Best practice operative per NIST Privacy Framework v1.0 - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice operative per NIST Privacy Framework v1.0

I pacchetti di conformità forniscono un framework di conformità generico progettato per consentire di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando gestiti o personalizzatiAWS ConfigRules eAWS Configazioni di risanamento. I Conformance Pack, come modelli di esempio, non sono progettati per garantire la conformità con uno standard di governance o di conformità specifici. L'utente è responsabile di valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.

Di seguito viene fornito un esempio di mappatura tra il NIST Privacy Framework eAWSregole di Config gestite. CiascunaAWS Configregola si applica a uno specificoAWSrisorsa e si riferisce a uno o più controlli NIST Privacy Framework. Un controllo NIST Privacy Framework può essere correlato a piùAWS ConfigRules. Fare riferimento alla tabella sottostante per ulteriori dettagli e indicazioni relative a queste mappature.

Regione AWS:Tutto supportatoRegioni AWStranne Medio Oriente (Bahrein)

ID controllo Descrizione del controllo Regola AWS Config Linee guida di
CT.DM-P7 Vengono stabiliti e implementati meccanismi per la trasmissione delle autorizzazioni di elaborazione e dei relativi valori di dati con elementi dati.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
CT.DM-P7 Vengono stabiliti e implementati meccanismi per la trasmissione delle autorizzazioni di elaborazione e dei relativi valori di dati con elementi dati.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
CT.DM-P7 Vengono stabiliti e implementati meccanismi per la trasmissione delle autorizzazioni di elaborazione e dei relativi valori di dati con elementi dati.

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantirenode-to-nodecrittografia per AmazonOpenSearchIl servizio è abilitato. Node-to-nodeLa crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC) di Amazon. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
CT.DM-P7 Vengono stabiliti e implementati meccanismi per la trasmissione delle autorizzazioni di elaborazione e dei relativi valori di dati con elementi dati.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
CT.DM-P7 Vengono stabiliti e implementati meccanismi per la trasmissione delle autorizzazioni di elaborazione e dei relativi valori di dati con elementi dati.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
CT.DM-P7 Vengono stabiliti e implementati meccanismi per la trasmissione delle autorizzazioni di elaborazione e dei relativi valori di dati con elementi dati.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
CT.DM-P7 Vengono stabiliti e implementati meccanismi per la trasmissione delle autorizzazioni di elaborazione e dei relativi valori di dati con elementi dati.

s3-bucket-ssl-requests-only

Per proteggere i dati durante il transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
CT.DM-P8 I record di audit/log sono determinati, documentati, implementati e revisionati in conformità con la politica e incorporando il principio della minimizzazione dei dati.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
CT.DM-P8 I record di audit/log sono determinati, documentati, implementati e revisionati in conformità con la politica e incorporando il principio della minimizzazione dei dati.

autoscaling-group-elb-healthcheck-required

I controlli di integrità Elastic Load Balancer (ELB) per i gruppi Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) supportano la manutenzione di capacità e disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ping, effettua tentativi di connessione o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo di auto-scaling. Se un'istanza non viene segnalata, il traffico viene inviato a una nuova istanza Amazon EC2.
CT.DM-P8 I record di audit/log sono determinati, documentati, implementati e revisionati in conformità con la politica e incorporando il principio della minimizzazione dei dati.

beanstalk-potenziato-health reporting-abilitato

AWS Elastic Beanstalk, il reporting dello stato avanzato consente una risposta più rapida ai cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione. Elastic Beanstalk migliorata segnalazione dello stato fornisce un descrittore di stato per valutare la gravità dei problemi identificati e identificare le possibili cause da indagare.
CT.DM-P8 I record di audit/log sono determinati, documentati, implementati e revisionati in conformità con la politica e incorporando il principio della minimizzazione dei dati.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati forniscono dettagli sull'attività delle chiamate API all'interno dell'account AWS.
CT.DM-P8 I record di audit/log sono determinati, documentati, implementati e revisionati in conformità con la politica e incorporando il principio della minimizzazione dei dati.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
CT.DM-P8 I record di audit/log sono determinati, documentati, implementati e revisionati in conformità con la politica e incorporando il principio della minimizzazione dei dati.

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
CT.DM-P8 I record di audit/log sono determinati, documentati, implementati e revisionati in conformità con la politica e incorporando il principio della minimizzazione dei dati.

cloudwatch-alarm-action-check

AmazonCloudWatchavvisa gli allarmi quando una metrica supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionObbligatorio Config impostazione predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
CT.DM-P8 I record di audit/log sono determinati, documentati, implementati e revisionati in conformità con la politica e incorporando il principio della minimizzazione dei dati.

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
CT.DM-P8 I record di audit/log sono determinati, documentati, implementati e revisionati in conformità con la politica e incorporando il principio della minimizzazione dei dati.

dynamodb-throughput-limit-check

Attiva questa regola per garantire che la capacità di throughput di provisioning sia controllata sulle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura/scrittura che ciascuna tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando il throughput si avvicina al limite massimo per l'account di un cliente. Questa regola permette la configurazione di AccountRCUThresholdPercentage(Config Default: 80) e accountWCUThresholdPercentage(Config Default: 80) parametri. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
CT.DM-P8 I record di audit/log sono determinati, documentati, implementati e revisionati in conformità con la politica e incorporando il principio della minimizzazione dei dati.

ec2-instance-detailed-monitoring-enabled

Abilita questa regola per migliorare il monitoraggio delle istanze Amazon Elastic Compute Cloud (Amazon EC2) sulla console Amazon EC2, che visualizza grafici di monitoraggio relativi all'istanza a intervalli di 1 minuto.
CT.DM-P8 I record di audit/log sono determinati, documentati, implementati e revisionati in conformità con la politica e incorporando il principio della minimizzazione dei dati.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
CT.DM-P8 I record di audit/log sono determinati, documentati, implementati e revisionati in conformità con la politica e incorporando il principio della minimizzazione dei dati.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
CT.DM-P8 I record di audit/log sono determinati, documentati, implementati e revisionati in conformità con la politica e incorporando il principio della minimizzazione dei dati.

rds-enhanced-monitoring-enabled

Abilita Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità Amazon RDS. Ciò fornisce una visibilità dettagliata dello stato delle istanze di database Amazon RDS. Quando lo storage Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ciascun dispositivo. Inoltre, quando l'istanza del database Amazon RDS è in esecuzione in una distribuzione Multi-AZ, vengono raccolti i dati per ciascun dispositivo sull'host secondario e le metriche dell'host secondario.
CT.DM-P8 I record di audit/log sono determinati, documentati, implementati e revisionati in conformità con la politica e incorporando il principio della minimizzazione dei dati.

rds-logging-enabled

Per agevolare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
CT.DM-P8 I record di audit/log sono determinati, documentati, implementati e revisionati in conformità con la politica e incorporando il principio della minimizzazione dei dati.

s3-bucket-logging-enabled

La registrazione degli accessi al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, l'operazione della richiesta, l'operazione della richiesta, lo stato della richiesta, lo stato della richiesta,
CT.DM-P8 I record di audit/log sono determinati, documentati, implementati e revisionati in conformità con la politica e incorporando il principio della minimizzazione dei dati.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
CT.DM-P8 I record di audit/log sono determinati, documentati, implementati e revisionati in conformità con la politica e incorporando il principio della minimizzazione dei dati.

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita, il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
CT.DM-P8 I record di audit/log sono determinati, documentati, implementati e revisionati in conformità con la politica e incorporando il principio della minimizzazione dei dati.

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per la regola corrispondente a ogni richiesta.
CT.DM-P8 I record di audit/log sono determinati, documentati, implementati e revisionati in conformità con la politica e incorporando il principio della minimizzazione dei dati.

ricerca elastica - logs-to-cloud watch

Garantire AmazonOpenSearchI domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su AmazonCloudWatchRegistri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
CT.DM-P8 I record di audit/log sono determinati, documentati, implementati e revisionati in conformità con la politica e incorporando il principio della minimizzazione dei dati.

guardduty-non-archived-findings

AmazonGuardDutyaiuta a comprendere l'impatto di un incidente classificando i risultati per gravità: bassa, media e alta. È possibile utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola permette l'impostazione facoltativadaysLowSev(Impostazione predefinita: 30),daysMediumSev(Config Default: 7) edaysHighSev(Config Predefinito: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione.
CT.DM-P8 I record di audit/log sono determinati, documentati, implementati e revisionati in conformità con la politica e incorporando il principio della minimizzazione dei dati.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
CT.DM-P8 I record di audit/log sono determinati, documentati, implementati e revisionati in conformità con la politica e incorporando il principio della minimizzazione dei dati. audit-log-policy-exists (verifica del processo) Stabilire e mantenere un criterio di gestione dei log di controllo che definisce i requisiti di registrazione dell'organizzazione. Ciò include, a titolo esemplificativo ma non esaustivo, la revisione e la conservazione dei registri di controllo.
ID.DE-P2 Le parti dell'ecosistema di elaborazione dei dati (ad esempio fornitori di servizi, clienti, partner, produttori di prodotti, sviluppatori di applicazioni) vengono identificate, assegnate priorità e valutate utilizzando un processo di valutazione del rischio sulla privacy. annual-risk-assessment-eseguito (controllo del processo) Esegui una valutazione annuale del rischio sulla tua organizzazione. Le valutazioni dei rischi possono aiutare a determinare la probabilità e l'impatto dei rischi e/o delle vulnerabilità identificati che interessano un'organizzazione.
PR.AC-P1 Le identità e le credenziali vengono emesse, gestite, verificate, revocate e controllate per persone, processi e dispositivi autorizzati.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Azione»: «*» su «Risorsa» :"Action»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
PR.AC-P1 Le identità e le credenziali vengono emesse, gestite, verificate, revocate e controllate per persone, processi e dispositivi autorizzati.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
PR.AC-P1 Le identità e le credenziali vengono emesse, gestite, verificate, revocate e controllate per persone, processi e dispositivi autorizzati.

access-keys-rotated

Le credenziali vengono controllate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo i criteri organizzativi. La modifica delle chiavi di accesso con una pianificazione regolare è una procedura consigliata per la sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
PR.AC-P1 Le identità e le credenziali vengono emesse, gestite, verificate, revocate e controllate per persone, processi e dispositivi autorizzati.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
PR.AC-P1 Le identità e le credenziali vengono emesse, gestite, verificate, revocate e controllate per persone, processi e dispositivi autorizzati.

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore true) AWS Foundational Security Best PracticesRequireNumbers(Valore true) AWS Foundational Security Best PracticesMinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
PR.AC-P1 Le identità e le credenziali vengono emesse, gestite, verificate, revocate e controllate per persone, processi e dispositivi autorizzati.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede l'impostazione di un valore permaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
PR.AC-P1 Le identità e le credenziali vengono emesse, gestite, verificate, revocate e controllate per persone, processi e dispositivi autorizzati.

secretsmanager-rotation-enabled-check

Questa regola assicura che i segreti di AWS Secrets Manager abbiano abilitato la rotazione. La rotazione dei segreti in base a un programma regolare può ridurre il periodo di attività di un segreto e potenzialmente ridurre l'impatto aziendale se il segreto viene compromesso.
PR.AC-P1 Le identità e le credenziali vengono emesse, gestite, verificate, revocate e controllate per persone, processi e dispositivi autorizzati.

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono eseguire l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC si autentica emettendo dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
PR.AC-P1 Le identità e le credenziali vengono emesse, gestite, verificate, revocate e controllate per persone, processi e dispositivi autorizzati.

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e la separazione dei doveri. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione
PR.AC-P1 Le identità e le credenziali vengono emesse, gestite, verificate, revocate e controllate per persone, processi e dispositivi autorizzati.

azioni iam-inline-policy-blocked-kms-actions

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
PR.AC-P1 Le identità e le credenziali vengono emesse, gestite, verificate, revocate e controllate per persone, processi e dispositivi autorizzati.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
PR.AC-P1 Le identità e le credenziali vengono emesse, gestite, verificate, revocate e controllate per persone, processi e dispositivi autorizzati.

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce l'abilitazione a più fattori (MFA) per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
PR.AC-P1 Le identità e le credenziali vengono emesse, gestite, verificate, revocate e controllate per persone, processi e dispositivi autorizzati.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
PR.AC-P1 Le identità e le credenziali vengono emesse, gestite, verificate, revocate e controllate per persone, processi e dispositivi autorizzati.

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'associazione di un profilo di istanza alle istanze può aiutare nella gestione dei privilegi e delle autorizzazioni minimi.
PR.AC-P1 Le identità e le credenziali vengono emesse, gestite, verificate, revocate e controllate per persone, processi e dispositivi autorizzati.

ecs-task-definition-user-per-host-mode check

Se una definizione di attività ha privilegi elevati, è perché il cliente ha specificamente optato per tali configurazioni. Questo controllo verifica la presenza di un'escalation imprevista dei privilegi quando una definizione di attività ha abilitato la rete host ma il cliente non ha optato per privilegi elevati.
PR.AC-P1 Le identità e le credenziali vengono emesse, gestite, verificate, revocate e controllate per persone, processi e dispositivi autorizzati.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
PR.AC-P1 Le identità e le credenziali vengono emesse, gestite, verificate, revocate e controllate per persone, processi e dispositivi autorizzati.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non consentire l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto.
PR.AC-P1 Le identità e le credenziali vengono emesse, gestite, verificate, revocate e controllate per persone, processi e dispositivi autorizzati.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
PR.AC-P3 L'accesso remoto è gestito.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
PR.AC-P3 L'accesso remoto è gestito.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
PR.AC-P3 L'accesso remoto è gestito.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non sia accessibile pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
PR.AC-P3 L'accesso remoto è gestito.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (Servizio)OpenSearchI domini Service) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizio e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
PR.AC-P3 L'accesso remoto è gestito.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
PR.AC-P3 L'accesso remoto è gestito.

ec2-instances-in-vpc

Distribuisci istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
PR.AC-P3 L'accesso remoto è gestito.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
PR.AC-P3 L'accesso remoto è gestito.

lambda-inside-vpc

Distribuisci le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi nell'Amazon VPC. Con questa configurazione, non è necessario un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
PR.AC-P3 L'accesso remoto è gestito.

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
PR.AC-P3 L'accesso remoto è gestito.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
PR.AC-P3 L'accesso remoto è gestito.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
PR.AC-P3 L'accesso remoto è gestito.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
PR.AC-P3 L'accesso remoto è gestito.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
PR.AC-P3 L'accesso remoto è gestito.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non consentire l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto.
PR.AC-P3 L'accesso remoto è gestito.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
PR.AC-P3 L'accesso remoto è gestito.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
PR.AC-P3 L'accesso remoto è gestito.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
PR.AC-P3 L'accesso remoto è gestito.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
PR.AC-P3 L'accesso remoto è gestito.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
PR.AC-P3 L'accesso remoto è gestito.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
PR.AC-P3 L'accesso remoto è gestito.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
PR.AC-P3 L'accesso remoto è gestito.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
PR.AC-P3 L'accesso remoto è gestito.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
PR.AC-P3 L'accesso remoto è gestito.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
PR.AC-P3 L'accesso remoto è gestito.

redshift-enhanced-vpc-routing-enabled

Il routing VPC avanzato forza il passaggio di tutto il traffico dei comandi COPY e UNLOAD tra il cluster e i repository di dati a passare attraverso Amazon VPC. È quindi possibile utilizzare funzionalità VPC come gruppi di sicurezza e elenchi di controllo dell'accesso alla rete per proteggere il traffico di rete. È inoltre possibile utilizzare i registri di flusso VPC per monitorare il traffico di rete.
PR.AC-P4 Le autorizzazioni e le autorizzazioni di accesso sono gestite, incorporando i principi del minimo privilegio e la separazione dei doveri.

ec2-imdsv2 - controllo

Assicurati che il metodo Instance Metadata Service Version 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati dell'istanza Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati su sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze.
PR.AC-P4 Le autorizzazioni e le autorizzazioni di accesso sono gestite, incorporando i principi del minimo privilegio e la separazione dei doveri.

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono eseguire l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC si autentica emettendo dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
PR.AC-P4 Le autorizzazioni e le autorizzazioni di accesso sono gestite, incorporando i principi del minimo privilegio e la separazione dei doveri.

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e la separazione dei doveri. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione
PR.AC-P4 Le autorizzazioni e le autorizzazioni di accesso sono gestite, incorporando i principi del minimo privilegio e la separazione dei doveri.

azioni iam-inline-policy-blocked-kms-actions

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
PR.AC-P4 Le autorizzazioni e le autorizzazioni di accesso sono gestite, incorporando i principi del minimo privilegio e la separazione dei doveri.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
PR.AC-P4 Le autorizzazioni e le autorizzazioni di accesso sono gestite, incorporando i principi del minimo privilegio e la separazione dei doveri.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Azione»: «*» su «Risorsa» :"Action»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
PR.AC-P4 Le autorizzazioni e le autorizzazioni di accesso sono gestite, incorporando i principi del minimo privilegio e la separazione dei doveri.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
PR.AC-P4 Le autorizzazioni e le autorizzazioni di accesso sono gestite, incorporando i principi del minimo privilegio e la separazione dei doveri.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
PR.AC-P4 Le autorizzazioni e le autorizzazioni di accesso sono gestite, incorporando i principi del minimo privilegio e la separazione dei doveri.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede l'impostazione di un valore permaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
PR.AC-P4 Le autorizzazioni e le autorizzazioni di accesso sono gestite, incorporando i principi del minimo privilegio e la separazione dei doveri.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
PR.AC-P4 Le autorizzazioni e le autorizzazioni di accesso sono gestite, incorporando i principi del minimo privilegio e la separazione dei doveri.

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'associazione di un profilo di istanza alle istanze può aiutare nella gestione dei privilegi e delle autorizzazioni minimi.
PR.AC-P4 Le autorizzazioni e le autorizzazioni di accesso sono gestite, incorporando i principi del minimo privilegio e la separazione dei doveri.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
PR.AC-P4 Le autorizzazioni e le autorizzazioni di accesso sono gestite, incorporando i principi del minimo privilegio e la separazione dei doveri.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
PR.AC-P4 Le autorizzazioni e le autorizzazioni di accesso sono gestite, incorporando i principi del minimo privilegio e la separazione dei doveri.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non sia accessibile pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
PR.AC-P4 Le autorizzazioni e le autorizzazioni di accesso sono gestite, incorporando i principi del minimo privilegio e la separazione dei doveri.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (Servizio)OpenSearchI domini Service) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizio e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
PR.AC-P4 Le autorizzazioni e le autorizzazioni di accesso sono gestite, incorporando i principi del minimo privilegio e la separazione dei doveri.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
PR.AC-P4 Le autorizzazioni e le autorizzazioni di accesso sono gestite, incorporando i principi del minimo privilegio e la separazione dei doveri.

ec2-instances-in-vpc

Distribuisci istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
PR.AC-P4 Le autorizzazioni e le autorizzazioni di accesso sono gestite, incorporando i principi del minimo privilegio e la separazione dei doveri.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
PR.AC-P4 Le autorizzazioni e le autorizzazioni di accesso sono gestite, incorporando i principi del minimo privilegio e la separazione dei doveri.

lambda-inside-vpc

Distribuisci le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi nell'Amazon VPC. Con questa configurazione, non è necessario un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
PR.AC-P4 Le autorizzazioni e le autorizzazioni di accesso sono gestite, incorporando i principi del minimo privilegio e la separazione dei doveri.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
PR.AC-P4 Le autorizzazioni e le autorizzazioni di accesso sono gestite, incorporando i principi del minimo privilegio e la separazione dei doveri.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
PR.AC-P4 Le autorizzazioni e le autorizzazioni di accesso sono gestite, incorporando i principi del minimo privilegio e la separazione dei doveri.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
PR.AC-P4 Le autorizzazioni e le autorizzazioni di accesso sono gestite, incorporando i principi del minimo privilegio e la separazione dei doveri.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
PR.AC-P4 Le autorizzazioni e le autorizzazioni di accesso sono gestite, incorporando i principi del minimo privilegio e la separazione dei doveri.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
PR.AC-P4 Le autorizzazioni e le autorizzazioni di accesso sono gestite, incorporando i principi del minimo privilegio e la separazione dei doveri.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
PR.AC-P4 Le autorizzazioni e le autorizzazioni di accesso sono gestite, incorporando i principi del minimo privilegio e la separazione dei doveri.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
PR.AC-P4 Le autorizzazioni e le autorizzazioni di accesso sono gestite, incorporando i principi del minimo privilegio e la separazione dei doveri.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
PR.AC-P4 Le autorizzazioni e le autorizzazioni di accesso sono gestite, incorporando i principi del minimo privilegio e la separazione dei doveri.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
PR.AC-P4 Le autorizzazioni e le autorizzazioni di accesso sono gestite, incorporando i principi del minimo privilegio e la separazione dei doveri.

ecs-task-definition-user-per-host-mode check

Se una definizione di attività ha privilegi elevati, è perché il cliente ha specificamente optato per tali configurazioni. Questo controllo verifica la presenza di un'escalation imprevista dei privilegi quando una definizione di attività ha abilitato la rete host ma il cliente non ha optato per privilegi elevati.
PR.AC-P4 Le autorizzazioni e le autorizzazioni di accesso sono gestite, incorporando i principi del minimo privilegio e la separazione dei doveri.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
PR.AC-P4 Le autorizzazioni e le autorizzazioni di accesso sono gestite, incorporando i principi del minimo privilegio e la separazione dei doveri.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
PR.AC-P5 L'integrità della rete è protetta (ad esempio, segregazione della rete, segmentazione della rete).

acm-certificate-expiration-check

Assicurati che l'integrità della rete sia protetta assicurando che i certificati X509 vengano emessi da AWS ACM. Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore perdaysToExpiration(Valore AWS Foundational Security Best Practices: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
PR.AC-P5 L'integrità della rete è protetta (ad esempio, segregazione della rete, segmentazione della rete).

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
PR.AC-P5 L'integrità della rete è protetta (ad esempio, segregazione della rete, segmentazione della rete).

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
PR.AC-P5 L'integrità della rete è protetta (ad esempio, segregazione della rete, segmentazione della rete).

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non consentire l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto.
PR.AC-P5 L'integrità della rete è protetta (ad esempio, segregazione della rete, segmentazione della rete).

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
PR.AC-P5 L'integrità della rete è protetta (ad esempio, segregazione della rete, segmentazione della rete).

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non sia accessibile pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
PR.AC-P5 L'integrità della rete è protetta (ad esempio, segregazione della rete, segmentazione della rete).

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (Servizio)OpenSearchI domini Service) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizio e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
PR.AC-P5 L'integrità della rete è protetta (ad esempio, segregazione della rete, segmentazione della rete).

ec2-instances-in-vpc

Distribuisci istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
PR.AC-P5 L'integrità della rete è protetta (ad esempio, segregazione della rete, segmentazione della rete).

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
PR.AC-P5 L'integrità della rete è protetta (ad esempio, segregazione della rete, segmentazione della rete).

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
PR.AC-P5 L'integrità della rete è protetta (ad esempio, segregazione della rete, segmentazione della rete).

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
PR.AC-P5 L'integrità della rete è protetta (ad esempio, segregazione della rete, segmentazione della rete).

lambda-inside-vpc

Distribuisci le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi nell'Amazon VPC. Con questa configurazione, non è necessario un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
PR.AC-P5 L'integrità della rete è protetta (ad esempio, segregazione della rete, segmentazione della rete).

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
PR.AC-P5 L'integrità della rete è protetta (ad esempio, segregazione della rete, segmentazione della rete).

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
PR.AC-P5 L'integrità della rete è protetta (ad esempio, segregazione della rete, segmentazione della rete).

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
PR.AC-P5 L'integrità della rete è protetta (ad esempio, segregazione della rete, segmentazione della rete).

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
PR.AC-P5 L'integrità della rete è protetta (ad esempio, segregazione della rete, segmentazione della rete).

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
PR.AC-P5 L'integrità della rete è protetta (ad esempio, segregazione della rete, segmentazione della rete).

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
PR.AC-P5 L'integrità della rete è protetta (ad esempio, segregazione della rete, segmentazione della rete).

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
PR.AC-P5 L'integrità della rete è protetta (ad esempio, segregazione della rete, segmentazione della rete).

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
PR.AC-P5 L'integrità della rete è protetta (ad esempio, segregazione della rete, segmentazione della rete).

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
PR.AC-P5 L'integrità della rete è protetta (ad esempio, segregazione della rete, segmentazione della rete).

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
PR.AC-P5 L'integrità della rete è protetta (ad esempio, segregazione della rete, segmentazione della rete).

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
PR.AC-P5 L'integrità della rete è protetta (ad esempio, segregazione della rete, segmentazione della rete).

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
PR.AC-P5 L'integrità della rete è protetta (ad esempio, segregazione della rete, segmentazione della rete).

redshift-enhanced-vpc-routing-enabled

Il routing VPC avanzato forza il passaggio di tutto il traffico dei comandi COPY e UNLOAD tra il cluster e i repository di dati a passare attraverso Amazon VPC. È quindi possibile utilizzare funzionalità VPC come gruppi di sicurezza e elenchi di controllo dell'accesso alla rete per proteggere il traffico di rete. È inoltre possibile utilizzare i registri di flusso VPC per monitorare il traffico di rete.
PR.AC-P5 L'integrità della rete è protetta (ad esempio, segregazione della rete, segmentazione della rete).

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
PR.AC-P6 Gli individui e i dispositivi sono sottoposti a prova e vincolati alle credenziali e sono autenticati commisurati al rischio della transazione (ad esempio, rischi per la sicurezza e la privacy degli individui e altri rischi organizzativi).

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore true) AWS Foundational Security Best PracticesRequireNumbers(Valore true) AWS Foundational Security Best PracticesMinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
PR.AC-P6 Gli individui e i dispositivi sono sottoposti a prova e vincolati alle credenziali e sono autenticati commisurati al rischio della transazione (ad esempio, rischi per la sicurezza e la privacy degli individui e altri rischi organizzativi).

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce l'abilitazione a più fattori (MFA) per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
PR.AC-P6 Gli individui e i dispositivi sono sottoposti a prova e vincolati alle credenziali e sono autenticati commisurati al rischio della transazione (ad esempio, rischi per la sicurezza e la privacy degli individui e altri rischi organizzativi).

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
PR.AC-P6 Gli individui e i dispositivi sono sottoposti a prova e vincolati alle credenziali e sono autenticati commisurati al rischio della transazione (ad esempio, rischi per la sicurezza e la privacy degli individui e altri rischi organizzativi).

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
PR.AC-P6 Gli individui e i dispositivi sono sottoposti a prova e vincolati alle credenziali e sono autenticati commisurati al rischio della transazione (ad esempio, rischi per la sicurezza e la privacy degli individui e altri rischi organizzativi).

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
PR.DS-P1 Data-at-restsono protetti.

api-gw-cache-enabled-and-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per la cache della fase API Gateway. Poiché i dati sensibili possono essere acquisiti per il metodo API, abilitare la crittografia a riposo per proteggere tali dati.
PR.DS-P1 Data-at-restsono protetti.

cloud-trail-encryption-enabled

Poiché potrebbero esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo AWSCloudTrailsentieri.
PR.DS-P1 Data-at-restsono protetti.

encrypted-volumes

Poiché i dati sensibili possono esistere e per aiutare a proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS).
PR.DS-P1 Data-at-restsono protetti.

ec2-ebs-encryption-by-default

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati.
PR.DS-P1 Data-at-restsono protetti.

efs-encrypted-check

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo Amazon Elastic File System (EFS).
PR.DS-P1 Data-at-restsono protetti.

elasticsearch-encrypted-at-rest

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per AmazonOpenSearchService (Servizio)OpenSearchDomini Service).
PR.DS-P1 Data-at-restsono protetti.

redshift-cluster-kms-enabled

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il cluster Amazon Redshift. Poiché i dati sensibili possono esistere a riposo nei cluster Redshift, abilitare la crittografia a riposo per proteggere tali dati.
PR.DS-P1 Data-at-restsono protetti.

rds-storage-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati.
PR.DS-P1 Data-at-restsono protetti.

rds-snapshot-encrypted

Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
PR.DS-P1 Data-at-restsono protetti.

s3-default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo in un bucket Amazon S3, abilitare la crittografia a riposo per proteggere tali dati.
PR.DS-P1 Data-at-restsono protetti.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
PR.DS-P1 Data-at-restsono protetti.

sagemaker-endpoint-configuration-kms-key-configured

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per ilSageMakerEndpoint. Perché i dati sensibili possono esistere a riposoSageMakerendpoint, abilita la crittografia a riposo per proteggere tali dati.
PR.DS-P1 Data-at-restsono protetti.

sagemaker-notebook-instance-kms-key-configurato

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per ilSageMakernotebook. Perché i dati sensibili possono esistere a riposoSageMakernotebook, abilita la crittografia a riposo per proteggere tali dati.
PR.DS-P1 Data-at-restsono protetti.

secretsmanager-using-cmk

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per i segreti AWS Secrets Manager. Poiché i dati sensibili possono esistere a riposo nei segreti di Secrets Manager, abilitare la crittografia a riposo per proteggere tali dati.
PR.DS-P1 Data-at-restsono protetti.

S3-bucket-server-side-encryption-enabled

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati.
PR.DS-P1 Data-at-restsono protetti.

sns-encrypted-kms

Per proteggere i dati a riposo, assicurati che gli argomenti Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Poiché i dati sensibili possono esistere a riposo nei messaggi pubblicati, abilitare la crittografia a riposo per proteggere tali dati.
PR.DS-P1 Data-at-restsono protetti.

kms-cmk-not-scheduled-for-deletion

Per proteggere i dati inattivi, assicurati che le chiavi master cliente (CMK) necessarie non siano pianificate per l'eliminazione in AWS Key Management Service (AWS KMS). Poiché a volte è necessaria l'eliminazione della chiave, questa regola può aiutare a controllare tutte le chiavi pianificate per l'eliminazione, nel caso in cui una chiave sia stata pianificata involontariamente.
PR.DS-P1 Data-at-restsono protetti.

dynamodb-table-encrypted-kms

Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Poiché i dati sensibili possono esistere a riposo in queste tabelle, abilitare la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB vengono crittografate con una chiave master cliente di proprietà AWS (CMK).
PR.DS-P2 Data-in-transitsono protetti.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
PR.DS-P2 Data-in-transitsono protetti.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
PR.DS-P2 Data-in-transitsono protetti.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
PR.DS-P2 Data-in-transitsono protetti.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
PR.DS-P2 Data-in-transitsono protetti.

s3-bucket-ssl-requests-only

Per proteggere i dati durante il transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano le richieste di utilizzo di Secure Socket Layer (SSL). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
PR.DS-P4 Capacità adeguata per garantire il mantenimento della disponibilità.

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling utilizza il servizio Auto Scaling di AWS Application per regolare la capacità di throughput assegnata che risponde in modo automatico ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura/scrittura assegnata per gestire improvvisi aumenti di traffico, senza throttling.
PR.DS-P4 Capacità adeguata per garantire il mantenimento della disponibilità.

elb-cross-zone-load-balancing-abilitato

Abilita il bilanciamento del carico tra zone per i tuoi Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il sistema di bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Migliora inoltre la capacità dell'applicazione di gestire la perdita di una o più istanze.
PR.DS-P4 Capacità adeguata per garantire il mantenimento della disponibilità.

elb-deletion-protection-enabled

Questa regola garantisce che Elastic Load Balancing abbia la protezione da eliminazione abilitata. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni.
PR.DS-P4 Capacità adeguata per garantire il mantenimento della disponibilità.

rds-instance-deletion-protection-enabled

Assicurati che le istanze Amazon Relational Database Service (Amazon RDS) abbiano abilitato la protezione dall'eliminazione. Utilizza la protezione dall'eliminazione per evitare che le tue istanze Amazon RDS vengano cancellate accidentalmente o dannosamente, il che può comportare una perdita di disponibilità per le tue applicazioni.
PR.DS-P4 Capacità adeguata per garantire il mantenimento della disponibilità.

rds-multi-az-support

Il supporto Multi-AZ in Amazon Relational Database Service (Amazon RDS) fornisce disponibilità e durata migliorate per le istanze di database. Quando esegui il provisioning di un'istanza di database Multi-AZ, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati in un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su un'infrastruttura fisica, distinta e indipendente ed è progettata in modo da essere altamente affidabile. In caso di guasto all'infrastruttura, Amazon RDS esegue un failover automatico sullo standby in modo da poter riprendere le operazioni del database non appena il failover è stato completato.
PR.DS-P4 Capacità adeguata per garantire il mantenimento della disponibilità.

vpc-vpn-2-tunnels-up

I tunnel Site-to-Site VPN ridondanti possono essere implementati per ottenere requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso una delle connessioni Site-to-Site VPN non sia disponibile. Per evitare la perdita di connettività, nel caso in cui il gateway del cliente non sia disponibile, puoi configurare una seconda connessione Site-to-Site VPN al Amazon Virtual Private Cloud (Amazon VPC) e al gateway virtuale privato utilizzando un secondo gateway del cliente.
PR.DS-P4 Capacità adeguata per garantire il mantenimento della disponibilità.

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea automaticamente una snapshot dei volumi di storage dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
PR.DS-P4 Capacità adeguata per garantire il mantenimento della disponibilità.

dynamic odb-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
PR.DS-P4 Capacità adeguata per garantire il mantenimento della disponibilità.

dynamodb-pitr-enabled

Abilitare questa regola per verificare che le informazioni siano state eseguite il backup. Mantiene inoltre i backup garantendo chepoint-in-timeil ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
PR.DS-P4 Capacità adeguata per garantire il mantenimento della disponibilità.

ebs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
PR.DS-P4 Capacità adeguata per garantire il mantenimento della disponibilità.

ebs-optimized-instance

Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) fornisce capacità dedicata aggiuntiva per le operazioni di I/O Amazon EBS. Tale ottimizzazione offre le prestazioni più efficienti per i volumi EBS, riducendo al minimo i conflitti tra le operazioni di I/O Amazon EBS e l'altro traffico proveniente dall'istanza.
PR.DS-P4 Capacità adeguata per garantire il mantenimento della disponibilità.

efs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
PR.DS-P4 Capacità adeguata per garantire il mantenimento della disponibilità.

elasticache-redis-cluster-automatic-backup-check

Quando i backup automatici sono abilitati, AmazonElastiCachecrea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. In caso di esito negativo, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente.
PR.DS-P4 Capacità adeguata per garantire il mantenimento della disponibilità.

rds-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le istanze Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
PR.DS-P4 Capacità adeguata per garantire il mantenimento della disponibilità.

redshift-backup-enabled

Per aiutarti con i processi di backup dei dati, assicurati che i tuoi cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB di modifiche dei dati per nodo, a seconda di quale evento si verifica prima.
PR.DS-P4 Capacità adeguata per garantire il mantenimento della disponibilità.

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
PR.DS-P4 Capacità adeguata per garantire il mantenimento della disponibilità.

s3-bucket-versioning-enabled

Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza questa funzione per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni consente il semplice recupero dopo operazioni involontarie dell'utente e in seguito a guasti dell'applicazione.
PR.DS-P4 Capacità adeguata per garantire il mantenimento della disponibilità.

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. Nello specifico, hanno finestre di manutenzione preferite e periodi di conservazione automatica delle istantanee per il database. Questa regola richiede di impostare ilallowVersionUpgrade. Il valore predefinito è true. Consente inoltre di impostare facoltativamentepreferredMaintenanceWindow(il valore predefinito è sat: 16:00 -sab: 16:30) eautomatedSnapshotRetentionPeriodo (il valore predefinito è 1). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
PR.DS-P4 Capacità adeguata per garantire il mantenimento della disponibilità.

aurora-risorse-protected-by-backup-plan

Per aiutarti con i processi di backup dei dati, assicurati che le tue risorse Amazon Aurora facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
PR.DS-P4 Capacità adeguata per garantire il mantenimento della disponibilità.

controllo di backup-plan-min-frequency-and-min-retention

Per aiutare con i processi di backup dei dati, assicurati che il piano AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità. Questa regola permette la configurazionerequiredFrequencyValue(impostazione predefinita di Config: 1),requiredRetentionDays(impostazione predefinita di Config: 35) erequiredFrequencyUnit(Config default: giorni) parametri. Il valore effettivo dovrebbe riflettere i requisiti della tua organizzazione.
PR.DS-P4 Capacità adeguata per garantire il mantenimento della disponibilità.

backup-recovery-point crittografato

Assicurati che la crittografia sia abilitata per i punti di ripristino di AWS Backup. Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
PR.DS-P4 Capacità adeguata per garantire il mantenimento della disponibilità.

backup-recovery-point-manual-deletion-disabilitato

Assicurati che i punti di ripristino di AWS Backup dispongano di una policy basata sulle risorse che impedisce l'eliminazione dei punti di ripristino. L'utilizzo di un criterio basato sulle risorse per impedire l'eliminazione dei punti di ripristino può aiutare a prevenire l'eliminazione accidentale o intenzionale.
PR.DS-P4 Capacità adeguata per garantire il mantenimento della disponibilità.

backup-recovery-point-minimum-retention check

Per aiutare con i processi di backup dei dati, assicurati che i punti di ripristino di AWS Backup abbiano un periodo di conservazione minimo impostato. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità. Questa regola permette la configurazionerequiredRetentionDays(configurazione predefinita: 35) parametro. Il valore effettivo dovrebbe riflettere i requisiti della tua organizzazione.
PR.DS-P4 Capacità adeguata per garantire il mantenimento della disponibilità.

ec2-Resources-protectd-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le risorse Amazon Elastic Compute Cloud (Amazon EC2) siano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
PR.DS-P4 Capacità adeguata per garantire il mantenimento della disponibilità.

fsx-resources-protected-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon FSx facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
PR.DS-P5 Vengono implementate le protezioni contro le perdite di dati.

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
PR.DS-P5 Vengono implementate le protezioni contro le perdite di dati.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
PR.DS-P5 Vengono implementate le protezioni contro le perdite di dati.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
PR.DS-P5 Vengono implementate le protezioni contro le perdite di dati.

codebuild-project-envvar-awscred-check

Assicurati che le credenziali di autenticazione AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY non esistano negli ambienti di progetto AWS Codebuild. Non memorizzare queste variabili in testo chiaro. L'archiviazione di queste variabili in testo non crittografato comporta l'esposizione non intenzionale dei dati e l'accesso non autorizzato.
PR.DS-P5 Vengono implementate le protezioni contro le perdite di dati.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
PR.DS-P5 Vengono implementate le protezioni contro le perdite di dati.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
PR.DS-P5 Vengono implementate le protezioni contro le perdite di dati.

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita, il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
PR.DS-P5 Vengono implementate le protezioni contro le perdite di dati.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (Servizio)OpenSearchI domini Service) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizio e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
PR.DS-P5 Vengono implementate le protezioni contro le perdite di dati.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS.
PR.DS-P5 Vengono implementate le protezioni contro le perdite di dati.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
PR.DS-P5 Vengono implementate le protezioni contro le perdite di dati.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
PR.DS-P5 Vengono implementate le protezioni contro le perdite di dati.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
PR.DS-P5 Vengono implementate le protezioni contro le perdite di dati.

s3-bucket-logging-enabled

La registrazione degli accessi al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, l'operazione della richiesta, l'operazione della richiesta, lo stato della richiesta, lo stato della richiesta,
PR.DS-P5 Vengono implementate le protezioni contro le perdite di dati.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
PR.DS-P5 Vengono implementate le protezioni contro le perdite di dati.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
PR.DS-P5 Vengono implementate le protezioni contro le perdite di dati.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
PR.DS-P5 Vengono implementate le protezioni contro le perdite di dati.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
PR.DS-P5 Vengono implementate le protezioni contro le perdite di dati.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
PR.DS-P5 Vengono implementate le protezioni contro le perdite di dati.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
PR.DS-P5 Vengono implementate le protezioni contro le perdite di dati.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
PR.DS-P5 Vengono implementate le protezioni contro le perdite di dati.

codebuild-project-source-repo-url-check

Garantire ilGitHubo l'URL del repository di origine Bitbucket non contiene token di accesso personali, nome utente e password negli ambienti di progetto AWS Codebuild. Utilizzare OAuth anziché token di accesso personali o un nome utente e una password per concedere l'autorizzazione per l'accessoGitHubo repository Bitbucket.
PR.DS-P5 Vengono implementate le protezioni contro le perdite di dati.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
PR.DS-P5 Vengono implementate le protezioni contro le perdite di dati.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
PR.DS-P6 I meccanismi di controllo dell'integrità vengono utilizzati per verificare l'integrità del software, del firmware e delle informazioni.

cloud-trail-log-file-validation-enabled

Utilizzo di AWSCloudTrailconvalida del file di log per verificare l'integrità diCloudTrailregistri. La convalida del file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o invariato dopoCloudTraill'ha consegnato. Questa funzione è costruita utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende impossibile, a livello di programmazione, qualsiasi operazione di modifica, eliminazione o contraffazione dei file di log di CloudTrail senza che tale operazione venga rilevata.
PR.MA-P2 La manutenzione remota delle risorse organizzative viene approvata, registrata ed eseguita in modo da impedire l'accesso non autorizzato.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
PR.MA-P2 La manutenzione remota delle risorse organizzative viene approvata, registrata ed eseguita in modo da impedire l'accesso non autorizzato.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
PR.PO-P1 Viene creata e mantenuta una configurazione di base della tecnologia dell'informazione che incorpora principi di sicurezza (ad esempio, concetto di funzionalità minima).

cloudtrail-security trail abilitato

Questa regola aiuta a garantire l'utilizzo delle best practice di sicurezza consigliate da AWS per AWSCloudTrail, verificando l'attivazione di più impostazioni. Questi includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione di AWSCloudTrailin più regioni.
PR.PO-P1 Viene creata e mantenuta una configurazione di base della tecnologia dell'informazione che incorpora principi di sicurezza (ad esempio, concetto di funzionalità minima).

ec2-instance-managed-by-systems-manager

Un inventario delle piattaforme software e delle applicazioni nell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
PR.PO-P1 Viene creata e mantenuta una configurazione di base della tecnologia dell'informazione che incorpora principi di sicurezza (ad esempio, concetto di funzionalità minima).

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
PR.PO-P1 Viene creata e mantenuta una configurazione di base della tecnologia dell'informazione che incorpora principi di sicurezza (ad esempio, concetto di funzionalità minima).

ec2-stopped-instance

Attiva questa regola per aiutare con la configurazione di base delle istanze Amazon Elastic Compute Cloud (Amazon EC2) verificando se le istanze Amazon EC2 sono state arrestate per più del numero consentito di giorni, in base agli standard dell'organizzazione.
PR.PO-P1 Viene creata e mantenuta una configurazione di base della tecnologia dell'informazione che incorpora principi di sicurezza (ad esempio, concetto di funzionalità minima).

ec2-volume-inuse-check

Tale regola garantisce che i volumi Amazon Elastic Block Store collegati a istanze Amazon Elastic Compute Cloud (Amazon EC2) siano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegata è terminata, potrebbe violare il concetto di funzionalità minima.
PR.PO-P1 Viene creata e mantenuta una configurazione di base della tecnologia dell'informazione che incorpora principi di sicurezza (ad esempio, concetto di funzionalità minima).

elb-deletion-protection-enabled

Questa regola garantisce che Elastic Load Balancing abbia la protezione da eliminazione abilitata. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni.
PR.PO-P1 Viene creata e mantenuta una configurazione di base della tecnologia dell'informazione che incorpora principi di sicurezza (ad esempio, concetto di funzionalità minima).

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
PR.PO-P1 Viene creata e mantenuta una configurazione di base della tecnologia dell'informazione che incorpora principi di sicurezza (ad esempio, concetto di funzionalità minima).

account-parte delle organizzazioni

La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata dell'account può portare a configurazioni di account incoerenti, che possono esporre risorse e dati sensibili.
PR.PO-P2 I processi di controllo delle modifiche alla configurazione sono stabiliti e in atto.

elb-deletion-protection-enabled

Questa regola garantisce che Elastic Load Balancing abbia la protezione da eliminazione abilitata. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni.
PR.PO-P2 I processi di controllo delle modifiche alla configurazione sono stabiliti e in atto.

rds-instance-deletion-protection-enabled

Assicurati che le istanze Amazon Relational Database Service (Amazon RDS) abbiano abilitato la protezione dall'eliminazione. Utilizza la protezione dall'eliminazione per evitare che le tue istanze Amazon RDS vengano cancellate accidentalmente o dannosamente, il che può comportare una perdita di disponibilità per le tue applicazioni.
PR.PO-P3 I backup delle informazioni vengono condotti, mantenuti e testati.

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea automaticamente una snapshot dei volumi di storage dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
PR.PO-P3 I backup delle informazioni vengono condotti, mantenuti e testati.

dynamic odb-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
PR.PO-P3 I backup delle informazioni vengono condotti, mantenuti e testati.

dynamodb-pitr-enabled

Abilitare questa regola per verificare che le informazioni siano state eseguite il backup. Mantiene inoltre i backup garantendo chepoint-in-timeil ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
PR.PO-P3 I backup delle informazioni vengono condotti, mantenuti e testati.

ebs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
PR.PO-P3 I backup delle informazioni vengono condotti, mantenuti e testati.

ebs-optimized-instance

Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) fornisce capacità dedicata aggiuntiva per le operazioni di I/O Amazon EBS. Tale ottimizzazione offre le prestazioni più efficienti per i volumi EBS, riducendo al minimo i conflitti tra le operazioni di I/O Amazon EBS e l'altro traffico proveniente dall'istanza.
PR.PO-P3 I backup delle informazioni vengono condotti, mantenuti e testati.

efs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
PR.PO-P3 I backup delle informazioni vengono condotti, mantenuti e testati.

elasticache-redis-cluster-automatic-backup-check

Quando i backup automatici sono abilitati, AmazonElastiCachecrea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. In caso di esito negativo, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente.
PR.PO-P3 I backup delle informazioni vengono condotti, mantenuti e testati.

rds-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le istanze Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
PR.PO-P3 I backup delle informazioni vengono condotti, mantenuti e testati.

redshift-backup-enabled

Per aiutarti con i processi di backup dei dati, assicurati che i tuoi cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB di modifiche dei dati per nodo, a seconda di quale evento si verifica prima.
PR.PO-P3 I backup delle informazioni vengono condotti, mantenuti e testati.

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
PR.PO-P3 I backup delle informazioni vengono condotti, mantenuti e testati.

s3-bucket-versioning-enabled

Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza questa funzione per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni consente il semplice recupero dopo operazioni involontarie dell'utente e in seguito a guasti dell'applicazione.
PR.PO-P3 I backup delle informazioni vengono condotti, mantenuti e testati.

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. Nello specifico, hanno finestre di manutenzione preferite e periodi di conservazione automatica delle istantanee per il database. Questa regola richiede di impostare ilallowVersionUpgrade. Il valore predefinito è true. Consente inoltre di impostare facoltativamentepreferredMaintenanceWindow(il valore predefinito è sat: 16:00 -sab: 16:30) eautomatedSnapshotRetentionPeriodo (il valore predefinito è 1). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
PR.PO-P3 I backup delle informazioni vengono condotti, mantenuti e testati.

aurora-risorse-protected-by-backup-plan

Per aiutarti con i processi di backup dei dati, assicurati che le tue risorse Amazon Aurora facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
PR.PO-P3 I backup delle informazioni vengono condotti, mantenuti e testati.

controllo di backup-plan-min-frequency-and-min-retention

Per aiutare con i processi di backup dei dati, assicurati che il piano AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità. Questa regola permette la configurazionerequiredFrequencyValue(impostazione predefinita di Config: 1),requiredRetentionDays(impostazione predefinita di Config: 35) erequiredFrequencyUnit(Config default: giorni) parametri. Il valore effettivo dovrebbe riflettere i requisiti della tua organizzazione.
PR.PO-P3 I backup delle informazioni vengono condotti, mantenuti e testati.

backup-recovery-point crittografato

Assicurati che la crittografia sia abilitata per i punti di ripristino di AWS Backup. Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
PR.PO-P3 I backup delle informazioni vengono condotti, mantenuti e testati.

backup-recovery-point-manual-deletion-disabilitato

Assicurati che i punti di ripristino di AWS Backup dispongano di una policy basata sulle risorse che impedisce l'eliminazione dei punti di ripristino. L'utilizzo di un criterio basato sulle risorse per impedire l'eliminazione dei punti di ripristino può aiutare a prevenire l'eliminazione accidentale o intenzionale.
PR.PO-P3 I backup delle informazioni vengono condotti, mantenuti e testati.

backup-recovery-point-minimum-retention check

Per aiutare con i processi di backup dei dati, assicurati che i punti di ripristino di AWS Backup abbiano un periodo di conservazione minimo impostato. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità. Questa regola permette la configurazionerequiredRetentionDays(configurazione predefinita: 35) parametro. Il valore effettivo dovrebbe riflettere i requisiti della tua organizzazione.
PR.PO-P3 I backup delle informazioni vengono condotti, mantenuti e testati.

ec2-Resources-protectd-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le risorse Amazon Elastic Compute Cloud (Amazon EC2) siano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
PR.PO-P3 I backup delle informazioni vengono condotti, mantenuti e testati.

fsx-resources-protected-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon FSx facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
PR.PO-P7 I piani di risposta (Incident Response e Business Continuity) e i piani di ripristino (Incident Recovery e Disaster Recovery) vengono stabiliti e gestiti.

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea automaticamente una snapshot dei volumi di storage dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
PR.PO-P7 I piani di risposta (Incident Response e Business Continuity) e i piani di ripristino (Incident Recovery e Disaster Recovery) vengono stabiliti e gestiti.

dynamic odb-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
PR.PO-P7 I piani di risposta (Incident Response e Business Continuity) e i piani di ripristino (Incident Recovery e Disaster Recovery) vengono stabiliti e gestiti.

dynamodb-pitr-enabled

Abilitare questa regola per verificare che le informazioni siano state eseguite il backup. Mantiene inoltre i backup garantendo chepoint-in-timeil ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
PR.PO-P7 I piani di risposta (Incident Response e Business Continuity) e i piani di ripristino (Incident Recovery e Disaster Recovery) vengono stabiliti e gestiti.

ebs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
PR.PO-P7 I piani di risposta (Incident Response e Business Continuity) e i piani di ripristino (Incident Recovery e Disaster Recovery) vengono stabiliti e gestiti.

efs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
PR.PO-P7 I piani di risposta (Incident Response e Business Continuity) e i piani di ripristino (Incident Recovery e Disaster Recovery) vengono stabiliti e gestiti.

elasticache-redis-cluster-automatic-backup-check

Quando i backup automatici sono abilitati, AmazonElastiCachecrea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. In caso di esito negativo, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente.
PR.PO-P7 I piani di risposta (Incident Response e Business Continuity) e i piani di ripristino (Incident Recovery e Disaster Recovery) vengono stabiliti e gestiti.

rds-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le istanze Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
PR.PO-P7 I piani di risposta (Incident Response e Business Continuity) e i piani di ripristino (Incident Recovery e Disaster Recovery) vengono stabiliti e gestiti.

redshift-backup-enabled

Per aiutarti con i processi di backup dei dati, assicurati che i tuoi cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB di modifiche dei dati per nodo, a seconda di quale evento si verifica prima.
PR.PO-P7 I piani di risposta (Incident Response e Business Continuity) e i piani di ripristino (Incident Recovery e Disaster Recovery) vengono stabiliti e gestiti.

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
PR.PO-P7 I piani di risposta (Incident Response e Business Continuity) e i piani di ripristino (Incident Recovery e Disaster Recovery) vengono stabiliti e gestiti.

s3-bucket-versioning-enabled

Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza questa funzione per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni consente il semplice recupero dopo operazioni involontarie dell'utente e in seguito a guasti dell'applicazione.
PR.PO-P7 I piani di risposta (Incident Response e Business Continuity) e i piani di ripristino (Incident Recovery e Disaster Recovery) vengono stabiliti e gestiti.

aurora-risorse-protected-by-backup-plan

Per aiutarti con i processi di backup dei dati, assicurati che le tue risorse Amazon Aurora facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
PR.PO-P7 I piani di risposta (Incident Response e Business Continuity) e i piani di ripristino (Incident Recovery e Disaster Recovery) vengono stabiliti e gestiti.

controllo di backup-plan-min-frequency-and-min-retention

Per aiutare con i processi di backup dei dati, assicurati che il piano AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità. Questa regola permette la configurazionerequiredFrequencyValue(impostazione predefinita di Config: 1),requiredRetentionDays(impostazione predefinita di Config: 35) erequiredFrequencyUnit(Config default: giorni) parametri. Il valore effettivo dovrebbe riflettere i requisiti della tua organizzazione.
PR.PO-P7 I piani di risposta (Incident Response e Business Continuity) e i piani di ripristino (Incident Recovery e Disaster Recovery) vengono stabiliti e gestiti.

backup-recovery-point crittografato

Assicurati che la crittografia sia abilitata per i punti di ripristino di AWS Backup. Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
PR.PO-P7 I piani di risposta (Incident Response e Business Continuity) e i piani di ripristino (Incident Recovery e Disaster Recovery) vengono stabiliti e gestiti.

backup-recovery-point-manual-deletion-disabilitato

Assicurati che i punti di ripristino di AWS Backup dispongano di una policy basata sulle risorse che impedisce l'eliminazione dei punti di ripristino. L'utilizzo di un criterio basato sulle risorse per impedire l'eliminazione dei punti di ripristino può aiutare a prevenire l'eliminazione accidentale o intenzionale.
PR.PO-P7 I piani di risposta (Incident Response e Business Continuity) e i piani di ripristino (Incident Recovery e Disaster Recovery) vengono stabiliti e gestiti.

backup-recovery-point-minimum-retention check

Per aiutare con i processi di backup dei dati, assicurati che i punti di ripristino di AWS Backup abbiano un periodo di conservazione minimo impostato. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità. Questa regola permette la configurazionerequiredRetentionDays(configurazione predefinita: 35) parametro. Il valore effettivo dovrebbe riflettere i requisiti della tua organizzazione.
PR.PO-P7 I piani di risposta (Incident Response e Business Continuity) e i piani di ripristino (Incident Recovery e Disaster Recovery) vengono stabiliti e gestiti.

ec2-Resources-protectd-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le risorse Amazon Elastic Compute Cloud (Amazon EC2) siano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
PR.PO-P7 I piani di risposta (Incident Response e Business Continuity) e i piani di ripristino (Incident Recovery e Disaster Recovery) vengono stabiliti e gestiti.

fsx-resources-protected-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon FSx facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
PR.PO-P8 I piani di risposta e ripristino sono testati. response-plan-tested(verifica del processo) Assicurati che i piani di risposta agli incidenti e ripristino siano testati. Ciò può aiutare a capire se il piano sarà efficace durante un incidente e se è necessario risolvere eventuali lacune o aggiornamenti.
PR.PO-P10 Viene sviluppato e implementato un piano di gestione delle vulnerabilità. vuln-management-plan-exists (verifica del processo) Assicurati che un piano di gestione delle vulnerabilità sia sviluppato e implementato al fine di disporre di processi formalmente definiti per affrontare le vulnerabilità nel tuo ambiente.
PR.PT-P2 Il principio della minima funzionalità è incorporato configurando i sistemi per fornire solo funzionalità essenziali.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
PR.PT-P2 Il principio della minima funzionalità è incorporato configurando i sistemi per fornire solo funzionalità essenziali.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
PR.PT-P2 Il principio della minima funzionalità è incorporato configurando i sistemi per fornire solo funzionalità essenziali.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Azione»: «*» su «Risorsa» :"Action»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
PR.PT-P2 Il principio della minima funzionalità è incorporato configurando i sistemi per fornire solo funzionalità essenziali.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
PR.PT-P2 Il principio della minima funzionalità è incorporato configurando i sistemi per fornire solo funzionalità essenziali.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
PR.PT-P2 Il principio della minima funzionalità è incorporato configurando i sistemi per fornire solo funzionalità essenziali.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
PR.PT-P2 Il principio della minima funzionalità è incorporato configurando i sistemi per fornire solo funzionalità essenziali.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (Servizio)OpenSearchI domini Service) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizio e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
PR.PT-P2 Il principio della minima funzionalità è incorporato configurando i sistemi per fornire solo funzionalità essenziali.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
PR.PT-P2 Il principio della minima funzionalità è incorporato configurando i sistemi per fornire solo funzionalità essenziali.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
PR.PT-P2 Il principio della minima funzionalità è incorporato configurando i sistemi per fornire solo funzionalità essenziali.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
PR.PT-P2 Il principio della minima funzionalità è incorporato configurando i sistemi per fornire solo funzionalità essenziali.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
PR.PT-P2 Il principio della minima funzionalità è incorporato configurando i sistemi per fornire solo funzionalità essenziali.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
PR.PT-P2 Il principio della minima funzionalità è incorporato configurando i sistemi per fornire solo funzionalità essenziali.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
PR.PT-P2 Il principio della minima funzionalità è incorporato configurando i sistemi per fornire solo funzionalità essenziali.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
PR.PT-P2 Il principio della minima funzionalità è incorporato configurando i sistemi per fornire solo funzionalità essenziali.

ec2-instances-in-vpc

Distribuisci istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
PR.PT-P2 Il principio della minima funzionalità è incorporato configurando i sistemi per fornire solo funzionalità essenziali.

lambda-inside-vpc

Distribuisci le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi nell'Amazon VPC. Con questa configurazione, non è necessario un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
PR.PT-P2 Il principio della minima funzionalità è incorporato configurando i sistemi per fornire solo funzionalità essenziali.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
PR.PT-P2 Il principio della minima funzionalità è incorporato configurando i sistemi per fornire solo funzionalità essenziali.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
PR.PT-P2 Il principio della minima funzionalità è incorporato configurando i sistemi per fornire solo funzionalità essenziali.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
PR.PT-P2 Il principio della minima funzionalità è incorporato configurando i sistemi per fornire solo funzionalità essenziali.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
PR.PT-P2 Il principio della minima funzionalità è incorporato configurando i sistemi per fornire solo funzionalità essenziali.

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'associazione di un profilo di istanza alle istanze può aiutare nella gestione dei privilegi e delle autorizzazioni minimi.
PR.PT-P2 Il principio della minima funzionalità è incorporato configurando i sistemi per fornire solo funzionalità essenziali.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
PR.PT-P2 Il principio della minima funzionalità è incorporato configurando i sistemi per fornire solo funzionalità essenziali.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
PR.PT-P2 Il principio della minima funzionalità è incorporato configurando i sistemi per fornire solo funzionalità essenziali.

redshift-enhanced-vpc-routing-enabled

Il routing VPC avanzato forza il passaggio di tutto il traffico dei comandi COPY e UNLOAD tra il cluster e i repository di dati a passare attraverso Amazon VPC. È quindi possibile utilizzare funzionalità VPC come gruppi di sicurezza e elenchi di controllo dell'accesso alla rete per proteggere il traffico di rete. È inoltre possibile utilizzare i registri di flusso VPC per monitorare il traffico di rete.
PR.PT-P3 Le reti di comunicazione e controllo sono protette.

ec2-instances-in-vpc

Distribuisci istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
PR.PT-P3 Le reti di comunicazione e controllo sono protette.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
PR.PT-P3 Le reti di comunicazione e controllo sono protette.

acm-certificate-expiration-check

Assicurati che l'integrità della rete sia protetta assicurando che i certificati X509 vengano emessi da AWS ACM. Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore perdaysToExpiration(Valore AWS Foundational Security Best Practices: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
PR.PT-P3 Le reti di comunicazione e controllo sono protette.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
PR.PT-P3 Le reti di comunicazione e controllo sono protette.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
PR.PT-P3 Le reti di comunicazione e controllo sono protette.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
PR.PT-P3 Le reti di comunicazione e controllo sono protette.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
PR.PT-P3 Le reti di comunicazione e controllo sono protette.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (Servizio)OpenSearchI domini Service) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizio e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
PR.PT-P3 Le reti di comunicazione e controllo sono protette.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
PR.PT-P3 Le reti di comunicazione e controllo sono protette.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
PR.PT-P3 Le reti di comunicazione e controllo sono protette.

lambda-inside-vpc

Distribuisci le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi nell'Amazon VPC. Con questa configurazione, non è necessario un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
PR.PT-P3 Le reti di comunicazione e controllo sono protette.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
PR.PT-P3 Le reti di comunicazione e controllo sono protette.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
PR.PT-P3 Le reti di comunicazione e controllo sono protette.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
PR.PT-P3 Le reti di comunicazione e controllo sono protette.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
PR.PT-P3 Le reti di comunicazione e controllo sono protette.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
PR.PT-P3 Le reti di comunicazione e controllo sono protette.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
PR.PT-P3 Le reti di comunicazione e controllo sono protette.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
PR.PT-P3 Le reti di comunicazione e controllo sono protette.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non consentire l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto.
PR.PT-P3 Le reti di comunicazione e controllo sono protette.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
PR.PT-P3 Le reti di comunicazione e controllo sono protette.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
PR.PT-P3 Le reti di comunicazione e controllo sono protette.

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
PR.PT-P3 Le reti di comunicazione e controllo sono protette.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
PR.PT-P3 Le reti di comunicazione e controllo sono protette.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
PR.PT-P3 Le reti di comunicazione e controllo sono protette.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
PR.PT-P4 Meccanismi (ad esempio, failsafe, bilanciamento del carico, hot swap) sono implementati per ottenere requisiti di resilienza in situazioni normali e avverse.

autoscaling-group-elb-healthcheck-required

I controlli di integrità Elastic Load Balancer (ELB) per i gruppi Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) supportano la manutenzione di capacità e disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ping, effettua tentativi di connessione o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo di auto-scaling. Se un'istanza non viene segnalata, il traffico viene inviato a una nuova istanza Amazon EC2.
PR.PT-P4 Meccanismi (ad esempio, failsafe, bilanciamento del carico, hot swap) sono implementati per ottenere requisiti di resilienza in situazioni normali e avverse.

dynamic odb-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
PR.PT-P4 Meccanismi (ad esempio, failsafe, bilanciamento del carico, hot swap) sono implementati per ottenere requisiti di resilienza in situazioni normali e avverse.

ebs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
PR.PT-P4 Meccanismi (ad esempio, failsafe, bilanciamento del carico, hot swap) sono implementati per ottenere requisiti di resilienza in situazioni normali e avverse.

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling utilizza il servizio Auto Scaling di AWS Application per regolare la capacità di throughput assegnata che risponde in modo automatico ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura/scrittura assegnata per gestire improvvisi aumenti di traffico, senza throttling.
PR.PT-P4 Meccanismi (ad esempio, failsafe, bilanciamento del carico, hot swap) sono implementati per ottenere requisiti di resilienza in situazioni normali e avverse.

dynamodb-pitr-enabled

Abilitare questa regola per verificare che le informazioni siano state eseguite il backup. Mantiene inoltre i backup garantendo chepoint-in-timeil ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
PR.PT-P4 Meccanismi (ad esempio, failsafe, bilanciamento del carico, hot swap) sono implementati per ottenere requisiti di resilienza in situazioni normali e avverse.

elasticache-redis-cluster-automatic-backup-check

Quando i backup automatici sono abilitati, AmazonElastiCachecrea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. In caso di esito negativo, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente.
PR.PT-P4 Meccanismi (ad esempio, failsafe, bilanciamento del carico, hot swap) sono implementati per ottenere requisiti di resilienza in situazioni normali e avverse.

elb-cross-zone-load-balancing-abilitato

Abilita il bilanciamento del carico tra zone per i tuoi Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il sistema di bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Migliora inoltre la capacità dell'applicazione di gestire la perdita di una o più istanze.
PR.PT-P4 Meccanismi (ad esempio, failsafe, bilanciamento del carico, hot swap) sono implementati per ottenere requisiti di resilienza in situazioni normali e avverse.

efs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
PR.PT-P4 Meccanismi (ad esempio, failsafe, bilanciamento del carico, hot swap) sono implementati per ottenere requisiti di resilienza in situazioni normali e avverse.

elb-deletion-protection-enabled

Questa regola garantisce che Elastic Load Balancing abbia la protezione da eliminazione abilitata. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni.
PR.PT-P4 Meccanismi (ad esempio, failsafe, bilanciamento del carico, hot swap) sono implementati per ottenere requisiti di resilienza in situazioni normali e avverse.

rds-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le istanze Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
PR.PT-P4 Meccanismi (ad esempio, failsafe, bilanciamento del carico, hot swap) sono implementati per ottenere requisiti di resilienza in situazioni normali e avverse.

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea automaticamente una snapshot dei volumi di storage dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
PR.PT-P4 Meccanismi (ad esempio, failsafe, bilanciamento del carico, hot swap) sono implementati per ottenere requisiti di resilienza in situazioni normali e avverse.

rds-multi-az-support

Il supporto Multi-AZ in Amazon Relational Database Service (Amazon RDS) fornisce disponibilità e durata migliorate per le istanze di database. Quando esegui il provisioning di un'istanza di database Multi-AZ, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati in un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su un'infrastruttura fisica, distinta e indipendente ed è progettata in modo da essere altamente affidabile. In caso di guasto all'infrastruttura, Amazon RDS esegue un failover automatico sullo standby in modo da poter riprendere le operazioni del database non appena il failover è stato completato.
PR.PT-P4 Meccanismi (ad esempio, failsafe, bilanciamento del carico, hot swap) sono implementati per ottenere requisiti di resilienza in situazioni normali e avverse.

rds-instance-deletion-protection-enabled

Assicurati che le istanze Amazon Relational Database Service (Amazon RDS) abbiano abilitato la protezione dall'eliminazione. Utilizza la protezione dall'eliminazione per evitare che le tue istanze Amazon RDS vengano cancellate accidentalmente o dannosamente, il che può comportare una perdita di disponibilità per le tue applicazioni.
PR.PT-P4 Meccanismi (ad esempio, failsafe, bilanciamento del carico, hot swap) sono implementati per ottenere requisiti di resilienza in situazioni normali e avverse.

s3-bucket-versioning-enabled

Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza questa funzione per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni consente il semplice recupero dopo operazioni involontarie dell'utente e in seguito a guasti dell'applicazione.
PR.PT-P4 Meccanismi (ad esempio, failsafe, bilanciamento del carico, hot swap) sono implementati per ottenere requisiti di resilienza in situazioni normali e avverse.

redshift-backup-enabled

Per aiutarti con i processi di backup dei dati, assicurati che i tuoi cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB di modifiche dei dati per nodo, a seconda di quale evento si verifica prima.
PR.PT-P4 Meccanismi (ad esempio, failsafe, bilanciamento del carico, hot swap) sono implementati per ottenere requisiti di resilienza in situazioni normali e avverse.

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
PR.PT-P4 Meccanismi (ad esempio, failsafe, bilanciamento del carico, hot swap) sono implementati per ottenere requisiti di resilienza in situazioni normali e avverse.

vpc-vpn-2-tunnels-up

I tunnel Site-to-Site VPN ridondanti possono essere implementati per ottenere requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso una delle connessioni Site-to-Site VPN non sia disponibile. Per evitare la perdita di connettività, nel caso in cui il gateway del cliente non sia disponibile, puoi configurare una seconda connessione Site-to-Site VPN al Amazon Virtual Private Cloud (Amazon VPC) e al gateway virtuale privato utilizzando un secondo gateway del cliente.
PR.PT-P4 Meccanismi (ad esempio, failsafe, bilanciamento del carico, hot swap) sono implementati per ottenere requisiti di resilienza in situazioni normali e avverse.

aurora-risorse-protected-by-backup-plan

Per aiutarti con i processi di backup dei dati, assicurati che le tue risorse Amazon Aurora facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
PR.PT-P4 Meccanismi (ad esempio, failsafe, bilanciamento del carico, hot swap) sono implementati per ottenere requisiti di resilienza in situazioni normali e avverse.

controllo di backup-plan-min-frequency-and-min-retention

Per aiutare con i processi di backup dei dati, assicurati che il piano AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità. Questa regola permette la configurazionerequiredFrequencyValue(impostazione predefinita di Config: 1),requiredRetentionDays(impostazione predefinita di Config: 35) erequiredFrequencyUnit(Config default: giorni) parametri. Il valore effettivo dovrebbe riflettere i requisiti della tua organizzazione.
PR.PT-P4 Meccanismi (ad esempio, failsafe, bilanciamento del carico, hot swap) sono implementati per ottenere requisiti di resilienza in situazioni normali e avverse.

backup-recovery-point crittografato

Assicurati che la crittografia sia abilitata per i punti di ripristino di AWS Backup. Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
PR.PT-P4 Meccanismi (ad esempio, failsafe, bilanciamento del carico, hot swap) sono implementati per ottenere requisiti di resilienza in situazioni normali e avverse.

backup-recovery-point-manual-deletion-disabilitato

Assicurati che i punti di ripristino di AWS Backup dispongano di una policy basata sulle risorse che impedisce l'eliminazione dei punti di ripristino. L'utilizzo di un criterio basato sulle risorse per impedire l'eliminazione dei punti di ripristino può aiutare a prevenire l'eliminazione accidentale o intenzionale.
PR.PT-P4 Meccanismi (ad esempio, failsafe, bilanciamento del carico, hot swap) sono implementati per ottenere requisiti di resilienza in situazioni normali e avverse.

backup-recovery-point-minimum-retention check

Per aiutare con i processi di backup dei dati, assicurati che i punti di ripristino di AWS Backup abbiano un periodo di conservazione minimo impostato. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità. Questa regola permette la configurazionerequiredRetentionDays(configurazione predefinita: 35) parametro. Il valore effettivo dovrebbe riflettere i requisiti della tua organizzazione.
PR.PT-P4 Meccanismi (ad esempio, failsafe, bilanciamento del carico, hot swap) sono implementati per ottenere requisiti di resilienza in situazioni normali e avverse.

ec2-Resources-protectd-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le risorse Amazon Elastic Compute Cloud (Amazon EC2) siano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
PR.PT-P4 Meccanismi (ad esempio, failsafe, bilanciamento del carico, hot swap) sono implementati per ottenere requisiti di resilienza in situazioni normali e avverse.

fsx-resources-protected-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon FSx facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.

Modello

Il modello è disponibile suGitHub: Best practice operative per NIST Privacy Framework v1.0.