609 Condurre l'abilitazione dell'accesso ai computer wireless e alle reti digitali.

ec2-instances-in-vpc

Distribuisci istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC di Amazon, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
T0609 Condurre l'abilitazione dell'accesso ai computer wireless e alle reti digitali.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
T0609 Condurre l'abilitazione dell'accesso ai computer wireless e alle reti digitali.

lambda-inside-vpc

Utilizza le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi nell'Amazon VPC. Con questa configurazione, non hai bisogno di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
T0609 Condurre l'abilitazione dell'accesso ai computer wireless e alle reti digitali.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
T0609 Condurre l'abilitazione dell'accesso ai computer wireless e alle reti digitali.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
T0609 Condurre l'abilitazione dell'accesso ai computer wireless e alle reti digitali.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
T0609 Condurre l'abilitazione dell'accesso ai computer wireless e alle reti digitali.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0609 Condurre l'abilitazione dell'accesso ai computer wireless e alle reti digitali.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
T0609 Condurre l'abilitazione dell'accesso ai computer wireless e alle reti digitali.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
T0609 Condurre l'abilitazione dell'accesso ai computer wireless e alle reti digitali.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
T0609 Condurre l'abilitazione dell'accesso ai computer wireless e alle reti digitali.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
T0609 Condurre l'abilitazione dell'accesso ai computer wireless e alle reti digitali.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i Gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
T0609 Condurre l'abilitazione dell'accesso ai computer wireless e alle reti digitali.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
T0609 Condurre l'abilitazione dell'accesso ai computer wireless e alle reti digitali.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
T0609 Condurre l'abilitazione dell'accesso ai computer wireless e alle reti digitali.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
T0609 Condurre l'abilitazione dell'accesso ai computer wireless e alle reti digitali.

redshift-enhanced-vpc-routing-enabled

Il routing VPC avanzato impone a tutto il traffico COPY e UNLOAD tra cluster e repository di dati a passare attraverso Amazon VPC. È quindi possibile utilizzare funzionalità VPC come gruppi di sicurezza e elenchi di controllo dell'accesso alla rete per proteggere il traffico di rete. È inoltre possibile utilizzare i registri di flusso VPC per monitorare il traffico di rete.
T0609 Condurre l'abilitazione dell'accesso ai computer wireless e alle reti digitali.

api-gw-associato-con-waf

AWS WAF consente di configurare un set di regole (denominato lista di controllo accessi Web (web ACL)) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi
T0609 Condurre l'abilitazione dell'accesso ai computer wireless e alle reti digitali.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0616 Condurre lo scouting di rete e l'analisi delle vulnerabilità dei sistemi all'interno di una rete.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
T0686 Identifica le vulnerabilità alle minacce.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
T0686 Identifica le vulnerabilità alle minacce.

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutare con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
T0706 Raccogliere informazioni sulle reti attraverso tecniche tradizionali e alternative (ad esempio analisi dei social network, call-chain, analisi del traffico).

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
T0706 Raccogliere informazioni sulle reti attraverso tecniche tradizionali e alternative (ad esempio analisi dei social network, call-chain, analisi del traffico).

autoscaling-group-elb-healthcheck-required

I controlli di integrità Elastic Load Balancer (ELB) per i gruppi Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) supportano la manutenzione di capacità e disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ping, effettua tentativi di connessione o invia richieste per testare l'integrità delle istanze Amazon EC2 in un gruppo di auto-scaling. Se un'istanza non viene segnalata, il traffico viene inviato a una nuova istanza Amazon EC2.
T0706 Raccogliere informazioni sulle reti attraverso tecniche tradizionali e alternative (ad esempio analisi dei social network, call-chain, analisi del traffico).

beanstalk-potenziato-health reporting-abilitato

Il reporting dello stato avanzato AWS Elastic Beanstalk consente una risposta più rapida ai cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione. Elastic Beanstalk migliorata segnalazione dello stato fornisce un descrittore di stato per valutare la gravità dei problemi identificati e identificare le possibili cause da indagare.
T0706 Raccogliere informazioni sulle reti attraverso tecniche tradizionali e alternative (ad esempio analisi dei social network, call-chain, analisi del traffico).

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati forniscono dettagli sull'attività delle chiamate API all'interno dell'account AWS.
T0706 Raccogliere informazioni sulle reti attraverso tecniche tradizionali e alternative (ad esempio analisi dei social network, call-chain, analisi del traffico).

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
T0706 Raccogliere informazioni sulle reti attraverso tecniche tradizionali e alternative (ad esempio analisi dei social network, call-chain, analisi del traffico).

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
T0706 Raccogliere informazioni sulle reti attraverso tecniche tradizionali e alternative (ad esempio analisi dei social network, call-chain, analisi del traffico).

cloudwatch-alarm-action-check

AmazonCloudWatchavvisi gli allarmi quando una parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionObbligatorio Config impostazione predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
T0706 Raccogliere informazioni sulle reti attraverso tecniche tradizionali e alternative (ad esempio analisi dei social network, call-chain, analisi del traffico).

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
T0706 Raccogliere informazioni sulle reti attraverso tecniche tradizionali e alternative (ad esempio analisi dei social network, call-chain, analisi del traffico).

dynamodb-throughput-limit-check

Attiva questa regola per garantire che la capacità di throughput di provisioning sia controllata sulle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura/scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando il throughput si avvicina al limite massimo per l'account di un cliente. Questa regola permette l'impostazione facoltativa AccountRCUThresholdPercentage(Config Default: 80) e accountWCUThresholdPercentage(Config Default: 80) parametri. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0706 Raccogliere informazioni sulle reti attraverso tecniche tradizionali e alternative (ad esempio analisi dei social network, call-chain, analisi del traffico).

ec2-instance-detailed-monitoring-enabled

Abilita questa regola per migliorare il monitoraggio delle istanze Amazon Elastic Compute Cloud (Amazon EC2) sulla console Amazon EC2, che visualizza dei grafici di monitoraggio relativi all'istanza a intervalli di 1 minuto.
T0706 Raccogliere informazioni sulle reti attraverso tecniche tradizionali e alternative (ad esempio analisi dei social network, call-chain, analisi del traffico).

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
T0706 Raccogliere informazioni sulle reti attraverso tecniche tradizionali e alternative (ad esempio analisi dei social network, call-chain, analisi del traffico).

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
T0706 Raccogliere informazioni sulle reti attraverso tecniche tradizionali e alternative (ad esempio analisi dei social network, call-chain, analisi del traffico).

lambda-concurrency-check

Questa regola assicura che vengano stabiliti i limiti alti e bassi di concorrenza di una funzione Lambda. Ciò può aiutare a baseline il numero di richieste che la funzione sta elaborando in un dato momento.
T0706 Raccogliere informazioni sulle reti attraverso tecniche tradizionali e alternative (ad esempio analisi dei social network, call-chain, analisi del traffico).

lambda-dlq-check

Abilita questa regola per informare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione non è riuscita.
T0706 Raccogliere informazioni sulle reti attraverso tecniche tradizionali e alternative (ad esempio analisi dei social network, call-chain, analisi del traffico).

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
T0706 Raccogliere informazioni sulle reti attraverso tecniche tradizionali e alternative (ad esempio analisi dei social network, call-chain, analisi del traffico).

rds-enhanced-monitoring-enabled

È possibile attivare Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità di Amazon RDS. Ciò fornisce una visibilità dettagliata dello stato delle istanze di database Amazon RDS. Quando lo storage Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ciascun dispositivo. Inoltre, quando l'istanza del database Amazon RDS è in esecuzione in una distribuzione Multi-AZ, vengono raccolti i dati per ciascun dispositivo sull'host secondario e le metriche dell'host secondario.
T0706 Raccogliere informazioni sulle reti attraverso tecniche tradizionali e alternative (ad esempio analisi dei social network, call-chain, analisi del traffico).

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
T0706 Raccogliere informazioni sulle reti attraverso tecniche tradizionali e alternative (ad esempio analisi dei social network, call-chain, analisi del traffico).

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
T0706 Raccogliere informazioni sulle reti attraverso tecniche tradizionali e alternative (ad esempio analisi dei social network, call-chain, analisi del traffico).

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
T0706 Raccogliere informazioni sulle reti attraverso tecniche tradizionali e alternative (ad esempio analisi dei social network, call-chain, analisi del traffico).

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP da e verso le interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
T0706 Raccogliere informazioni sulle reti attraverso tecniche tradizionali e alternative (ad esempio analisi dei social network, call-chain, analisi del traffico).

wafv2-logging abilitato

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per la regola corrispondente a ogni richiesta.
T0706 Raccogliere informazioni sulle reti attraverso tecniche tradizionali e alternative (ad esempio analisi dei social network, call-chain, analisi del traffico).

ricerca elastica - logs-to-cloud watch

Garantire AmazonOpenSearchI domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su AmazonCloudWatchRegistri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
T0706 Raccogliere informazioni sulle reti attraverso tecniche tradizionali e alternative (ad esempio analisi dei social network, call-chain, analisi del traffico).

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0777 Amministratori di rete o di sistema di profilo e le loro attività.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
T0805 Segnala eventi e intrusioni di rete significativi derivati dall'intelligence.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
T0877 Lavora in modo cooperativo con le unità organizzative applicabili per la supervisione dei diritti di accesso alle informazioni dei consumatori

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. A questo proposito, il KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
T0877 Lavora in modo cooperativo con le unità organizzative applicabili per la supervisione dei diritti di accesso alle informazioni dei consumatori

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
T0877 Lavora in modo cooperativo con le unità organizzative applicabili per la supervisione dei diritti di accesso alle informazioni dei consumatori

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia l'utilizzo delle policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
T0877 Lavora in modo cooperativo con le unità organizzative applicabili per la supervisione dei diritti di accesso alle informazioni dei consumatori

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Allow» con «Action»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
T0877 Lavora in modo cooperativo con le unità organizzative applicabili per la supervisione dei diritti di accesso alle informazioni dei consumatori

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
T0877 Lavora in modo cooperativo con le unità organizzative applicabili per la supervisione dei diritti di accesso alle informazioni dei consumatori

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano associate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
T0877 Lavora in modo cooperativo con le unità organizzative applicabili per la supervisione dei diritti di accesso alle informazioni dei consumatori

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
T0877 Lavora in modo cooperativo con le unità organizzative applicabili per la supervisione dei diritti di accesso alle informazioni dei consumatori

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può aiutare con la gestione dei privilegi e delle autorizzazioni minimi.
T0877 Lavora in modo cooperativo con le unità organizzative applicabili per la supervisione dei diritti di accesso alle informazioni dei consumatori

ecs-task-definition-user-per-host-mode check

Se una definizione di attività ha privilegi elevati, è perché il cliente ha specificamente optato per tali configurazioni. Questo controllo verifica la presenza di un'escalation imprevista dei privilegi quando una definizione di attività ha abilitato la rete host ma il cliente non ha optato per privilegi elevati.
T0877 Lavora in modo cooperativo con le unità organizzative applicabili per la supervisione dei diritti di accesso alle informazioni dei consumatori

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0877 Lavora in modo cooperativo con le unità organizzative applicabili per la supervisione dei diritti di accesso alle informazioni dei consumatori

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
T-0935 Eseguire una valutazione del rischio per la sicurezza delle informazioni. annual-risk-assessment-eseguito (controllo del processo) Esegui una valutazione annuale del rischio sulla tua organizzazione. Le valutazioni dei rischi possono aiutare a determinare la probabilità e l'impatto dei rischi e/o delle vulnerabilità identificati che interessano un'organizzazione.
T0960 Monitorare le modifiche apportate a un sistema e al suo ambiente di funzionamento.

autoscaling-group-elb-healthcheck-required

I controlli di integrità Elastic Load Balancer (ELB) per i gruppi Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) supportano la manutenzione di capacità e disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ping, effettua tentativi di connessione o invia richieste per testare l'integrità delle istanze Amazon EC2 in un gruppo di auto-scaling. Se un'istanza non viene segnalata, il traffico viene inviato a una nuova istanza Amazon EC2.
T0960 Monitorare le modifiche apportate a un sistema e al suo ambiente di funzionamento.

lambda-concurrency-check

Questa regola assicura che vengano stabiliti i limiti alti e bassi di concorrenza di una funzione Lambda. Ciò può aiutare a baseline il numero di richieste che la funzione sta elaborando in un dato momento.
T0960 Monitorare le modifiche apportate a un sistema e al suo ambiente di funzionamento.

beanstalk-potenziato-health reporting-abilitato

Il reporting dello stato avanzato AWS Elastic Beanstalk consente una risposta più rapida ai cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione. Elastic Beanstalk migliorata segnalazione dello stato fornisce un descrittore di stato per valutare la gravità dei problemi identificati e identificare le possibili cause da indagare.
T0960 Monitorare le modifiche apportate a un sistema e al suo ambiente di funzionamento.

cloudwatch-alarm-action-check

AmazonCloudWatchavvisi gli allarmi quando una parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionObbligatorio Config impostazione predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
T0960 Monitorare le modifiche apportate a un sistema e al suo ambiente di funzionamento.

dynamodb-throughput-limit-check

Attiva questa regola per garantire che la capacità di throughput di provisioning sia controllata sulle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura/scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando il throughput si avvicina al limite massimo per l'account di un cliente. Questa regola permette l'impostazione facoltativa AccountRCUThresholdPercentage(Config Default: 80) e accountWCUThresholdPercentage(Config Default: 80) parametri. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0960 Monitorare le modifiche apportate a un sistema e al suo ambiente di funzionamento.

ec2-instance-detailed-monitoring-enabled

Abilita questa regola per migliorare il monitoraggio delle istanze Amazon Elastic Compute Cloud (Amazon EC2) sulla console Amazon EC2, che visualizza dei grafici di monitoraggio relativi all'istanza a intervalli di 1 minuto.
T0960 Monitorare le modifiche apportate a un sistema e al suo ambiente di funzionamento.

lambda-dlq-check

Abilita questa regola per informare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione non è riuscita.
T0960 Monitorare le modifiche apportate a un sistema e al suo ambiente di funzionamento.

rds-enhanced-monitoring-enabled

È possibile attivare Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità di Amazon RDS. Ciò fornisce una visibilità dettagliata dello stato delle istanze di database Amazon RDS. Quando lo storage Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ciascun dispositivo. Inoltre, quando l'istanza del database Amazon RDS è in esecuzione in una distribuzione Multi-AZ, vengono raccolti i dati per ciascun dispositivo sull'host secondario e le metriche dell'host secondario.
T0992 Determina come verranno utilizzati i risultati del monitoraggio continuo nell'autorizzazione in corso.

access-keys-rotated

Le credenziali vengono controllate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo i criteri organizzativi. La modifica delle chiavi di accesso con una pianificazione periodica è una procedura consigliata per la sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
T0992 Determina come verranno utilizzati i risultati del monitoraggio continuo nell'autorizzazione in corso.

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. A questo proposito, il KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
T0992 Determina come verranno utilizzati i risultati del monitoraggio continuo nell'autorizzazione in corso.

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e separazione dei doveri. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione
T0992 Determina come verranno utilizzati i risultati del monitoraggio continuo nell'autorizzazione in corso.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
T0992 Determina come verranno utilizzati i risultati del monitoraggio continuo nell'autorizzazione in corso.

azioni iam-inline-policy-blocked-kms-actions

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia l'utilizzo delle policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0992 Determina come verranno utilizzati i risultati del monitoraggio continuo nell'autorizzazione in corso.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia l'utilizzo delle policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
T0992 Determina come verranno utilizzati i risultati del monitoraggio continuo nell'autorizzazione in corso.

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0992 Determina come verranno utilizzati i risultati del monitoraggio continuo nell'autorizzazione in corso.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Allow» con «Action»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
T0992 Determina come verranno utilizzati i risultati del monitoraggio continuo nell'autorizzazione in corso.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
T0992 Determina come verranno utilizzati i risultati del monitoraggio continuo nell'autorizzazione in corso.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
T0992 Determina come verranno utilizzati i risultati del monitoraggio continuo nell'autorizzazione in corso.

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
T0992 Determina come verranno utilizzati i risultati del monitoraggio continuo nell'autorizzazione in corso.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano associate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
T0992 Determina come verranno utilizzati i risultati del monitoraggio continuo nell'autorizzazione in corso.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
T0992 Determina come verranno utilizzati i risultati del monitoraggio continuo nell'autorizzazione in corso.

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
T0992 Determina come verranno utilizzati i risultati del monitoraggio continuo nell'autorizzazione in corso.

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
T0992 Determina come verranno utilizzati i risultati del monitoraggio continuo nell'autorizzazione in corso.

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
T0992 Determina come verranno utilizzati i risultati del monitoraggio continuo nell'autorizzazione in corso.

secretsmanager-rotation-enabled-check

Questa regola assicura che i segreti di AWS Secrets Manager abbiano abilitato la rotazione. La rotazione dei segreti in base a un programma regolare può ridurre il periodo di attività di un segreto e potenzialmente ridurre l'impatto aziendale se il segreto viene compromesso.
T0992 Determina come verranno utilizzati i risultati del monitoraggio continuo nell'autorizzazione in corso.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
T0992 Determina come verranno utilizzati i risultati del monitoraggio continuo nell'autorizzazione in corso.

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può aiutare con la gestione dei privilegi e delle autorizzazioni minimi.
T0992 Determina come verranno utilizzati i risultati del monitoraggio continuo nell'autorizzazione in corso.

ecs-task-definition-user-per-host-mode check

Se una definizione di attività ha privilegi elevati, è perché il cliente ha specificamente optato per tali configurazioni. Questo controllo verifica la presenza di un'escalation imprevista dei privilegi quando una definizione di attività ha abilitato la rete host ma il cliente non ha optato per privilegi elevati.
T0993 Stabilire strumenti e tecnologie di monitoraggio continuo, processi e procedure di controllo degli accessi.

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
T0993 Stabilire strumenti e tecnologie di monitoraggio continuo, processi e procedure di controllo degli accessi.

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e separazione dei doveri. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione
T0993 Stabilire strumenti e tecnologie di monitoraggio continuo, processi e procedure di controllo degli accessi.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
T0993 Stabilire strumenti e tecnologie di monitoraggio continuo, processi e procedure di controllo degli accessi.

azioni iam-inline-policy-blocked-kms-actions

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia l'utilizzo delle policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0993 Stabilire strumenti e tecnologie di monitoraggio continuo, processi e procedure di controllo degli accessi.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia l'utilizzo delle policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
T0993 Stabilire strumenti e tecnologie di monitoraggio continuo, processi e procedure di controllo degli accessi.

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
T0993 Stabilire strumenti e tecnologie di monitoraggio continuo, processi e procedure di controllo degli accessi.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Allow» con «Action»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
T0993 Stabilire strumenti e tecnologie di monitoraggio continuo, processi e procedure di controllo degli accessi.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
T0993 Stabilire strumenti e tecnologie di monitoraggio continuo, processi e procedure di controllo degli accessi.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
T0993 Stabilire strumenti e tecnologie di monitoraggio continuo, processi e procedure di controllo degli accessi.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
T0993 Stabilire strumenti e tecnologie di monitoraggio continuo, processi e procedure di controllo degli accessi.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano associate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
T0993 Stabilire strumenti e tecnologie di monitoraggio continuo, processi e procedure di controllo degli accessi.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
T0993 Stabilire strumenti e tecnologie di monitoraggio continuo, processi e procedure di controllo degli accessi.

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
T0993 Stabilire strumenti e tecnologie di monitoraggio continuo, processi e procedure di controllo degli accessi.

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
T0993 Stabilire strumenti e tecnologie di monitoraggio continuo, processi e procedure di controllo degli accessi.

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.

Modello

Il modello è disponibile suGitHub: Best practice operative per NIST 800 181.