Best practice operative per PCI DSS 3.2.1 - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice operative per PCI DSS 3.2.1

I pacchetti di conformità forniscono un framework di conformità generico progettato per consentire di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando gestiti o personalizzatiAWS Configregole eAWS Configazioni di risanamento. I Conformance Pack, come modelli di esempio, non sono progettati per garantire la completa conformità con uno standard di governance o conformità specifici. L'utente è responsabile di valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.

Ciò che segue fornisce un esempio di mappatura tra Payment Card Industry Data Security Standard (PCI DSS) 3.2.1 e le regole di Config gestite da AWS. CiascunoAWS Configregola si applica a uno specificoAWSe si riferisce a uno o più controlli PCI DSS. Un controllo PCI DSS può essere correlato a più regole di Config. Fare riferimento alla tabella sottostante per ulteriori dettagli e indicazioni relative a queste mappature.

Regione AWS:Tutto supportatoRegioni AWSeccetto Asia Pacifico (Hong Kong), Europa (Stoccolma) e Medio Oriente (Bahrein)

ID controllo Descrizione del controllo AWS Config Regola Linee guida di
1.2 Crea configurazioni firewall e router che limitano le connessioni tra reti non attendibili e qualsiasi componente di sistema nell'ambiente dati del titolare della carta. Nota: Una «rete non attendibile» è qualsiasi rete esterna alle reti appartenenti all'entità in esame e/o che è fuori dalla capacità dell'entità di controllare o gestire.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
1.2 Crea configurazioni firewall e router che limitano le connessioni tra reti non attendibili e qualsiasi componente di sistema nell'ambiente dati del titolare della carta. Nota: Una «rete non attendibile» è qualsiasi rete esterna alle reti appartenenti all'entità in esame e/o che è fuori dalla capacità dell'entità di controllare o gestire.

ebs-snapshot-public-restorable-check

Gestire l'accesso al cloud AWS assicurando che gli snapshot di non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
1.2 Crea configurazioni firewall e router che limitano le connessioni tra reti non attendibili e qualsiasi componente di sistema nell'ambiente dati del titolare della carta. Nota: Una «rete non attendibile» è qualsiasi rete esterna alle reti appartenenti all'entità in esame e/o che è fuori dalla capacità dell'entità di controllare o gestire.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
1.2 Crea configurazioni firewall e router che limitano le connessioni tra reti non attendibili e qualsiasi componente di sistema nell'ambiente dati del titolare della carta. Nota: Una «rete non attendibile» è qualsiasi rete esterna alle reti appartenenti all'entità in esame e/o che è fuori dalla capacità dell'entità di controllare o gestire.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando Amazon OpenSearch Service (OpenSearch Service) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un record OpenSearch Il dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Servizio e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
1.2 Crea configurazioni firewall e router che limitano le connessioni tra reti non attendibili e qualsiasi componente di sistema nell'ambiente dati del titolare della carta. Nota: Una «rete non attendibile» è qualsiasi rete esterna alle reti appartenenti all'entità in esame e/o che è fuori dalla capacità dell'entità di controllare o gestire.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
1.2 Crea configurazioni firewall e router che limitano le connessioni tra reti non attendibili e qualsiasi componente di sistema nell'ambiente dati del titolare della carta. Nota: Una «rete non attendibile» è qualsiasi rete esterna alle reti appartenenti all'entità in esame e/o che è fuori dalla capacità dell'entità di controllare o gestire.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Impedendo l'ingresso (o in remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto.
1.2 Crea configurazioni firewall e router che limitano le connessioni tra reti non attendibili e qualsiasi componente di sistema nell'ambiente dati del titolare della carta. Nota: Una «rete non attendibile» è qualsiasi rete esterna alle reti appartenenti all'entità in esame e/o che è fuori dalla capacità dell'entità di controllare o gestire.

ec2-instances-in-vpc

Distribuendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
1.2 Crea configurazioni firewall e router che limitano le connessioni tra reti non attendibili e qualsiasi componente di sistema nell'ambiente dati del titolare della carta. Nota: Una «rete non attendibile» è qualsiasi rete esterna alle reti appartenenti all'entità in esame e/o che è fuori dalla capacità dell'entità di controllare o gestire.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non possano essere accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
1.2 Crea configurazioni firewall e router che limitano le connessioni tra reti non attendibili e qualsiasi componente di sistema nell'ambiente dati del titolare della carta. Nota: Una «rete non attendibile» è qualsiasi rete esterna alle reti appartenenti all'entità in esame e/o che è fuori dalla capacità dell'entità di controllare o gestire.

lambda-inside-vpc

Implementa le funzioni AWS Lambda in un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non sono necessari gateway Internet, dispositivo NAT o connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
1.2 Crea configurazioni firewall e router che limitano le connessioni tra reti non attendibili e qualsiasi componente di sistema nell'ambiente dati del titolare della carta. Nota: Una «rete non attendibile» è qualsiasi rete esterna alle reti appartenenti all'entità in esame e/o che è fuori dalla capacità dell'entità di controllare o gestire.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
1.2 Crea configurazioni firewall e router che limitano le connessioni tra reti non attendibili e qualsiasi componente di sistema nell'ambiente dati del titolare della carta. Nota: Una «rete non attendibile» è qualsiasi rete esterna alle reti appartenenti all'entità in esame e/o che è fuori dalla capacità dell'entità di controllare o gestire.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
1.2 Crea configurazioni firewall e router che limitano le connessioni tra reti non attendibili e qualsiasi componente di sistema nell'ambiente dati del titolare della carta. Nota: Una «rete non attendibile» è qualsiasi rete esterna alle reti appartenenti all'entità in esame e/o che è fuori dalla capacità dell'entità di controllare o gestire.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
1.2 Crea configurazioni firewall e router che limitano le connessioni tra reti non attendibili e qualsiasi componente di sistema nell'ambiente dati del titolare della carta. Nota: Una «rete non attendibile» è qualsiasi rete esterna alle reti appartenenti all'entità in esame e/o che è fuori dalla capacità dell'entità di controllare o gestire.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate ai gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
1.2 Crea configurazioni firewall e router che limitano le connessioni tra reti non attendibili e qualsiasi componente di sistema nell'ambiente dati del titolare della carta. Nota: Una «rete non attendibile» è qualsiasi rete esterna alle reti appartenenti all'entità in esame e/o che è fuori dalla capacità dell'entità di controllare o gestire.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che i bucket Amazon Simple Storage Service (Amazon S3) non possa essere accessibile pubblicamente bucket Amazon Simple Storage Service Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativa ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
1.2 Crea configurazioni firewall e router che limitano le connessioni tra reti non attendibili e qualsiasi componente di sistema nell'ambiente dati del titolare della carta. Nota: Una «rete non attendibile» è qualsiasi rete esterna alle reti appartenenti all'entità in esame e/o che è fuori dalla capacità dell'entità di controllare o gestire.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
1.2 Crea configurazioni firewall e router che limitano le connessioni tra reti non attendibili e qualsiasi componente di sistema nell'ambiente dati del titolare della carta. Nota: Una «rete non attendibile» è qualsiasi rete esterna alle reti appartenenti all'entità in esame e/o che è fuori dalla capacità dell'entità di controllare o gestire.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
1.2 Crea configurazioni firewall e router che limitano le connessioni tra reti non attendibili e qualsiasi componente di sistema nell'ambiente dati del titolare della carta. Nota: Una «rete non attendibile» è qualsiasi rete esterna alle reti appartenenti all'entità in esame e/o che è fuori dalla capacità dell'entità di controllare o gestire.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che Amazon SageMaker i notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
1.2 Crea configurazioni firewall e router che limitano le connessioni tra reti non attendibili e qualsiasi componente di sistema nell'ambiente dati del titolare della carta. Nota: Una «rete non attendibile» è qualsiasi rete esterna alle reti appartenenti all'entità in esame e/o che è fuori dalla capacità dell'entità di controllare o gestire.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
1.2 Crea configurazioni firewall e router che limitano le connessioni tra reti non attendibili e qualsiasi componente di sistema nell'ambiente dati del titolare della carta. Nota: Una «rete non attendibile» è qualsiasi rete esterna alle reti appartenenti all'entità in esame e/o che è fuori dalla capacità dell'entità di controllare o gestire.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
1.2 Crea configurazioni firewall e router che limitano le connessioni tra reti non attendibili e qualsiasi componente di sistema nell'ambiente dati del titolare della carta. Nota: Una «rete non attendibile» è qualsiasi rete esterna alle reti appartenenti all'entità in esame e/o che è fuori dalla capacità dell'entità di controllare o gestire.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate ai gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato ai sistemi interni.
1.2 Crea configurazioni firewall e router che limitano le connessioni tra reti non attendibili e qualsiasi componente di sistema nell'ambiente dati del titolare della carta. Nota: Una «rete non attendibile» è qualsiasi rete esterna alle reti appartenenti all'entità in esame e/o che è fuori dalla capacità dell'entità di controllare o gestire.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che i bucket Amazon Simple Storage Service (Amazon S3) non possa essere accessibile pubblicamente bucket Amazon Simple Storage Service Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
1.2 Crea configurazioni firewall e router che limitano le connessioni tra reti non attendibili e qualsiasi componente di sistema nell'ambiente dati del titolare della carta. Nota: Una «rete non attendibile» è qualsiasi rete esterna alle reti appartenenti all'entità in esame e/o che è fuori dalla capacità dell'entità di controllare o gestire.

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
1.2 Crea configurazioni firewall e router che limitano le connessioni tra reti non attendibili e qualsiasi componente di sistema nell'ambiente dati del titolare della carta. Nota: Una «rete non attendibile» è qualsiasi rete esterna alle reti appartenenti all'entità in esame e/o che è fuori dalla capacità dell'entità di controllare o gestire.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
1.2 Crea configurazioni firewall e router che limitano le connessioni tra reti non attendibili e qualsiasi componente di sistema nell'ambiente dati del titolare della carta. Nota: Una «rete non attendibile» è qualsiasi rete esterna alle reti appartenenti all'entità in esame e/o che è fuori dalla capacità dell'entità di controllare o gestire.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
1.2 Crea configurazioni firewall e router che limitano le connessioni tra reti non attendibili e qualsiasi componente di sistema nell'ambiente dati del titolare della carta. Nota: Una «rete non attendibile» è qualsiasi rete esterna alle reti appartenenti all'entità in esame e/o che è fuori dalla capacità dell'entità di controllare o gestire.

redshift-enhanced-vpc-routing-enabled

Il routing VPC avanzato forza il passaggio di tutto il traffico dei comandi COPY e UNLOAD tra il cluster e i repository di dati attraverso Amazon VPC. È quindi possibile utilizzare funzionalità VPC come gruppi di sicurezza e elenchi di controllo dell'accesso alla rete per proteggere il traffico di rete. È inoltre possibile utilizzare i registri di flusso VPC per monitorare il traffico di rete.
1.2.1 limitare il traffico in entrata e in uscita a quello necessario per l'ambiente dati del titolare della carta e negare in particolare tutto il restante traffico.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
1.2.1 limitare il traffico in entrata e in uscita a quello necessario per l'ambiente dati del titolare della carta e negare in particolare tutto il restante traffico.

ebs-snapshot-public-restorable-check

Gestire l'accesso al cloud AWS assicurando che gli snapshot di non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
1.2.1 limitare il traffico in entrata e in uscita a quello necessario per l'ambiente dati del titolare della carta e negare in particolare tutto il restante traffico.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
1.2.1 limitare il traffico in entrata e in uscita a quello necessario per l'ambiente dati del titolare della carta e negare in particolare tutto il restante traffico.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando Amazon OpenSearch Service (OpenSearch Service) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un record OpenSearch Il dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Servizio e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
1.2.1 limitare il traffico in entrata e in uscita a quello necessario per l'ambiente dati del titolare della carta e negare in particolare tutto il restante traffico.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
1.2.1 limitare il traffico in entrata e in uscita a quello necessario per l'ambiente dati del titolare della carta e negare in particolare tutto il restante traffico.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Impedendo l'ingresso (o in remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto.
1.2.1 limitare il traffico in entrata e in uscita a quello necessario per l'ambiente dati del titolare della carta e negare in particolare tutto il restante traffico.

ec2-instances-in-vpc

Distribuendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
1.2.1 limitare il traffico in entrata e in uscita a quello necessario per l'ambiente dati del titolare della carta e negare in particolare tutto il restante traffico.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non possano essere accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
1.2.1 limitare il traffico in entrata e in uscita a quello necessario per l'ambiente dati del titolare della carta e negare in particolare tutto il restante traffico.

lambda-inside-vpc

Implementa le funzioni AWS Lambda in un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non sono necessari gateway Internet, dispositivo NAT o connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
1.2.1 limitare il traffico in entrata e in uscita a quello necessario per l'ambiente dati del titolare della carta e negare in particolare tutto il restante traffico.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
1.2.1 limitare il traffico in entrata e in uscita a quello necessario per l'ambiente dati del titolare della carta e negare in particolare tutto il restante traffico.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
1.2.1 limitare il traffico in entrata e in uscita a quello necessario per l'ambiente dati del titolare della carta e negare in particolare tutto il restante traffico.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
1.2.1 limitare il traffico in entrata e in uscita a quello necessario per l'ambiente dati del titolare della carta e negare in particolare tutto il restante traffico.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate ai gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
1.2.1 limitare il traffico in entrata e in uscita a quello necessario per l'ambiente dati del titolare della carta e negare in particolare tutto il restante traffico.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che i bucket Amazon Simple Storage Service (Amazon S3) non possa essere accessibile pubblicamente bucket Amazon Simple Storage Service Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativa ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
1.2.1 limitare il traffico in entrata e in uscita a quello necessario per l'ambiente dati del titolare della carta e negare in particolare tutto il restante traffico.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
1.2.1 limitare il traffico in entrata e in uscita a quello necessario per l'ambiente dati del titolare della carta e negare in particolare tutto il restante traffico.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
1.2.1 limitare il traffico in entrata e in uscita a quello necessario per l'ambiente dati del titolare della carta e negare in particolare tutto il restante traffico.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che Amazon SageMaker i notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
1.2.1 Limitare il traffico in entrata e in uscita a quello necessario per l'ambiente dati del titolare della carta e negare in particolare tutto il restante traffico.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
1.2.1 Limitare il traffico in entrata e in uscita a quello necessario per l'ambiente dati del titolare della carta e negare in particolare tutto il restante traffico.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
1.2.1 Limitare il traffico in entrata e in uscita a quello necessario per l'ambiente dati del titolare della carta e negare in particolare tutto il restante traffico.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate ai gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato ai sistemi interni.
1.2.1 Limitare il traffico in entrata e in uscita a quello necessario per l'ambiente dati del titolare della carta e negare in particolare tutto il restante traffico.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
1.2.1 Limitare il traffico in entrata e in uscita a quello necessario per l'ambiente dati del titolare della carta e negare in particolare tutto il restante traffico.

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
1.2.1 Limitare il traffico in entrata e in uscita a quello necessario per l'ambiente dati del titolare della carta e negare in particolare tutto il restante traffico.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
1.2.1 Limitare il traffico in entrata e in uscita a quello necessario per l'ambiente dati del titolare della carta e negare in particolare tutto il restante traffico.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
1.3 Proibire l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente dati del titolare della carta.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
1.3 Proibire l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente dati del titolare della carta.

ebs-snapshot-public-restorable-check

Gestire l'accesso al cloud AWS assicurando che gli snapshot di non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
1.3 Proibire l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente dati del titolare della carta.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
1.3 Proibire l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente dati del titolare della carta.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando Amazon OpenSearch Service (OpenSearch Service) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un record OpenSearch Il dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Servizio e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
1.3 Proibire l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente dati del titolare della carta.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
1.3 Proibire l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente dati del titolare della carta.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Impedendo l'ingresso (o in remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto.
1.3 Proibire l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente dati del titolare della carta.

ec2-instances-in-vpc

Distribuendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
1.3 Proibire l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente dati del titolare della carta.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non possano essere accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
1.3 Proibire l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente dati del titolare della carta.

lambda-inside-vpc

Implementa le funzioni AWS Lambda in un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non sono necessari gateway Internet, dispositivo NAT o connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
1.3 Proibire l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente dati del titolare della carta.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
1.3 Proibire l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente dati del titolare della carta.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
1.3 Proibire l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente dati del titolare della carta.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
1.3 Proibire l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente dati del titolare della carta.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate ai gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
1.3 Proibire l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente dati del titolare della carta.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativa ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
1.3 Proibire l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente dati del titolare della carta.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
1.3 Proibire l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente dati del titolare della carta.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
1.3 Proibire l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente dati del titolare della carta.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che Amazon SageMaker i notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
1.3 Proibire l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente dati del titolare della carta.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
1.3 Proibire l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente dati del titolare della carta.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
1.3 Proibire l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente dati del titolare della carta.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate ai gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato ai sistemi interni.
1.3 Proibire l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente dati del titolare della carta.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
1.3 Proibire l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente dati del titolare della carta.

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
1.3 Proibire l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente dati del titolare della carta.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
1.3 Proibire l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente dati del titolare della carta.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
1.3 Proibire l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente dati del titolare della carta.

redshift-enhanced-vpc-routing-enabled

Il routing VPC avanzato forza il passaggio di tutto il traffico dei comandi COPY e UNLOAD tra il cluster e i repository di dati attraverso Amazon VPC. È quindi possibile utilizzare funzionalità VPC come gruppi di sicurezza e elenchi di controllo dell'accesso alla rete per proteggere il traffico di rete. È inoltre possibile utilizzare i registri di flusso VPC per monitorare il traffico di rete.
1.3.1 Implementa un DMZ per limitare il traffico in ingresso solo ai componenti di sistema che forniscono servizi, protocolli e porte accessibili pubblicamente autorizzati.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
1.3.1 Implementa un DMZ per limitare il traffico in ingresso solo ai componenti di sistema che forniscono servizi, protocolli e porte accessibili pubblicamente autorizzati.

ebs-snapshot-public-restorable-check

Gestire l'accesso al cloud AWS assicurando che gli snapshot di non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
1.3.1 Implementa un DMZ per limitare il traffico in ingresso solo ai componenti di sistema che forniscono servizi, protocolli e porte accessibili pubblicamente autorizzati.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
1.3.1 Implementa un DMZ per limitare il traffico in ingresso solo ai componenti di sistema che forniscono servizi, protocolli e porte accessibili pubblicamente autorizzati.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando Amazon OpenSearch Service (OpenSearch Service) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un record OpenSearch Il dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Servizio e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
1.3.1 Implementa un DMZ per limitare il traffico in ingresso solo ai componenti di sistema che forniscono servizi, protocolli e porte accessibili pubblicamente autorizzati.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
1.3.1 Implementa un DMZ per limitare il traffico in ingresso solo ai componenti di sistema che forniscono servizi, protocolli e porte accessibili pubblicamente autorizzati.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Impedendo l'ingresso (o in remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto.
1.3.1 Implementa un DMZ per limitare il traffico in ingresso solo ai componenti di sistema che forniscono servizi, protocolli e porte accessibili pubblicamente autorizzati.

ec2-instances-in-vpc

Distribuendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
1.3.1 Implementa un DMZ per limitare il traffico in ingresso solo ai componenti di sistema che forniscono servizi, protocolli e porte accessibili pubblicamente autorizzati.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non possano essere accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
1.3.1 Implementa un DMZ per limitare il traffico in ingresso solo ai componenti di sistema che forniscono servizi, protocolli e porte accessibili pubblicamente autorizzati.

lambda-inside-vpc

Implementa le funzioni AWS Lambda in un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non sono necessari gateway Internet, dispositivo NAT o connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
1.3.1 Implementa un DMZ per limitare il traffico in ingresso solo ai componenti di sistema che forniscono servizi, protocolli e porte accessibili pubblicamente autorizzati.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
1.3.1 Implementa un DMZ per limitare il traffico in ingresso solo ai componenti di sistema che forniscono servizi, protocolli e porte accessibili pubblicamente autorizzati.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
1.3.1 Implementa un DMZ per limitare il traffico in ingresso solo ai componenti di sistema che forniscono servizi, protocolli e porte accessibili pubblicamente autorizzati.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
1.3.1 Implementa un DMZ per limitare il traffico in ingresso solo ai componenti di sistema che forniscono servizi, protocolli e porte accessibili pubblicamente autorizzati.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate ai gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
1.3.1 Implementare un DMZ per limitare il traffico in ingresso solo ai componenti di sistema che forniscono servizi, protocolli e porte accessibili pubblicamente autorizzati.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativa ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
1.3.1 Implementare un DMZ per limitare il traffico in ingresso solo ai componenti di sistema che forniscono servizi, protocolli e porte accessibili pubblicamente autorizzati.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
1.3.1 Implementare un DMZ per limitare il traffico in ingresso solo ai componenti di sistema che forniscono servizi, protocolli e porte accessibili pubblicamente autorizzati.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
1.3.1 Implementa un DMZ per limitare il traffico in ingresso solo ai componenti di sistema che forniscono servizi, protocolli e porte accessibili pubblicamente autorizzati.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che Amazon SageMaker i notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
1.3.1 Implementa un DMZ per limitare il traffico in ingresso solo ai componenti di sistema che forniscono servizi, protocolli e porte accessibili pubblicamente autorizzati.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
1.3.1 Implementare un DMZ per limitare il traffico in ingresso solo ai componenti di sistema che forniscono servizi, protocolli e porte accessibili pubblicamente autorizzati.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
1.3.1 Implementare un DMZ per limitare il traffico in ingresso solo ai componenti di sistema che forniscono servizi, protocolli e porte accessibili pubblicamente autorizzati.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate ai gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato ai sistemi interni.
1.3.1 Implementare un DMZ per limitare il traffico in ingresso solo ai componenti di sistema che forniscono servizi, protocolli e porte accessibili pubblicamente autorizzati.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che i bucket Amazon Simple Storage Service (Amazon S3) non possa essere accessibile pubblicamente bucket Amazon Simple Storage Service Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
1.3.1 Implementare un DMZ per limitare il traffico in ingresso solo ai componenti di sistema che forniscono servizi, protocolli e porte accessibili pubblicamente autorizzati.

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
1.3.1 Implementare un DMZ per limitare il traffico in ingresso solo ai componenti di sistema che forniscono servizi, protocolli e porte accessibili pubblicamente autorizzati.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
1.3.1 Implementare un DMZ per limitare il traffico in ingresso solo ai componenti di sistema che forniscono servizi, protocolli e porte accessibili pubblicamente autorizzati.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
1.3.1 Implementare un DMZ per limitare il traffico in ingresso solo ai componenti di sistema che forniscono servizi, protocolli e porte accessibili pubblicamente autorizzati.

redshift-enhanced-vpc-routing-enabled

Il routing VPC avanzato forza il passaggio di tutto il traffico dei comandi COPY e UNLOAD tra il cluster e i repository di dati attraverso Amazon VPC. È quindi possibile utilizzare funzionalità VPC come gruppi di sicurezza e elenchi di controllo dell'accesso alla rete per proteggere il traffico di rete. È inoltre possibile utilizzare i registri di flusso VPC per monitorare il traffico di rete.
1.3.2 limitare il traffico Internet in ingresso agli indirizzi IP all'interno della DMZ.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
1.3.2 limitare il traffico Internet in ingresso agli indirizzi IP all'interno della DMZ.

ebs-snapshot-public-restorable-check

Gestire l'accesso al cloud AWS assicurando che gli snapshot di non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
1.3.2 limitare il traffico Internet in ingresso agli indirizzi IP all'interno della DMZ.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
1.3.2 limitare il traffico Internet in ingresso agli indirizzi IP all'interno della DMZ.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando Amazon OpenSearch Service (OpenSearch Service) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un record OpenSearch Il dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Servizio e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
1.3.2 limitare il traffico Internet in ingresso agli indirizzi IP all'interno della DMZ.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
1.3.2 limitare il traffico Internet in ingresso agli indirizzi IP all'interno della DMZ.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Impedendo l'ingresso (o in remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto.
1.3.2 limitare il traffico Internet in ingresso agli indirizzi IP all'interno della DMZ.

ec2-instances-in-vpc

Distribuendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
1.3.2 limitare il traffico Internet in ingresso agli indirizzi IP all'interno della DMZ.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non possano essere accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
1.3.2 limitare il traffico Internet in ingresso agli indirizzi IP all'interno della DMZ.

lambda-inside-vpc

Implementa le funzioni AWS Lambda in un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non sono necessari gateway Internet, dispositivo NAT o connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
1.3.2 limitare il traffico Internet in ingresso agli indirizzi IP all'interno della DMZ.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
1.3.2 limitare il traffico Internet in ingresso agli indirizzi IP all'interno della DMZ.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
1.3.2 limitare il traffico Internet in ingresso agli indirizzi IP all'interno della DMZ.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
1.3.2 limitare il traffico Internet in ingresso agli indirizzi IP all'interno della DMZ.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate ai gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
1.3.2 Limitare il traffico Internet in ingresso agli indirizzi IP all'interno della DMZ.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che i bucket Amazon Simple Storage Service (Amazon S3) non possa essere accessibile pubblicamente bucket Amazon Simple Storage Service Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativa ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
1.3.2 Limitare il traffico Internet in ingresso agli indirizzi IP all'interno della DMZ.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
1.3.2 Limitare il traffico Internet in ingresso agli indirizzi IP all'interno della DMZ.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
1.3.2 limitare il traffico Internet in ingresso agli indirizzi IP all'interno della DMZ.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che Amazon SageMaker i notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
1.3.2 limitare il traffico Internet in ingresso agli indirizzi IP all'interno della DMZ.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
1.3.2 Limitare il traffico Internet in ingresso agli indirizzi IP all'interno della DMZ.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
1.3.2 Limitare il traffico Internet in ingresso agli indirizzi IP all'interno della DMZ.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate ai gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato ai sistemi interni.
1.3.2 Limitare il traffico Internet in ingresso agli indirizzi IP all'interno della DMZ.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che i bucket Amazon Simple Storage Service (Amazon S3) non possa essere accessibile pubblicamente bucket Amazon Simple Storage Service Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
1.3.2 Limitare il traffico Internet in ingresso agli indirizzi IP all'interno della DMZ.

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
1.3.2 Limitare il traffico Internet in ingresso agli indirizzi IP all'interno della DMZ.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
1.3.2 Limitare il traffico Internet in ingresso agli indirizzi IP all'interno della DMZ.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
1.3.2 Limitare il traffico Internet in ingresso agli indirizzi IP all'interno della DMZ.

redshift-enhanced-vpc-routing-enabled

Il routing VPC avanzato forza il passaggio di tutto il traffico dei comandi COPY e UNLOAD tra il cluster e i repository di dati attraverso Amazon VPC. È quindi possibile utilizzare funzionalità VPC come gruppi di sicurezza e elenchi di controllo dell'accesso alla rete per proteggere il traffico di rete. È inoltre possibile utilizzare i registri di flusso VPC per monitorare il traffico di rete.
1.3.4 Non consentire il traffico in uscita non autorizzato dall'ambiente dati del titolare della carta a Internet.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
1.3.4 Non consentire il traffico in uscita non autorizzato dall'ambiente dati del titolare della carta a Internet.

ebs-snapshot-public-restorable-check

Gestire l'accesso al cloud AWS assicurando che gli snapshot di non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
1.3.4 Non consentire il traffico in uscita non autorizzato dall'ambiente dati del titolare della carta a Internet.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
1.3.4 Non consentire il traffico in uscita non autorizzato dall'ambiente dati del titolare della carta a Internet.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando Amazon OpenSearch Service (OpenSearch Service) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un record OpenSearch Il dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Servizio e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
1.3.4 Non consentire il traffico in uscita non autorizzato dall'ambiente dati del titolare della carta a Internet.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
1.3.4 Non consentire il traffico in uscita non autorizzato dall'ambiente dati del titolare della carta a Internet.

ec2-instances-in-vpc

Distribuendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
1.3.4 Non consentire il traffico in uscita non autorizzato dall'ambiente dati del titolare della carta a Internet.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non possano essere accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
1.3.4 Non consentire il traffico in uscita non autorizzato dall'ambiente dati del titolare della carta a Internet.

lambda-inside-vpc

Implementa le funzioni AWS Lambda in un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non sono necessari gateway Internet, dispositivo NAT o connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
1.3.4 Non consentire il traffico in uscita non autorizzato dall'ambiente dati del titolare della carta a Internet.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
1.3.4 Non consentire il traffico in uscita non autorizzato dall'ambiente dati del titolare della carta a Internet.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
1.3.4 Non consentire il traffico in uscita non autorizzato dall'ambiente dati del titolare della carta a Internet.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
1.3.4 Non consentire il traffico in uscita non autorizzato dall'ambiente dati del titolare della carta a Internet.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che i bucket Amazon Simple Storage Service (Amazon S3) non possa essere accessibile pubblicamente bucket Amazon Simple Storage Service Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativa ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
1.3.4 Non consentire il traffico in uscita non autorizzato dall'ambiente dati del titolare della carta a Internet.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
1.3.4 Non consentire il traffico in uscita non autorizzato dall'ambiente dati del titolare della carta a Internet.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
1.3.4 Non consentire il traffico in uscita non autorizzato dall'ambiente dati del titolare della carta a Internet.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che Amazon SageMaker i notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
1.3.4 Non consentire il traffico in uscita non autorizzato dall'ambiente dati del titolare della carta a Internet.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
1.3.4 Non consentire il traffico in uscita non autorizzato dall'ambiente dati del titolare della carta a Internet.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che i bucket Amazon Simple Storage Service (Amazon S3) non possa essere accessibile pubblicamente bucket Amazon Simple Storage Service Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
1.3.4 Non consentire il traffico in uscita non autorizzato dall'ambiente dati del titolare della carta a Internet.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
1.3.4 Non consentire il traffico in uscita non autorizzato dall'ambiente dati del titolare della carta a Internet.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
1.3.6 Posizionare i componenti di sistema che memorizzano i dati del titolare della carta (ad esempio un database) in una zona di rete interna, separata dalla DMZ e da altre reti non attendibili.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
1.3.6 Posizionare i componenti di sistema che memorizzano i dati del titolare della carta (ad esempio un database) in una zona di rete interna, separata dalla DMZ e da altre reti non attendibili.

ebs-snapshot-public-restorable-check

Gestire l'accesso al cloud AWS assicurando che gli snapshot di non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
1.3.6 Posizionare i componenti di sistema che memorizzano i dati del titolare della carta (ad esempio un database) in una zona di rete interna, separata dalla DMZ e da altre reti non attendibili.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
1.3.6 Posizionare i componenti di sistema che memorizzano i dati del titolare della carta (ad esempio un database) in una zona di rete interna, separata dalla DMZ e da altre reti non attendibili.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando Amazon OpenSearch Service (OpenSearch Service) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un record OpenSearch Il dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Servizio e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
1.3.6 Posizionare i componenti di sistema che memorizzano i dati del titolare della carta (ad esempio un database) in una zona di rete interna, separata dalla DMZ e da altre reti non attendibili.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
1.3.6 Posizionare i componenti di sistema che memorizzano i dati del titolare della carta (ad esempio un database) in una zona di rete interna, separata dalla DMZ e da altre reti non attendibili.

ec2-instances-in-vpc

Distribuendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
1.3.6 Posizionare i componenti di sistema che memorizzano i dati del titolare della carta (ad esempio un database) in una zona di rete interna, separata dalla DMZ e da altre reti non attendibili.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
1.3.6 Posizionare i componenti di sistema che memorizzano i dati del titolare della carta (ad esempio un database) in una zona di rete interna, separata dalla DMZ e da altre reti non attendibili.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
1.3.6 Posizionare i componenti di sistema che memorizzano i dati del titolare della carta (ad esempio un database) in una zona di rete interna, separata dalla DMZ e da altre reti non attendibili.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
1.3.6 Posizionare i componenti di sistema che memorizzano i dati del titolare della carta (ad esempio un database) in una zona di rete interna, separata dalla DMZ e da altre reti non attendibili.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che i bucket Amazon Simple Storage Service (Amazon S3) non possa essere accessibile pubblicamente bucket Amazon Simple Storage Service Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativa ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
1.3.6 Posizionare i componenti di sistema che memorizzano i dati del titolare della carta (ad esempio un database) in una zona di rete interna, separata dalla DMZ e da altre reti non attendibili.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
1.3.6 Posizionare i componenti di sistema che memorizzano i dati del titolare della carta (ad esempio un database) in una zona di rete interna, separata dalla DMZ e da altre reti non attendibili.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
1.3.6 Posizionare i componenti di sistema che memorizzano i dati del titolare della carta (ad esempio un database) in una zona di rete interna, separata dalla DMZ e da altre reti non attendibili.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che Amazon SageMaker i notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
1.3.6 Posizionare i componenti di sistema che memorizzano i dati del titolare della carta (ad esempio un database) in una zona di rete interna, separata dalla DMZ e da altre reti non attendibili.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
1.3.6 Posizionare i componenti di sistema che memorizzano i dati del titolare della carta (ad esempio un database) in una zona di rete interna, separata dalla DMZ e da altre reti non attendibili.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che i bucket Amazon Simple Storage Service (Amazon S3) non possa essere accessibile pubblicamente bucket Amazon Simple Storage Service Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
1.3.6 Posizionare i componenti di sistema che memorizzano i dati del titolare della carta (ad esempio un database) in una zona di rete interna, separata dalla DMZ e da altre reti non attendibili.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
1.3.6 Posizionare i componenti di sistema che memorizzano i dati del titolare della carta (ad esempio un database) in una zona di rete interna, separata dalla DMZ e da altre reti non attendibili.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
2.1 Modifica sempre le impostazioni predefinite fornite dal fornitore e rimuovi o disabilita account predefiniti non necessari prima di installare un sistema nella rete. Ciò vale per TUTTE le password predefinite, inclusi, a titolo esemplificativo ma non esaustivo, quelle utilizzate dai sistemi operativi, software che fornisce servizi di sicurezza, account di applicazioni e di sistema, point-of-sale terminali (POS), applicazioni di pagamento, stringhe della comunità SNMP (Simple Network Management Protocol), ecc.).

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
2.2 Sviluppare standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti di standard di indurimento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin National Institute of Standards Technology (SANS) • National Institute of Standards Technology (NIST).

access-keys-rotated

Le credenziali vengono controllate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo i criteri organizzativi. La modifica delle chiavi di accesso su una pianificazione regolare è una procedura consigliata per la sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (impostazione predefinita PCI DSS: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
2.2 Sviluppare standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti di standard di indurimento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin National Institute of Standards Technology (SANS) • National Institute of Standards Technology (NIST).

account-parte delle organizzazioni

La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata dell'account può portare a configurazioni di account incoerenti, che possono esporre risorse e dati sensibili.
2.2 Sviluppare standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti di standard di indurimento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin National Institute of Standards Technology (SANS) • National Institute of Standards Technology (NIST).

autoscaling-group-elb-healthcheck-required

I controlli di integrità Elastic Load Balancer (ELB) per i gruppi Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) supportano la manutenzione di capacità e disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ping, effettua tentativi di connessione o invia richieste per testare l'integrità delle istanze Amazon EC2 in un gruppo di auto-scaling. Se un'istanza non viene segnalata, il traffico viene inviato a una nuova istanza Amazon EC2.
2.2 Sviluppare standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti di standard di indurimento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin National Institute of Standards Technology (SANS) • National Institute of Standards Technology (NIST).

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWS CloudTrail i dati offrono dettagli sull'attività delle chiamate API all'interno dell'account AWS.
2.2 Sviluppare standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti di standard di indurimento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin National Institute of Standards Technology (SANS) • National Institute of Standards Technology (NIST).

cloud-trail-encryption-enabled

Poiché potrebbero esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo AWS CloudTrail sentieri.
2.2 Sviluppare standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti di standard di indurimento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin National Institute of Standards Technology (SANS) • National Institute of Standards Technology (NIST).

cloud-trail-log-file-validation-enabled

Utilizzo di AWS CloudTrail convalida del file di log per verificare l'integrità di CloudTrail registri. La convalida del file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o invariato dopo CloudTrail consegnato. Questa funzione è costruita utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende impossibile, a livello di programmazione, qualsiasi operazione di modifica, eliminazione o contraffazione. CloudTrail file di log senza rilevamento.
2.2 Sviluppare standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti di standard di indurimento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin National Institute of Standards Technology (SANS) • National Institute of Standards Technology (NIST).

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
2.2 Sviluppare standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti di standard di indurimento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin National Institute of Standards Technology (SANS) • National Institute of Standards Technology (NIST).

cmk-backing-key-rotation-enabled

È possibile attivare la rotazione delle chiavi per garantire che le chiavi siano ruotate una volta che hanno raggiunto la fine del loro periodo di crittografia.
2.2 Sviluppare standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti di standard di indurimento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin National Institute of Standards Technology (SANS) • National Institute of Standards Technology (NIST).

ec2-ebs-encryption-by-default

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati.
2.2 Sviluppare standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti di standard di indurimento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin National Institute of Standards Technology (SANS) • National Institute of Standards Technology (NIST).

encrypted-volumes

Grazie a loro esistenza di dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS).
2.2 Sviluppare standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti di standard di indurimento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin National Institute of Standards Technology (SANS) • National Institute of Standards Technology (NIST).

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
2.2 Sviluppare standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti di standard di indurimento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin National Institute of Standards Technology (SANS) • National Institute of Standards Technology (NIST).

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Operazione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
2.2 Sviluppare standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti di standard di indurimento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin National Institute of Standards Technology (SANS) • National Institute of Standards Technology (NIST).

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
2.2 Sviluppare standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti di standard di indurimento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin National Institute of Standards Technology (SANS) • National Institute of Standards Technology (NIST).

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
2.2 Sviluppare standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti di standard di indurimento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin National Institute of Standards Technology (SANS) • National Institute of Standards Technology (NIST).

iam-user-no-policies-check

Questa regola assicura che le policy AWS Identity and Access Management (IAM) siano associate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
2.2 Sviluppare standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti di standard di indurimento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin National Institute of Standards Technology (SANS) • National Institute of Standards Technology (NIST).

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsageAge (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
2.2 Sviluppare standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti di standard di indurimento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin National Institute of Standards Technology (SANS) • National Institute of Standards Technology (NIST).

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
2.2 Sviluppare standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti di standard di indurimento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin National Institute of Standards Technology (SANS) • National Institute of Standards Technology (NIST).

abilitato per il cloudtrail basato su più regioni

AWS CloudTrail registra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTrail distribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione, CloudTrail creerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
2.2 Sviluppare standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti di standard di indurimento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin National Institute of Standards Technology (SANS) • National Institute of Standards Technology (NIST).

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate ai gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
2.2 Sviluppare standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti di standard di indurimento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin National Institute of Standards Technology (SANS) • National Institute of Standards Technology (NIST).

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
2.2 Sviluppare standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti di standard di indurimento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin National Institute of Standards Technology (SANS) • National Institute of Standards Technology (NIST).

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
2.2 Sviluppare standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti di standard di indurimento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin National Institute of Standards Technology (SANS) • National Institute of Standards Technology (NIST).

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che i bucket Amazon Simple Storage Service (Amazon S3) non possa essere accessibile pubblicamente bucket Amazon Simple Storage Service Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativa ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
2.2 Sviluppare standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti di standard di indurimento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin National Institute of Standards Technology (SANS) • National Institute of Standards Technology (NIST).

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
2.2 Sviluppare standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti di standard di indurimento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin National Institute of Standards Technology (SANS) • National Institute of Standards Technology (NIST).

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
2.2 Sviluppare standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti di standard di indurimento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin National Institute of Standards Technology (SANS) • National Institute of Standards Technology (NIST).

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
2.2 Sviluppare standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti di standard di indurimento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin National Institute of Standards Technology (SANS) • National Institute of Standards Technology (NIST).

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Crittografia (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
2.2 Sviluppare standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti di standard di indurimento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST).

S3-bucket-server-side-encryption-enabled

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati.
2.2 Sviluppare standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti di standard di indurimento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST).

s3-bucket-ssl-requests-only

Per proteggere i dati durante il transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
2.2 Sviluppare standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti di standard di indurimento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST).

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
2.2 Sviluppare standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti di standard di indurimento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin National Institute of Standards Technology (SANS) • National Institute of Standards Technology (NIST).

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
2.2 Sviluppare standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti di standard di indurimento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin National Institute of Standards Technology (SANS) • National Institute of Standards Technology (NIST).

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può aiutare con la gestione dei privilegi e delle autorizzazioni minimi.
2.2 Sviluppare standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti di standard di indurimento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST).

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Impedendo l'ingresso (o in remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto.
2.2.2 Abilita solo i servizi, i protocolli, i demoni, ecc. necessari, come richiesto per il funzionamento del sistema.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
2.2.2 Abilita solo i servizi, i protocolli, i demoni, ecc. necessari, come richiesto per il funzionamento del sistema.

ebs-snapshot-public-restorable-check

Gestire l'accesso al cloud AWS assicurando che gli snapshot di non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
2.2.2 Abilita solo i servizi, i protocolli, i demoni, ecc. necessari, come richiesto per il funzionamento del sistema.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
2.2.2 Abilita solo i servizi, i protocolli, i demoni, ecc. necessari, come richiesto per il funzionamento del sistema.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando Amazon OpenSearch Service (OpenSearch Service) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un record OpenSearch Il dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Servizio e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
2.2.2 Abilita solo i servizi, i protocolli, i demoni, ecc. necessari, come richiesto per il funzionamento del sistema.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
2.2.2 Abilita solo i servizi, i protocolli, i demoni, ecc. necessari, come richiesto per il funzionamento del sistema.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Impedendo l'ingresso (o in remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto.
2.2.2 Abilita solo i servizi, i protocolli, i demoni, ecc. necessari, come richiesto per il funzionamento del sistema.

ec2-instances-in-vpc

Distribuendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
2.2.2 Abilita solo i servizi, i protocolli, i demoni, ecc. necessari, come richiesto per il funzionamento del sistema.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non possano essere accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
2.2.2 Abilita solo i servizi, i protocolli, i demoni, ecc. necessari, come richiesto per il funzionamento del sistema.

lambda-inside-vpc

Implementa le funzioni AWS Lambda in un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non sono necessari gateway Internet, dispositivo NAT o connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
2.2.2 Abilita solo i servizi, i protocolli, i demoni, ecc. necessari, come richiesto per il funzionamento del sistema.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
2.2.2 Abilita solo i servizi, i protocolli, i demoni, ecc. necessari, come richiesto per il funzionamento del sistema.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
2.2.2 Abilita solo i servizi, i protocolli, i demoni, ecc. necessari, come richiesto per il funzionamento del sistema.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
2.2.2 Abilita solo i servizi, i protocolli, i demoni, ecc. necessari, come richiesto per il funzionamento del sistema.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate ai gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
2.2.2 Abilita solo i servizi, i protocolli, i demoni, ecc. necessari, come richiesto per il funzionamento del sistema.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che i bucket Amazon Simple Storage Service (Amazon S3) non possa essere accessibile pubblicamente bucket Amazon Simple Storage Service Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativa ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
2.2.2 Abilita solo i servizi, i protocolli, i demoni, ecc. necessari, come richiesto per il funzionamento del sistema.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
2.2.2 Abilita solo i servizi, i protocolli, i demoni, ecc. necessari, come richiesto per il funzionamento del sistema.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
2.2.2 Abilita solo i servizi, i protocolli, i demoni, ecc. necessari, come richiesto per il funzionamento del sistema.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che Amazon SageMaker i notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
2.2.2 Abilita solo i servizi, i protocolli, i demoni, ecc. necessari, come richiesto per il funzionamento del sistema.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
2.2.2 Abilita solo i servizi, i protocolli, i demoni, ecc. necessari, come richiesto per il funzionamento del sistema.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
2.2.2 Abilita solo i servizi, i protocolli, i demoni, ecc. necessari, come richiesto per il funzionamento del sistema.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate ai gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato ai sistemi interni.
2.2.2 Abilita solo i servizi, i protocolli, i demoni, ecc. necessari, come richiesto per il funzionamento del sistema.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che i bucket Amazon Simple Storage Service (Amazon S3) non possa essere accessibile pubblicamente bucket Amazon Simple Storage Service Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
2.2.2 Abilita solo i servizi, i protocolli, i demoni, ecc. necessari, come richiesto per il funzionamento del sistema.

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
2.2.2 Abilita solo i servizi, i protocolli, i demoni, ecc. necessari, come richiesto per il funzionamento del sistema.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
2.2.2 Abilita solo i servizi, i protocolli, i demoni, ecc. necessari, come richiesto per il funzionamento del sistema.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
2.3 Crittografa tutti gli accessi amministrativi non console utilizzando crittografia avanzata.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
2.3 Crittografa tutti gli accessi amministrativi non console utilizzando crittografia avanzata.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
2.3 Crittografa tutti gli accessi amministrativi non console utilizzando crittografia avanzata.

elb-predefined-security-policy-ssl-check

Per proteggere i dati in transito, assicurati che i listener SSL Classic Elastic Load Balancing utilizzino un criterio di sicurezza predefinito. Elastic Load Balancing fornisce configurazioni di negoziazione SSL predefinite, che vengono utilizzate per la negoziazione SSL quando viene stabilita una connessione tra un client e il bilanciatore del carico. Le configurazioni di negoziazione SSL offrono la compatibilità con un'ampia gamma di client e utilizzano algoritmi di crittografia altamente sicuri. Questa regola richiede l'impostazione di un criterio di sicurezza predefinito per i listener SSL. Il criterio di sicurezza predefinito è: ELBSecurityPolicy-TLS-1-2-2017-2017-0. Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
2.3 Crittografa tutti gli accessi amministrativi non console utilizzando crittografia avanzata.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
2.3 Crittografa tutti gli accessi amministrativi non console utilizzando crittografia avanzata.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedano crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
2.4 Gestire l'inventario dei componenti di sistema che hanno la possibilità di PCI DSS.

ec2-instance-managed-by-systems-manager

Gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager è possibile un inventario delle piattaforme software e le applicazioni nell'organizzazione. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
3.1 Mantieni al minimo l'archiviazione dei dati dei titolari di carta implementando politiche, procedure e processi di conservazione e smaltimento dei dati che includono almeno quanto segue per tutti i dati dei titolari di carta (CHD): • Limitazione della quantità di archiviazione dei dati e del tempo di conservazione a quelli richiesti per i requisiti legali, normativi e/o aziendali • Requisiti di conservazione specifici per i dati dei titolari di carta • Processi per l'eliminazione sicura dei dati quando non più necessario • Processo trimestrale per l'identificazione e l'eliminazione sicura dei dati archiviati dati del titolare della carta che superano la conservazione definita.

cw-loggroup-retention-period check

Per impostazione predefinita, i dati di registro vengono archiviati in CloudWatch Registra a tempo indeterminato. Assicurati di configurare per quanto tempo archiviare i dati di log in un gruppo di log. I dati che superano l'impostazione di conservazione selezionata vengono automaticamente eliminati. Puoi modificare la conservazione dei log per ciascun gruppo di log in qualsiasi momento. Il periodo di conservazione predefinito è 60 giorni.
3.4 Rendering di PAN illeggibili ovunque siano memorizzati (inclusi supporti digitali portatili, supporti di backup e log) utilizzando uno dei seguenti approcci: • Hash unidirezionale basati su crittografia forte (l'hash deve essere dell'intero PAN) • Truncation (l'hashing non può essere utilizzato per sostituire il segmento troncato di PAN) • Token e pad di indice (i pad devono essere archiviati in modo sicuro) • Crittografia forte con processi e procedure di gestione delle chiavi associati. Nota: È uno sforzo relativamente banale per un individuo malintenzionato ricostruire i dati PAN originali se hanno accesso sia alla versione troncata che all'hash di un PAN. Laddove versioni hash e troncate dello stesso PAN sono presenti nell'ambiente di un'entità, è necessario disporre di controlli aggiuntivi per garantire che le versioni hash e troncate non possano essere correlate per ricostruire il PAN originale.

api-gw-cache-enabled-and-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per la cache della fase API Gateway. Poiché i dati sensibili possono essere acquisiti per il metodo API, abilitare la crittografia a riposo per proteggere tali dati.
3.4 Rendering di PAN illeggibili ovunque siano memorizzati (inclusi supporti digitali portatili, supporti di backup e log) utilizzando uno dei seguenti approcci: • Hash unidirezionale basati su crittografia forte (l'hash deve essere dell'intero PAN) • Truncation (l'hashing non può essere utilizzato per sostituire il segmento troncato di PAN) • Token e pad di indice (i pad devono essere archiviati in modo sicuro) • Crittografia forte con processi e procedure di gestione delle chiavi associati. Nota: È uno sforzo relativamente banale per un individuo malintenzionato ricostruire i dati PAN originali se hanno accesso sia alla versione troncata che all'hash di un PAN. Laddove versioni hash e troncate dello stesso PAN sono presenti nell'ambiente di un'entità, è necessario disporre di controlli aggiuntivi per garantire che le versioni hash e troncate non possano essere correlate per ricostruire il PAN originale.

cloud-trail-encryption-enabled

Poiché potrebbero esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo AWS CloudTrail sentieri.
3.4 Rendering di PAN illeggibili ovunque siano memorizzati (inclusi supporti digitali portatili, supporti di backup e log) utilizzando uno dei seguenti approcci: • Hash unidirezionale basati su crittografia forte (l'hash deve essere dell'intero PAN) • Truncation (l'hashing non può essere utilizzato per sostituire il segmento troncato di PAN) • Token e pad di indice (i pad devono essere archiviati in modo sicuro) • Crittografia forte con processi e procedure di gestione delle chiavi associati. Nota: È uno sforzo relativamente banale per un individuo malintenzionato ricostruire i dati PAN originali se hanno accesso sia alla versione troncata che all'hash di un PAN. Laddove versioni hash e troncate dello stesso PAN sono presenti nell'ambiente di un'entità, è necessario disporre di controlli aggiuntivi per garantire che le versioni hash e troncate non possano essere correlate per ricostruire il PAN originale.

cloudwatch-log-group-encrypted

Per proteggere i dati sensibili a riposo, assicurati che la crittografia sia abilitata per il tuo Amazon CloudWatch Gruppi di log.
3.4 Rendering di PAN illeggibili ovunque siano memorizzati (inclusi supporti digitali portatili, supporti di backup e log) utilizzando uno dei seguenti approcci: • Hash unidirezionale basati su crittografia forte (l'hash deve essere dell'intero PAN) • Truncation (l'hashing non può essere utilizzato per sostituire il segmento troncato di PAN) • Token e pad di indice (i pad devono essere archiviati in modo sicuro) • Crittografia forte con processi e procedure di gestione delle chiavi associati. Nota: È uno sforzo relativamente banale per un individuo malintenzionato ricostruire i dati PAN originali se hanno accesso sia alla versione troncata che all'hash di un PAN. Laddove versioni hash e troncate dello stesso PAN sono presenti nell'ambiente di un'entità, è necessario disporre di controlli aggiuntivi per garantire che le versioni hash e troncate non possano essere correlate per ricostruire il PAN originale.

dynamodb-table-encrypted-kms

Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Poiché i dati sensibili possono esistere a riposo in queste tabelle, abilitare la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con una chiave master cliente di proprietà AWS (CMK).
3.4 Rendering di PAN illeggibili ovunque siano memorizzati (inclusi supporti digitali portatili, supporti di backup e log) utilizzando uno dei seguenti approcci: • Hash unidirezionale basati su crittografia forte (l'hash deve essere dell'intero PAN) • Truncation (l'hashing non può essere utilizzato per sostituire il segmento troncato di PAN) • Token e pad di indice (i pad devono essere archiviati in modo sicuro) • Crittografia forte con processi e procedure di gestione delle chiavi associati. Nota: È uno sforzo relativamente banale per un individuo malintenzionato ricostruire i dati PAN originali se hanno accesso sia alla versione troncata che all'hash di un PAN. Laddove versioni hash e troncate dello stesso PAN sono presenti nell'ambiente di un'entità, è necessario disporre di controlli aggiuntivi per garantire che le versioni hash e troncate non possano essere correlate per ricostruire il PAN originale.

ec2-ebs-encryption-by-default

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati.
3.4 Rendering di PAN illeggibili ovunque siano memorizzati (inclusi supporti digitali portatili, supporti di backup e log) utilizzando uno dei seguenti approcci: • Hash unidirezionale basati su crittografia forte (l'hash deve essere dell'intero PAN) • Truncation (l'hashing non può essere utilizzato per sostituire il segmento troncato di PAN) • Token e pad di indice (i pad devono essere archiviati in modo sicuro) • Crittografia forte con processi e procedure di gestione delle chiavi associati. Nota: È uno sforzo relativamente banale per un individuo malintenzionato ricostruire i dati PAN originali se hanno accesso sia alla versione troncata che all'hash di un PAN. Laddove versioni hash e troncate dello stesso PAN sono presenti nell'ambiente di un'entità, è necessario disporre di controlli aggiuntivi per garantire che le versioni hash e troncate non possano essere correlate per ricostruire il PAN originale.

efs-encrypted-check

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo Amazon Elastic File System (EFS).
3.4 Rendering di PAN illeggibili ovunque siano memorizzati (inclusi supporti digitali portatili, supporti di backup e log) utilizzando uno dei seguenti approcci: • Hash unidirezionale basati su crittografia forte (l'hash deve essere dell'intero PAN) • Truncation (l'hashing non può essere utilizzato per sostituire il segmento troncato di PAN) • Token e pad di indice (i pad devono essere archiviati in modo sicuro) • Crittografia forte con processi e procedure di gestione delle chiavi associati. Nota: È uno sforzo relativamente banale per un individuo malintenzionato ricostruire i dati PAN originali se hanno accesso sia alla versione troncata che all'hash di un PAN. Laddove versioni hash e troncate dello stesso PAN sono presenti nell'ambiente di un'entità, è necessario disporre di controlli aggiuntivi per garantire che le versioni hash e troncate non possano essere correlate per ricostruire il PAN originale.

elasticsearch-encrypted-at-rest

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per Amazon OpenSearch Domini Service (OpenSearch Service).
3.4 Rendering di PAN illeggibili ovunque siano memorizzati (inclusi supporti digitali portatili, supporti di backup e log) utilizzando uno dei seguenti approcci: • Hash unidirezionale basati su crittografia forte (l'hash deve essere dell'intero PAN) • Truncation (l'hashing non può essere utilizzato per sostituire il segmento troncato di PAN) • Token e pad di indice (i pad devono essere archiviati in modo sicuro) • Crittografia forte con processi e procedure di gestione delle chiavi associati. Nota: È uno sforzo relativamente banale per un individuo malintenzionato ricostruire i dati PAN originali se hanno accesso sia alla versione troncata che all'hash di un PAN. Laddove versioni hash e troncate dello stesso PAN sono presenti nell'ambiente di un'entità, è necessario disporre di controlli aggiuntivi per garantire che le versioni hash e troncate non possano essere correlate per ricostruire il PAN originale.

encrypted-volumes

Grazie a loro esistenza di dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS).
3.4 Rendering di PAN illeggibili ovunque siano memorizzati (inclusi supporti digitali portatili, supporti di backup e log) utilizzando uno dei seguenti approcci: • Hash unidirezionale basati su crittografia forte (l'hash deve essere dell'intero PAN) • Truncation (l'hashing non può essere utilizzato per sostituire il segmento troncato di PAN) • Token e pad di indice (i pad devono essere archiviati in modo sicuro) • Crittografia forte con processi e procedure di gestione delle chiavi associati. Nota: È uno sforzo relativamente banale per un individuo malintenzionato ricostruire i dati PAN originali se hanno accesso sia alla versione troncata che all'hash di un PAN. Laddove versioni hash e troncate dello stesso PAN sono presenti nell'ambiente di un'entità, è necessario disporre di controlli aggiuntivi per garantire che le versioni hash e troncate non possano essere correlate per ricostruire il PAN originale.

rds-snapshot-encrypted

Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
3.4 Rendering di PAN illeggibili ovunque siano memorizzati (inclusi supporti digitali portatili, supporti di backup e log) utilizzando uno dei seguenti approcci: • Hash unidirezionale basati su crittografia forte (l'hash deve essere dell'intero PAN) • Truncation (l'hashing non può essere utilizzato per sostituire il segmento troncato di PAN) • Token e pad di indice (i pad devono essere archiviati in modo sicuro) • Crittografia forte con processi e procedure di gestione delle chiavi associati. Nota: È uno sforzo relativamente banale per un individuo malintenzionato ricostruire i dati PAN originali se hanno accesso sia alla versione troncata che all'hash di un PAN. Laddove versioni hash e troncate dello stesso PAN sono presenti nell'ambiente di un'entità, è necessario disporre di controlli aggiuntivi per garantire che le versioni hash e troncate non possano essere correlate per ricostruire il PAN originale.

rds-storage-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati.
3.4 Rendering di PAN illeggibili ovunque siano memorizzati (inclusi supporti digitali portatili, supporti di backup e log) utilizzando uno dei seguenti approcci: • Hash unidirezionale basati su crittografia forte (l'hash deve essere dell'intero PAN) • Truncation (l'hashing non può essere utilizzato per sostituire il segmento troncato di PAN) • Token e pad di indice (i pad devono essere archiviati in modo sicuro) • Crittografia forte con processi e procedure di gestione delle chiavi associati. Nota: È uno sforzo relativamente banale per un individuo malintenzionato ricostruire i dati PAN originali se hanno accesso sia alla versione troncata che all'hash di un PAN. Laddove versioni hash e troncate dello stesso PAN sono presenti nell'ambiente di un'entità, è necessario disporre di controlli aggiuntivi per garantire che le versioni hash e troncate non possano essere correlate per ricostruire il PAN originale.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore per clusterDbEncrypted (Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
3.4 Rendering di PAN illeggibili ovunque siano memorizzati (inclusi supporti digitali portatili, supporti di backup e log) utilizzando uno dei seguenti approcci: • Hash unidirezionale basati su crittografia forte (l'hash deve essere dell'intero PAN) • Truncation (l'hashing non può essere utilizzato per sostituire il segmento troncato di PAN) • Token e pad di indice (i pad devono essere archiviati in modo sicuro) • Crittografia forte con processi e procedure di gestione delle chiavi associati. Nota: È uno sforzo relativamente banale per un individuo malintenzionato ricostruire i dati PAN originali se hanno accesso sia alla versione troncata che all'hash di un PAN. Laddove versioni hash e troncate dello stesso PAN sono presenti nell'ambiente di un'entità, è necessario disporre di controlli aggiuntivi per garantire che le versioni hash e troncate non possano essere correlate per ricostruire il PAN originale.

redshift-cluster-kms-enabled

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il cluster Amazon Redshift. Poiché i dati sensibili possono esistere a riposo nei cluster Redshift, abilitare la crittografia a riposo per proteggere tali dati.
3.4 Rendering di PAN illeggibili ovunque siano memorizzati (inclusi supporti digitali portatili, supporti di backup e log) utilizzando uno dei seguenti approcci: • Hash unidirezionale basati su crittografia forte (l'hash deve essere dell'intero PAN) • Truncation (l'hashing non può essere utilizzato per sostituire il segmento troncato di PAN) • Token e pad di indice (i pad devono essere archiviati in modo sicuro) • Crittografia forte con processi e procedure di gestione delle chiavi associati. Nota: È uno sforzo relativamente banale per un individuo malintenzionato ricostruire i dati PAN originali se hanno accesso sia alla versione troncata che all'hash di un PAN. Laddove versioni hash e troncate dello stesso PAN sono presenti nell'ambiente di un'entità, è necessario disporre di controlli aggiuntivi per garantire che le versioni hash e troncate non possano essere correlate per ricostruire il PAN originale.

S3-bucket-server-side-encryption-enabled

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati.
3.4 Rendering di PAN illeggibili ovunque siano memorizzati (inclusi supporti digitali portatili, supporti di backup e log) utilizzando uno dei seguenti approcci: • Hash unidirezionale basati su crittografia forte (l'hash deve essere dell'intero PAN) • Truncation (l'hashing non può essere utilizzato per sostituire il segmento troncato di PAN) • Token e pad di indice (i pad devono essere archiviati in modo sicuro) • Crittografia forte con processi e procedure di gestione delle chiavi associati. Nota: È uno sforzo relativamente banale per un individuo malintenzionato ricostruire i dati PAN originali se hanno accesso sia alla versione troncata che all'hash di un PAN. Laddove versioni hash e troncate dello stesso PAN sono presenti nell'ambiente di un'entità, è necessario disporre di controlli aggiuntivi per garantire che le versioni hash e troncate non possano essere correlate per ricostruire il PAN originale.

s3-default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo in un bucket Amazon S3, abilitare la crittografia a riposo per proteggere tali dati.
3.4 Rendering di PAN illeggibili ovunque siano memorizzati (inclusi supporti digitali portatili, supporti di backup e log) utilizzando uno dei seguenti approcci: • Hash unidirezionale basati su crittografia forte (l'hash deve essere dell'intero PAN) • Truncation (l'hashing non può essere utilizzato per sostituire il segmento troncato di PAN) • Token e pad di indice (i pad devono essere archiviati in modo sicuro) • Crittografia forte con processi e procedure di gestione delle chiavi associati. Nota: È uno sforzo relativamente banale per un individuo malintenzionato ricostruire i dati PAN originali se hanno accesso sia alla versione troncata che all'hash di un PAN. Laddove versioni hash e troncate dello stesso PAN sono presenti nell'ambiente di un'entità, è necessario disporre di controlli aggiuntivi per garantire che le versioni hash e troncate non possano essere correlate per ricostruire il PAN originale.

sagemaker-endpoint-configuration-kms-key-configured

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo SageMaker endpoint. Perché i dati sensibili possono esistere a riposo SageMaker endpoint, abilita la crittografia a riposo per proteggere tali dati.
3.4 Rendering di PAN illeggibili ovunque siano memorizzati (inclusi supporti digitali portatili, supporti di backup e log) utilizzando uno dei seguenti approcci: • Hash unidirezionale basati su crittografia forte (l'hash deve essere dell'intero PAN) • Truncation (l'hashing non può essere utilizzato per sostituire il segmento troncato di PAN) • Token e pad di indice (i pad devono essere archiviati in modo sicuro) • Crittografia forte con processi e procedure di gestione delle chiavi associati. Nota: È uno sforzo relativamente banale per un individuo malintenzionato ricostruire i dati PAN originali se hanno accesso sia alla versione troncata che all'hash di un PAN. Laddove versioni hash e troncate dello stesso PAN sono presenti nell'ambiente di un'entità, è necessario disporre di controlli aggiuntivi per garantire che le versioni hash e troncate non possano essere correlate per ricostruire il PAN originale.

sagemaker-notebook-instance-kms-key-configurato

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo SageMaker notebook. Perché i dati sensibili possono esistere a riposo SageMaker notebook, abilita la crittografia a riposo per proteggere tali dati.
3.4 Rendering di PAN illeggibili ovunque siano memorizzati (inclusi supporti digitali portatili, supporti di backup e log) utilizzando uno dei seguenti approcci: • Hash unidirezionale basati su crittografia forte (l'hash deve essere dell'intero PAN) • Truncation (l'hashing non può essere utilizzato per sostituire il segmento troncato di PAN) • Token e pad di indice (i pad devono essere archiviati in modo sicuro) • Crittografia forte con processi e procedure di gestione delle chiavi associati. Nota: È uno sforzo relativamente banale per un individuo malintenzionato ricostruire i dati PAN originali se hanno accesso sia alla versione troncata che all'hash di un PAN. Laddove versioni hash e troncate dello stesso PAN sono presenti nell'ambiente di un'entità, è necessario disporre di controlli aggiuntivi per garantire che le versioni hash e troncate non possano essere correlate per ricostruire il PAN originale.

secretsmanager-using-cmk

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per i segreti AWS Secrets Manager. Poiché i dati sensibili possono esistere a riposo nei segreti di Secrets Manager, abilitare la crittografia a riposo per proteggere tali dati.
3.5 Documentare e implementare procedure per proteggere le chiavi utilizzate per proteggere i dati dei titolari di carta memorizzati contro divulgazione e uso improprio: Nota: Questo requisito si applica alle chiavi utilizzate per crittografare i dati dei titolari di carte memorizzate e si applica anche alle chiavi di crittografia delle chiavi utilizzate per proteggere le chiavi di crittografia dei dati: tali chiavi di crittografia devono essere almeno altrettanto forti della chiave di crittografia dei dati.

cmk-backing-key-rotation-enabled

È possibile attivare la rotazione delle chiavi per garantire che le chiavi siano ruotate una volta che hanno raggiunto la fine del loro periodo di crittografia.
3.5 Documentare e implementare procedure per proteggere le chiavi utilizzate per proteggere i dati dei titolari di carta memorizzati contro divulgazione e uso improprio: Nota: Questo requisito si applica alle chiavi utilizzate per crittografare i dati dei titolari di carte memorizzate e si applica anche alle chiavi di crittografia delle chiavi utilizzate per proteggere le chiavi di crittografia dei dati: tali chiavi di crittografia devono essere almeno altrettanto forti della chiave di crittografia dei dati.

kms-cmk-not-scheduled-for-deletion

Per proteggere i dati inattivi, assicurarsi che le chiavi master cliente (CMK) non siano pianificate per l'eliminazione in AWS Key Management Service (AWS KMS). Poiché a volte è necessaria l'eliminazione della chiave, questa regola può aiutare a controllare tutte le chiavi pianificate per l'eliminazione, nel caso in cui una chiave sia stata pianificata involontariamente.
3.5.2 Limita l'accesso alle chiavi crittografiche al minor numero di custodi necessario.

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e separazione dei doveri. Questa regola permette la configurazione blockedActionsPatterns Parametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, KMS:reencryptFrom). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione
3.5.2 Limita l'accesso alle chiavi crittografiche al minor numero di custodi necessario.

azioni iam-inline-policy-blocked-kms-actions

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette la configurazione blockedActionsPatterns Parametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, KMS:reencryptFrom). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
3.6 Documentare e implementare completamente tutti i processi e le procedure di gestione delle chiavi per le chiavi crittografiche utilizzate per la crittografia dei dati dei titolari di carta, tra cui: Nota: Numerosi standard di settore per la gestione delle chiavi sono disponibili da varie risorse, tra cui NIST, disponibili all'indirizzo http://csrc.nist.gov.

cmk-backing-key-rotation-enabled

È possibile attivare la rotazione delle chiavi per garantire che le chiavi siano ruotate una volta che hanno raggiunto la fine del loro periodo di crittografia.
3.6 Documentare e implementare completamente tutti i processi e le procedure di gestione delle chiavi per le chiavi crittografiche utilizzate per la crittografia dei dati dei titolari di carta, tra cui: Nota: Numerosi standard di settore per la gestione delle chiavi sono disponibili da varie risorse, tra cui NIST, disponibili all'indirizzo http://csrc.nist.gov.

kms-cmk-not-scheduled-for-deletion

Per proteggere i dati inattivi, assicurarsi che le chiavi master cliente (CMK) non siano pianificate per l'eliminazione in AWS Key Management Service (AWS KMS). Poiché a volte è necessaria l'eliminazione della chiave, questa regola può aiutare a controllare tutte le chiavi pianificate per l'eliminazione, nel caso in cui una chiave sia stata pianificata involontariamente.
3.6.4 Modifiche alle chiavi crittografiche per le chiavi che hanno raggiunto la fine del loro criptoperiodo (ad esempio, dopo un determinato periodo di tempo e/o dopo che una determinata quantità di testo cifrato è stato prodotto da una determinata chiave), come definito dal fornitore dell'applicazione associato o dal proprietario della chiave, e in base al miglior settore pratiche e linee guida (ad esempio, pubblicazione speciale NIST 800-57).

cmk-backing-key-rotation-enabled

È possibile attivare la rotazione delle chiavi per garantire che le chiavi siano ruotate una volta che hanno raggiunto la fine del loro periodo di crittografia.
4.1 Utilizza potenti protocolli di crittografia e sicurezza per salvaguardare i dati sensibili dei titolari di carte durante la trasmissione su reti pubbliche aperte, tra cui: • Sono accettate solo chiavi e certificati attendibili. • Il protocollo in uso supporta solo versioni o configurazioni sicure. • La forza di crittografia è appropriata per la metodologia di crittografia in uso. Tra i quali reti pubbliche aperte sono inclusi: • Internet • Tecnologie wireless, tra cui 802.11 e Bluetooth • Tecnologie cellulari, ad esempio, Global System for Mobile Communications (GSM), Code division Multiple Access (CDMA) • General Packet Radio Service (GPRS) • Comunicazioni satellitari

acm-certificate-expiration-check

Assicurati che l'integrità della rete sia protetta assicurando che i certificati X509 vengano emessi da AWS ACM. Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore per daysToExpiration (valore AWS Foundational Security Best Practices: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
4.1 Utilizza potenti protocolli di crittografia e sicurezza per salvaguardare i dati sensibili dei titolari di carte durante la trasmissione su reti pubbliche aperte, tra cui: • Sono accettate solo chiavi e certificati attendibili. • Il protocollo in uso supporta solo versioni o configurazioni sicure. • La forza di crittografia è appropriata per la metodologia di crittografia in uso. Tra i quali reti pubbliche aperte sono inclusi: • Internet • Tecnologie wireless, tra cui 802.11 e Bluetooth • Tecnologie cellulari, ad esempio, Global System for Mobile Communications (GSM), Code division Multiple Access (CDMA) • General Packet Radio Service (GPRS) • Comunicazioni satellitari

alb-http-drop-invalid-header-enabled

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati per eliminare le intestazioni http. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
4.1 Utilizza potenti protocolli di crittografia e sicurezza per salvaguardare i dati sensibili dei titolari di carte durante la trasmissione su reti pubbliche aperte, tra cui: • Sono accettate solo chiavi e certificati attendibili. • Il protocollo in uso supporta solo versioni o configurazioni sicure. • La forza di crittografia è appropriata per la metodologia di crittografia in uso. Tra i quali reti pubbliche aperte sono inclusi: • Internet • Tecnologie wireless, tra cui 802.11 e Bluetooth • Tecnologie cellulari, ad esempio, Global System for Mobile Communications (GSM), Code division Multiple Access (CDMA) • General Packet Radio Service (GPRS) • Comunicazioni satellitari

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
4.1 Utilizza potenti protocolli di crittografia e sicurezza per salvaguardare i dati sensibili dei titolari di carte durante la trasmissione su reti pubbliche aperte, tra cui: • Sono accettate solo chiavi e certificati attendibili. • Il protocollo in uso supporta solo versioni o configurazioni sicure. • La forza di crittografia è appropriata per la metodologia di crittografia in uso. Tra i quali reti pubbliche aperte sono inclusi: • Internet • Tecnologie wireless, tra cui 802.11 e Bluetooth • Tecnologie cellulari, ad esempio, Global System for Mobile Communications (GSM), Code division Multiple Access (CDMA) • General Packet Radio Service (GPRS) • Comunicazioni satellitari

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
4.1 Utilizza potenti protocolli di crittografia e sicurezza per salvaguardare i dati sensibili dei titolari di carte durante la trasmissione su reti pubbliche aperte, tra cui: • Sono accettate solo chiavi e certificati attendibili. • Il protocollo in uso supporta solo versioni o configurazioni sicure. • La forza di crittografia è appropriata per la metodologia di crittografia in uso. Tra i quali reti pubbliche aperte sono inclusi: • Internet • Tecnologie wireless, tra cui 802.11 e Bluetooth • Tecnologie cellulari, ad esempio, Global System for Mobile Communications (GSM), Code division Multiple Access (CDMA) • General Packet Radio Service (GPRS) • Comunicazioni satellitari

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantire node-to-node crittografia per Amazon OpenSearch Il servizio è abilitato. La crittografia da nodo a nodo abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
4.1 Utilizza potenti protocolli di crittografia e sicurezza per salvaguardare i dati sensibili dei titolari di carte durante la trasmissione su reti pubbliche aperte, tra cui: • Sono accettate solo chiavi e certificati attendibili. • Il protocollo in uso supporta solo versioni o configurazioni sicure. • La forza di crittografia è appropriata per la metodologia di crittografia in uso. Tra i quali reti pubbliche aperte sono inclusi: • Internet • Tecnologie wireless, tra cui 802.11 e Bluetooth • Tecnologie cellulari, ad esempio, Global System for Mobile Communications (GSM), Code division Multiple Access (CDMA) • General Packet Radio Service (GPRS) • Comunicazioni satellitari

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
4.1 Utilizza potenti protocolli di crittografia e sicurezza per salvaguardare i dati sensibili dei titolari di carte durante la trasmissione su reti pubbliche aperte, tra cui: • Sono accettate solo chiavi e certificati attendibili. • Il protocollo in uso supporta solo versioni o configurazioni sicure. • La forza di crittografia è appropriata per la metodologia di crittografia in uso. Tra i quali reti pubbliche aperte sono inclusi: • Internet • Tecnologie wireless, tra cui 802.11 e Bluetooth • Tecnologie cellulari, ad esempio, Global System for Mobile Communications (GSM), Code division Multiple Access (CDMA) • General Packet Radio Service (GPRS) • Comunicazioni satellitari

elb-predefined-security-policy-ssl-check

Per proteggere i dati in transito, assicurati che i listener SSL Classic Elastic Load Balancing utilizzino un criterio di sicurezza predefinito. Elastic Load Balancing fornisce configurazioni di negoziazione SSL predefinite, che vengono utilizzate per la negoziazione SSL quando viene stabilita una connessione tra un client e il bilanciatore del carico. Le configurazioni di negoziazione SSL offrono la compatibilità con un'ampia gamma di client e utilizzano algoritmi di crittografia altamente sicuri. Questa regola richiede l'impostazione di un criterio di sicurezza predefinito per i listener SSL. Il criterio di sicurezza predefinito è: ELBSecurityPolicy-TLS-1-2-2017-2017-0. Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
4.1 Utilizza potenti protocolli di crittografia e sicurezza per salvaguardare i dati sensibili dei titolari di carte durante la trasmissione su reti pubbliche aperte, tra cui: • Sono accettate solo chiavi e certificati attendibili. • Il protocollo in uso supporta solo versioni o configurazioni sicure. • La forza di crittografia è appropriata per la metodologia di crittografia in uso. Tra i quali reti pubbliche aperte sono inclusi: • Internet • Tecnologie wireless, tra cui 802.11 e Bluetooth • Tecnologie cellulari, ad esempio, Global System for Mobile Communications (GSM), Code division Multiple Access (CDMA) • General Packet Radio Service (GPRS) • Comunicazioni satellitari

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
4.1 Utilizza potenti protocolli di crittografia e sicurezza per salvaguardare i dati sensibili dei titolari di carte durante la trasmissione su reti pubbliche aperte, tra cui: • Sono accettate solo chiavi e certificati attendibili. • Il protocollo in uso supporta solo versioni o configurazioni sicure. • La forza di crittografia è appropriata per la metodologia di crittografia in uso. Tra i quali reti pubbliche aperte sono inclusi: • Internet • Tecnologie wireless, tra cui 802.11 e Bluetooth • Tecnologie cellulari, ad esempio, Global System for Mobile Communications (GSM), Code division Multiple Access (CDMA) • General Packet Radio Service (GPRS) • Comunicazioni satellitari

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedano crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
4.1 Utilizza potenti protocolli di crittografia e sicurezza per salvaguardare i dati sensibili dei titolari di carte durante la trasmissione su reti pubbliche aperte, tra cui: • Sono accettate solo chiavi e certificati attendibili. • Il protocollo in uso supporta solo versioni o configurazioni sicure. • La forza di crittografia è appropriata per la metodologia di crittografia in uso. Tra i quali reti pubbliche aperte sono inclusi: • Internet • Tecnologie wireless, tra cui 802.11 e Bluetooth • Tecnologie cellulari, ad esempio, Global System for Mobile Communications (GSM), Code division Multiple Access (CDMA) • General Packet Radio Service (GPRS) • Comunicazioni satellitari

s3-bucket-ssl-requests-only

Per proteggere i dati durante il transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
4.1 Utilizza potenti protocolli di crittografia e sicurezza per salvaguardare i dati sensibili dei titolari di carte durante la trasmissione su reti pubbliche aperte, tra cui: • Sono accettate solo chiavi e certificati attendibili. • Il protocollo in uso supporta solo versioni o configurazioni sicure. • La forza di crittografia è appropriata per la metodologia di crittografia in uso. Tra i quali reti pubbliche aperte sono inclusi: • Internet • Tecnologie wireless, tra cui 802.11 e Bluetooth • Tecnologie cellulari, ad esempio, Global System for Mobile Communications (GSM), Code division Multiple Access (CDMA) • General Packet Radio Service (GPRS) • Comunicazioni satellitari

elbv2-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
5.1.2 Per i sistemi considerati non comunemente interessati da software dannoso, eseguire valutazioni periodiche per identificare e valutare le minacce malware in evoluzione al fine di confermare se tali sistemi continuano a non richiedere software antivirus.

guardduty-enabled-centralized

Amazon GuardDuty può aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS.
6.1 Stabilire un processo per identificare le vulnerabilità di sicurezza, utilizzando fonti esterne affidabili per le informazioni sulla vulnerabilità di sicurezza e assegnare una classificazione del rischio (ad esempio, come «alto», «medio» o «basso») alle vulnerabilità di sicurezza appena scoperte.

guardduty-enabled-centralized

Amazon GuardDuty può aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS.
6.2 Assicurarsi che tutti i componenti di sistema e il software siano protetti da vulnerabilità note installando le patch di sicurezza fornite dal fornitore applicabili. Installare le patch di sicurezza critiche entro un mese dal rilascio. Nota: Le patch di sicurezza critiche devono essere identificate in base al processo di classificazione del rischio definito nel Requisito 6.1.

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
6.2 Assicurarsi che tutti i componenti di sistema e il software siano protetti da vulnerabilità note installando le patch di sicurezza fornite dal fornitore applicabili. Installare le patch di sicurezza critiche entro un mese dal rilascio. Nota: Le patch di sicurezza critiche devono essere identificate in base al processo di classificazione del rischio definito nel Requisito 6.1.

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutare l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
6.2 Assicurarsi che tutti i componenti di sistema e il software siano protetti da vulnerabilità note installando le patch di sicurezza fornite dal fornitore applicabili. Installare le patch di sicurezza critiche entro un mese dal rilascio. Nota: Le patch di sicurezza critiche devono essere identificate in base al processo di classificazione del rischio definito nel Requisito 6.1.

rds-automatic-minor-version-upgrade abilitato

Abilita gli aggiornamenti automatici delle versioni secondarie sulle istanze di Amazon Relational Database Service (RDS) per garantire che siano installati gli ultimi aggiornamenti della versione secondaria del Relational Database Management System (RDBMS), che possono includere patch di sicurezza e correzioni di bug.
6.2 Assicurarsi che tutti i componenti di sistema e il software siano protetti da vulnerabilità note installando le patch di sicurezza fornite dal fornitore applicabili. Installare le patch di sicurezza critiche entro un mese dal rilascio. Nota: Le patch di sicurezza critiche devono essere identificate in base al processo di classificazione del rischio definito nel Requisito 6.1.

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. Nello specifico, hanno finestre di manutenzione preferite e periodi di conservazione automatica delle istantanee per il database. Questa regola richiede di impostare allowVersionUpgrade. Il valore predefinito è true. Consente inoltre di impostare facoltativamente preferredMaintenanceWindow (il valore predefinito è sat: 16:00 -sat: 16:30) e automatedSnapshotRetentionPeriod (il valore predefinito è 1). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
6.6 Per le applicazioni Web pubbliche, affrontare continuamente nuove minacce e vulnerabilità e garantire che queste applicazioni siano protette dagli attacchi noti con uno dei seguenti metodi: • Revisione di applicazioni Web pubbliche tramite strumenti o metodi di valutazione della sicurezza delle vulnerabilità delle applicazioni manuali o automatizzati, almeno ogni anno e dopo eventuali modifiche Nota: Questa valutazione non è la stessa delle scansioni di vulnerabilità eseguite per il requisito 11.2. • Installazione di una soluzione tecnica automatizzata che rileva e previene gli attacchi basati sul Web (ad esempio, un firewall delle applicazioni web) davanti alle applicazioni Web pubbliche, per controllare continuamente tutto il traffico.

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive nell'ambiente.
6.6 Per le applicazioni Web pubbliche, affrontare continuamente nuove minacce e vulnerabilità e garantire che queste applicazioni siano protette dagli attacchi noti con uno dei seguenti metodi: • Revisione di applicazioni Web pubbliche tramite strumenti o metodi di valutazione della sicurezza delle vulnerabilità delle applicazioni manuali o automatizzati, almeno ogni anno e dopo eventuali modifiche Nota: Questa valutazione non è la stessa delle scansioni di vulnerabilità eseguite per il requisito 11.2. • Installazione di una soluzione tecnica automatizzata che rileva e previene gli attacchi basati sul Web (ad esempio, un firewall delle applicazioni web) davanti alle applicazioni Web pubbliche, per controllare continuamente tutto il traffico.

api-gw-associato-con-waf

AWS WAF consente di configurare un set di regole (chiamato lista di controllo accessi Web (Web ACL)) che consente, blocca o conteggia le richieste Web in base alle regole di sicurezza Web personalizzabili e le condizioni definite dall'utente. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi
7.1.1 Definisci le esigenze di accesso per ciascun ruolo, tra cui: • Componenti di sistema e risorse dati a cui ciascun ruolo deve accedere per la propria funzione di lavoro • Livello di privilegio richiesto (ad esempio utente, amministratore, ecc.) per l'accesso alle risorse.

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può aiutare con la gestione dei privilegi e delle autorizzazioni minimi.
7.1.2 Limita l'accesso agli ID utente privilegiati ai minimi privilegi necessari per svolgere le responsabilità lavorative.

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e separazione dei doveri. Questa regola permette la configurazione blockedActionsPatterns Parametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, KMS:reencryptFrom). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione
7.1.2 Limita l'accesso agli ID utente privilegiati ai minimi privilegi necessari per svolgere le responsabilità lavorative.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
7.1.2 Limita l'accesso agli ID utente privilegiati ai minimi privilegi necessari per svolgere le responsabilità lavorative.

azioni iam-inline-policy-blocked-kms-actions

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette la configurazione blockedActionsPatterns Parametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, KMS:reencryptFrom). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
7.1.2 Limita l'accesso agli ID utente privilegiati ai minimi privilegi necessari per svolgere le responsabilità lavorative.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
7.1.2 Limita l'accesso agli ID utente privilegiati ai minimi privilegi necessari per svolgere le responsabilità lavorative.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Operazione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
7.1.2 Limita l'accesso agli ID utente privilegiati ai minimi privilegi necessari per svolgere le responsabilità lavorative.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
7.1.2 Limita l'accesso agli ID utente privilegiati ai minimi privilegi necessari per svolgere le responsabilità lavorative.

iam-user-no-policies-check

Questa regola assicura che le policy AWS Identity and Access Management (IAM) siano associate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
7.1.2 Limita l'accesso agli ID utente privilegiati ai minimi privilegi necessari per svolgere le responsabilità lavorative.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
7.1.2 Limita l'accesso agli ID utente privilegiati ai minimi privilegi necessari per svolgere le responsabilità lavorative.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
7.1.3 Assegna l'accesso in base alla classificazione e alla funzione del personale individuale.

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e separazione dei doveri. Questa regola permette la configurazione blockedActionsPatterns Parametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, KMS:reencryptFrom). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione
7.1.3 Assegna l'accesso in base alla classificazione e alla funzione del personale individuale.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
7.1.3 Assegna l'accesso in base alla classificazione e alla funzione del personale individuale.

azioni iam-inline-policy-blocked-kms-actions

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette la configurazione blockedActionsPatterns Parametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, KMS:reencryptFrom). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
7.1.3 Assegna l'accesso in base alla classificazione e alla funzione del personale individuale.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
7.1.3 Assegna l'accesso in base alla classificazione e alla funzione del personale individuale.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Operazione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
7.1.3 Assegna l'accesso in base alla classificazione e alla funzione del personale individuale.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
7.1.3 Assegna l'accesso in base alla classificazione e alla funzione del personale individuale.

iam-user-no-policies-check

Questa regola assicura che le policy AWS Identity and Access Management (IAM) siano associate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
7.1.3 Assegna l'accesso in base alla classificazione e alla funzione del personale individuale.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
7.2.1 Stabilire un sistema di controllo degli accessi per i componenti di sistema che limiti l'accesso in base alla necessità di conoscere l'utente e che sia impostato su «nega tutti», a meno che non sia espressamente consentito. I sistemi di controllo degli accessi devono comprendere quanto segue: Copertura di tutti i componenti del sistema

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono eseguire l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. L'autenticazione KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
7.2.1 Stabilire un sistema di controllo degli accessi per i componenti di sistema che limiti l'accesso in base alla necessità di conoscere l'utente e che sia impostato su «nega tutti», a meno che non sia espressamente consentito. I sistemi di controllo degli accessi devono comprendere quanto segue: Copertura di tutti i componenti del sistema

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e separazione dei doveri. Questa regola permette la configurazione blockedActionsPatterns Parametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, KMS:reencryptFrom). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione
7.2.1 Stabilire un sistema di controllo degli accessi per i componenti di sistema che limiti l'accesso in base alla necessità di conoscere l'utente e che sia impostato su «nega tutti», a meno che non sia espressamente consentito. I sistemi di controllo degli accessi devono comprendere quanto segue: Copertura di tutti i componenti del sistema

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
7.2.1 Stabilire un sistema di controllo degli accessi per i componenti di sistema che limiti l'accesso in base alla necessità di conoscere l'utente e che sia impostato su «nega tutti», a meno che non sia espressamente consentito. I sistemi di controllo degli accessi devono comprendere quanto segue: Copertura di tutti i componenti del sistema

azioni iam-inline-policy-blocked-kms-actions

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette la configurazione blockedActionsPatterns Parametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, KMS:reencryptFrom). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
7.2.1 Stabilire un sistema di controllo degli accessi per i componenti di sistema che limiti l'accesso in base alla necessità di conoscere l'utente e che sia impostato su «nega tutti», a meno che non sia espressamente consentito. I sistemi di controllo degli accessi devono comprendere quanto segue: Copertura di tutti i componenti del sistema

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
7.2.1 Stabilire un sistema di controllo degli accessi per i componenti di sistema che limiti l'accesso in base alla necessità di conoscere l'utente e che sia impostato su «nega tutti», a meno che non sia espressamente consentito. I sistemi di controllo degli accessi devono comprendere quanto segue: Copertura di tutti i componenti del sistema

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Operazione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
7.2.1 Stabilire un sistema di controllo degli accessi per i componenti di sistema che limiti l'accesso in base alla necessità di conoscere l'utente e che sia impostato su «nega tutti», a meno che non sia espressamente consentito. I sistemi di controllo degli accessi devono comprendere quanto segue: Copertura di tutti i componenti del sistema

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
7.2.1 Stabilire un sistema di controllo degli accessi per i componenti di sistema che limiti l'accesso in base alla necessità di conoscere l'utente e che sia impostato su «nega tutti», a meno che non sia espressamente consentito. I sistemi di controllo degli accessi devono comprendere quanto segue: Copertura di tutti i componenti del sistema

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
7.2.1 Stabilire un sistema di controllo degli accessi per i componenti di sistema che limiti l'accesso in base alla necessità di conoscere l'utente e che sia impostato su «nega tutti», a meno che non sia espressamente consentito. I sistemi di controllo degli accessi devono comprendere quanto segue: Copertura di tutti i componenti del sistema

iam-user-no-policies-check

Questa regola assicura che le policy AWS Identity and Access Management (IAM) siano associate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
7.2.1 Stabilire un sistema di controllo degli accessi per i componenti di sistema che limiti l'accesso in base alla necessità di conoscere l'utente e che sia impostato su «nega tutti», a meno che non sia espressamente consentito. I sistemi di controllo degli accessi devono comprendere quanto segue: Copertura di tutti i componenti del sistema

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsageAge (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
7.2.1 Stabilire un sistema di controllo degli accessi per i componenti di sistema che limiti l'accesso in base alla necessità di conoscere l'utente e che sia impostato su «nega tutti», a meno che non sia espressamente consentito. I sistemi di controllo degli accessi devono comprendere quanto segue: Copertura di tutti i componenti del sistema

s3-bucket-policy-grantee-check

Gestisci l'accesso al cloud AWS abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 sia limitato da qualsiasi principale AWS, dagli utenti federati, dai principali dei servizi, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti dall'utente.
7.2.1 Stabilire un sistema di controllo degli accessi per i componenti di sistema che limiti l'accesso in base alla necessità di conoscere l'utente e che sia impostato su «nega tutti», a meno che non sia espressamente consentito. I sistemi di controllo degli accessi devono comprendere quanto segue: Copertura di tutti i componenti del sistema

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
7.2.1 Stabilire un sistema di controllo degli accessi per i componenti di sistema che limiti l'accesso in base alla necessità di conoscere l'utente e che sia impostato su «nega tutti», a meno che non sia espressamente consentito. I sistemi di controllo degli accessi devono comprendere quanto segue: Copertura di tutti i componenti del sistema

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può aiutare con la gestione dei privilegi e delle autorizzazioni minimi.
7.2.1 Stabilire un sistema di controllo degli accessi per i componenti di sistema che limiti l'accesso in base alla necessità di conoscere l'utente e che sia impostato su «nega tutti», a meno che non sia espressamente consentito. I sistemi di controllo degli accessi devono comprendere quanto segue: Copertura di tutti i componenti del sistema

ecs-task-definition-user-per-host-mode check

Se una definizione di attività ha privilegi elevati, è perché il cliente ha specificamente optato per tali configurazioni. Questo controllo verifica la presenza di un'escalation imprevista dei privilegi quando una definizione di attività ha abilitato la rete host ma il cliente non ha optato per privilegi elevati.
7.2.2 Stabilire un sistema di controllo degli accessi per i componenti di sistema che limiti l'accesso in base alla necessità di conoscere l'utente e che sia impostato su «nega tutti», a meno che non sia espressamente consentito. I sistemi di controllo degli accessi devono comprendere quanto segue: Assegnazione di privilegi alle persone in base alla classificazione e alla funzione del lavoro.

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e separazione dei doveri. Questa regola permette la configurazione blockedActionsPatterns Parametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, KMS:reencryptFrom). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione
7.2.2 Stabilire un sistema di controllo degli accessi per i componenti di sistema che limiti l'accesso in base alla necessità di conoscere l'utente e che sia impostato su «nega tutti», a meno che non sia espressamente consentito. I sistemi di controllo degli accessi devono comprendere quanto segue: Assegnazione di privilegi alle persone in base alla classificazione e alla funzione del lavoro.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
7.2.2 Stabilire un sistema di controllo degli accessi per i componenti di sistema che limiti l'accesso in base alla necessità di conoscere l'utente e che sia impostato su «nega tutti», a meno che non sia espressamente consentito. I sistemi di controllo degli accessi devono comprendere quanto segue: Assegnazione di privilegi alle persone in base alla classificazione e alla funzione del lavoro.

azioni iam-inline-policy-blocked-kms-actions

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette la configurazione blockedActionsPatterns Parametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, KMS:reencryptFrom). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
7.2.2 stabilire un sistema di controllo degli accessi per i componenti di sistema che limiti l'accesso in base alla necessità di conoscere l'utente e che sia impostato su «nega tutti», a meno che non sia espressamente consentito. I sistemi di controllo degli accessi devono comprendere quanto segue: Assegnazione di privilegi alle persone in base alla classificazione e alla funzione del lavoro.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
7.2.2 stabilire un sistema di controllo degli accessi per i componenti di sistema che limiti l'accesso in base alla necessità di conoscere l'utente e che sia impostato su «nega tutti», a meno che non sia espressamente consentito. I sistemi di controllo degli accessi devono comprendere quanto segue: Assegnazione di privilegi alle persone in base alla classificazione e alla funzione del lavoro.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Operazione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
7.2.2 stabilire un sistema di controllo degli accessi per i componenti di sistema che limiti l'accesso in base alla necessità di conoscere l'utente e che sia impostato su «nega tutti», a meno che non sia espressamente consentito. I sistemi di controllo degli accessi devono comprendere quanto segue: Assegnazione di privilegi alle persone in base alla classificazione e alla funzione del lavoro.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
7.2.2 Stabilire un sistema di controllo degli accessi per i componenti di sistema che limiti l'accesso in base alla necessità di conoscere l'utente e che sia impostato su «nega tutti», a meno che non sia espressamente consentito. I sistemi di controllo degli accessi devono comprendere quanto segue: Assegnazione di privilegi alle persone in base alla classificazione e alla funzione del lavoro.

iam-user-no-policies-check

Questa regola assicura che le policy AWS Identity and Access Management (IAM) siano associate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
7.2.2 stabilire un sistema di controllo degli accessi per i componenti di sistema che limiti l'accesso in base alla necessità di conoscere l'utente e che sia impostato su «nega tutti», a meno che non sia espressamente consentito. I sistemi di controllo degli accessi devono comprendere quanto segue: Assegnazione di privilegi alle persone in base alla classificazione e alla funzione del lavoro.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
8.1.1 Assegna a tutti gli utenti un ID univoco prima di consentire loro di accedere ai componenti di sistema o ai dati del titolare della carta.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
8.1.4 Rimuovi/disabilita gli account utente inattivi entro 90 giorni.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsageAge (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
8.2.1 Grazie a crittografia avanzata, eseguire il rendering di tutte le credenziali di autenticazione illeggibili (ad esempio password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti di sistema.

codebuild-project-envvar-awscred-check

Assicurati che le credenziali di autenticazione AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY non esistano negli ambienti di progetto AWS Codebuild. Non memorizzare queste variabili in testo chiaro. L'archiviazione di queste variabili in testo non crittografato comporta l'esposizione non intenzionale dei dati e l'accesso non autorizzato.
8.2.1 Grazie a crittografia avanzata, eseguire il rendering di tutte le credenziali di autenticazione illeggibili (ad esempio password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti di sistema.

codebuild-project-source-repo-url-check

Garantire il GitHub o l'URL del repository di origine Bitbucket non contiene token di accesso personali, nome utente e password negli ambienti di progetto AWS Codebuild. Utilizzare OAuth anziché token di accesso personali o un nome utente e una password per concedere l'autorizzazione per accedere GitHub o repository Bitbucket.
8.2.1 Grazie a crittografia avanzata, eseguire il rendering di tutte le credenziali di autenticazione illeggibili (ad esempio password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti di sistema.

alb-http-drop-invalid-header-enabled

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati per eliminare le intestazioni http. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
8.2.1 Grazie a crittografia avanzata, eseguire il rendering di tutte le credenziali di autenticazione illeggibili (ad esempio password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti di sistema.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
8.2.1 Grazie a crittografia avanzata, eseguire il rendering di tutte le credenziali di autenticazione illeggibili (ad esempio password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti di sistema.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
8.2.1 Grazie a crittografia avanzata, eseguire il rendering di tutte le credenziali di autenticazione illeggibili (ad esempio password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti di sistema.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
8.2.1 Grazie a crittografia avanzata, eseguire il rendering di tutte le credenziali di autenticazione illeggibili (ad esempio password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti di sistema.

elb-predefined-security-policy-ssl-check

Per proteggere i dati in transito, assicurati che i listener SSL Classic Elastic Load Balancing utilizzino un criterio di sicurezza predefinito. Elastic Load Balancing fornisce configurazioni di negoziazione SSL predefinite, che vengono utilizzate per la negoziazione SSL quando viene stabilita una connessione tra un client e il bilanciatore del carico. Le configurazioni di negoziazione SSL offrono la compatibilità con un'ampia gamma di client e utilizzano algoritmi di crittografia altamente sicuri. Questa regola richiede l'impostazione di un criterio di sicurezza predefinito per i listener SSL. Il criterio di sicurezza predefinito è: ELBSecurityPolicy-TLS-1-2-2017-2017-0. Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
8.2.1 Grazie a crittografia avanzata, eseguire il rendering di tutte le credenziali di autenticazione illeggibili (ad esempio password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti di sistema.

s3-bucket-ssl-requests-only

Per proteggere i dati durante il transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
8.2.1 Grazie a crittografia avanzata, eseguire il rendering di tutte le credenziali di autenticazione illeggibili (ad esempio password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti di sistema.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
8.2.1 Grazie a crittografia avanzata, eseguire il rendering di tutte le credenziali di autenticazione illeggibili (ad esempio password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti di sistema.

dynamodb-table-encrypted-kms

Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Poiché i dati sensibili possono esistere a riposo in queste tabelle, abilitare la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con una chiave master cliente di proprietà AWS (CMK).
8.2.1 Grazie a crittografia avanzata, eseguire il rendering di tutte le credenziali di autenticazione illeggibili (ad esempio password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti di sistema.

ec2-ebs-encryption-by-default

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati.
8.2.1 Grazie a crittografia avanzata, eseguire il rendering di tutte le credenziali di autenticazione illeggibili (ad esempio password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti di sistema.

efs-encrypted-check

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo Amazon Elastic File System (EFS).
8.2.1 Grazie a crittografia avanzata, eseguire il rendering di tutte le credenziali di autenticazione illeggibili (ad esempio password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti di sistema.

elasticsearch-encrypted-at-rest

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per Amazon OpenSearch Domini Service (OpenSearch Service).
8.2.1 Grazie a crittografia avanzata, eseguire il rendering di tutte le credenziali di autenticazione illeggibili (ad esempio password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti di sistema.

encrypted-volumes

Grazie a loro esistenza di dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS).
8.2.1 Grazie a crittografia avanzata, eseguire il rendering di tutte le credenziali di autenticazione illeggibili (ad esempio password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti di sistema.

rds-snapshot-encrypted

Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
8.2.1 Grazie a crittografia avanzata, eseguire il rendering di tutte le credenziali di autenticazione illeggibili (ad esempio password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti di sistema.

rds-storage-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati.
8.2.1 Grazie a crittografia avanzata, eseguire il rendering di tutte le credenziali di autenticazione illeggibili (ad esempio password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti di sistema.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore per clusterDbEncrypted (Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
8.2.1 Grazie a crittografia avanzata, eseguire il rendering di tutte le credenziali di autenticazione illeggibili (ad esempio password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti di sistema.

redshift-cluster-kms-enabled

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il cluster Amazon Redshift. Poiché i dati sensibili possono esistere a riposo nei cluster Redshift, abilitare la crittografia a riposo per proteggere tali dati.
8.2.1 Utilizzando crittografia avanzata, eseguire il rendering di tutte le credenziali di autenticazione illeggibili (ad esempio password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti di sistema.

S3-bucket-server-side-encryption-enabled

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati.
8.2.1 Utilizzando crittografia avanzata, eseguire il rendering di tutte le credenziali di autenticazione illeggibili (ad esempio password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti di sistema.

s3-default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo in un bucket Amazon S3, abilitare la crittografia a riposo per proteggere tali dati.
8.2.1 Utilizzando crittografia avanzata, eseguire il rendering di tutte le credenziali di autenticazione illeggibili (ad esempio password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti di sistema.

sagemaker-endpoint-configuration-kms-key-configured

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo SageMaker endpoint. Perché i dati sensibili possono esistere a riposo SageMaker endpoint, abilita la crittografia a riposo per proteggere tali dati.
8.2.1 Utilizzando crittografia avanzata, eseguire il rendering di tutte le credenziali di autenticazione illeggibili (ad esempio password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti di sistema.

sagemaker-notebook-instance-kms-key-configurato

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo SageMaker notebook. Perché i dati sensibili possono esistere a riposo SageMaker notebook, abilita la crittografia a riposo per proteggere tali dati.
8.2.1 Utilizzando crittografia avanzata, eseguire il rendering di tutte le credenziali di autenticazione illeggibili (ad esempio password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti di sistema.

secretsmanager-using-cmk

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per i segreti AWS Secrets Manager. Poiché i dati sensibili possono esistere a riposo nei segreti di Secrets Manager, abilitare la crittografia a riposo per proteggere tali dati.
8.2.1 Utilizzando crittografia avanzata, eseguire il rendering di tutte le credenziali di autenticazione illeggibili (ad esempio password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti di sistema.

sns-encrypted-kms

Per proteggere i dati a riposo, assicurati che gli argomenti Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Poiché i dati sensibili possono esistere a riposo nei messaggi pubblicati, abilitare la crittografia a riposo per proteggere tali dati.
8.2.3 Le passwords/passphrase devono soddisfare quanto segue: • Richiede una lunghezza minima di almeno sette caratteri. • Contiene caratteri numerici e alfabetici. In alternativa, le password/passphrase devono avere complessità e forza almeno equivalenti ai parametri sopra specificati.

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativa RequireUppercaseCharacters (impostazione predefinita PCI DSS: false), RequireLowercaseCharacters (impostazione predefinita PCI DSS: true), RequireSymbols (impostazione predefinita PCI DSS: false), RequireNumbers (impostazione predefinita PCI DSS: true), MinimumPasswordLength (impostazione predefinita PCI DSS: 7), PasswordReusePrevention (impostazione predefinita PCI DSS: 4) e MaxPasswordAge (impostazione predefinita PCI DSS: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
8.2.4 Cambia password/passphrase utente almeno una volta ogni 90 giorni.

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativa RequireUppercaseCharacters (impostazione predefinita PCI DSS: false), RequireLowercaseCharacters (impostazione predefinita PCI DSS: true), RequireSymbols (impostazione predefinita PCI DSS: false), RequireNumbers (impostazione predefinita PCI DSS: true), MinimumPasswordLength (impostazione predefinita PCI DSS: 7), PasswordReusePrevention (impostazione predefinita PCI DSS: 4) e MaxPasswordAge (impostazione predefinita PCI DSS: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
8.2.5 Non permettere a un individuo di inviare una nuova password/passphrase uguale a una delle ultime quattro password/passphrase che ha utilizzato.

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativa RequireUppercaseCharacters (impostazione predefinita PCI DSS: false), RequireLowercaseCharacters (impostazione predefinita PCI DSS: true), RequireSymbols (impostazione predefinita PCI DSS: false), RequireNumbers (impostazione predefinita PCI DSS: true), MinimumPasswordLength (impostazione predefinita PCI DSS: 7), PasswordReusePrevention (impostazione predefinita PCI DSS: 4) e MaxPasswordAge (impostazione predefinita PCI DSS: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
8.3 Proteggi tutti i singoli accessi amministrativi non console e tutto l'accesso remoto al CDE utilizzando l'autenticazione a più fattori. Nota: L'autenticazione a più fattori richiede l'utilizzo di almeno due dei tre metodi di autenticazione (vedere Requisito 8.2 per le descrizioni dei metodi di autenticazione) per l'autenticazione. L'utilizzo di un fattore due volte (ad esempio, utilizzando due password separate) non è considerato autenticazione a più fattori.

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
8.3 Proteggi tutti i singoli accessi amministrativi non console e tutto l'accesso remoto al CDE utilizzando l'autenticazione a più fattori. Nota: L'autenticazione a più fattori richiede l'utilizzo di almeno due dei tre metodi di autenticazione (vedere Requisito 8.2 per le descrizioni dei metodi di autenticazione) per l'autenticazione. L'utilizzo di un fattore due volte (ad esempio, utilizzando due password separate) non è considerato autenticazione a più fattori.

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
8.3 Proteggi tutti i singoli accessi amministrativi non console e tutto l'accesso remoto al CDE utilizzando l'autenticazione a più fattori. Nota: L'autenticazione a più fattori richiede l'utilizzo di almeno due dei tre metodi di autenticazione (vedere Requisito 8.2 per le descrizioni dei metodi di autenticazione) per l'autenticazione. L'utilizzo di un fattore due volte (ad esempio, utilizzando due password separate) non è considerato autenticazione a più fattori.

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
8.3 Proteggi tutti i singoli accessi amministrativi non console e tutto l'accesso remoto al CDE utilizzando l'autenticazione a più fattori. Nota: L'autenticazione a più fattori richiede l'utilizzo di almeno due dei tre metodi di autenticazione (vedere Requisito 8.2 per le descrizioni dei metodi di autenticazione) per l'autenticazione. L'utilizzo di un fattore due volte (ad esempio, utilizzando due password separate) non è considerato autenticazione a più fattori.

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
10.1 Implementare gli audit trail per collegare tutti gli accessi ai componenti di sistema a ogni singolo utente.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
10.1 Implementare gli audit trail per collegare tutti gli accessi ai componenti di sistema a ogni singolo utente.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWS CloudTrail i dati offrono dettagli sull'attività delle chiamate API all'interno dell'account AWS.
10.1 Implementare gli audit trail per collegare tutti gli accessi ai componenti di sistema a ogni singolo utente.

cloudtrail-enabled

AWS CloudTrail può aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWS CloudTrail Contenuto dei record.
10.1 Implementare gli audit trail per collegare tutti gli accessi ai componenti di sistema a ogni singolo utente.

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
10.1 Implementare gli audit trail per collegare tutti gli accessi ai componenti di sistema a ogni singolo utente.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
10.1 Implementare gli audit trail per collegare tutti gli accessi ai componenti di sistema a ogni singolo utente.

abilitato per il cloudtrail basato su più regioni

AWS CloudTrail registra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTrail distribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione, CloudTrail creerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
10.1 Implementare gli audit trail per collegare tutti gli accessi ai componenti di sistema a ogni singolo utente.

rds-logging-enabled

Per agevolare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
10.1 Implementare gli audit trail per collegare tutti gli accessi ai componenti di sistema a ogni singolo utente.

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
10.1 Implementare gli audit trail per collegare tutti gli accessi ai componenti di sistema a ogni singolo utente.

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
10.1 Implementare gli audit trail per collegare tutti gli accessi ai componenti di sistema a ogni singolo utente.

wafv2-logging abilitato

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'operazione per il regolamento abbinato a ciascuna richiesta.
10.1 Implementare gli audit trail per collegare tutti gli accessi ai componenti di sistema a ogni singolo utente.

ricerca elastica - logs-to-cloud watch

Verifica di Amazon OpenSearch I domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su Amazon CloudWatch Registri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
10.1 Implementare gli audit trail per collegare tutti gli accessi ai componenti di sistema a ogni singolo utente.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore per clusterDbEncrypted (Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
10.2.1 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tutti i singoli utenti accedono ai dati del titolare della carta

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
10.2.1 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tutti i singoli utenti accedono ai dati del titolare della carta

abilitato per il cloudtrail basato su più regioni

AWS CloudTrail registra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTrail distribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione, CloudTrail creerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
10.2.1 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tutti i singoli utenti accedono ai dati del titolare della carta

cloudtrail-enabled

AWS CloudTrail può aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWS CloudTrail Contenuto dei record.
10.2.1 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tutti i singoli utenti accedono ai dati del titolare della carta

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWS CloudTrail i dati offrono dettagli sull'attività delle chiamate API all'interno dell'account AWS.
10.2.1 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tutti i singoli utenti accedono ai dati del titolare della carta

rds-logging-enabled

Per agevolare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
10.2.1 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tutti i singoli utenti accedono ai dati del titolare della carta

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
10.2.1 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tutti i singoli utenti accedono ai dati del titolare della carta

ricerca elastica - logs-to-cloud watch

Verifica di Amazon OpenSearch I domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su Amazon CloudWatch Registri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
10.2.1 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tutti i singoli utenti accedono ai dati del titolare della carta

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore per clusterDbEncrypted (Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
10.2.2 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tutte le azioni intraprese da qualsiasi individuo con privilegi root o amministrativi

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
10.2.2 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tutte le azioni intraprese da qualsiasi individuo con privilegi root o amministrativi

abilitato per il cloudtrail basato su più regioni

AWS CloudTrail registra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTrail distribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione, CloudTrail creerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
10.2.2 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tutte le azioni intraprese da qualsiasi individuo con privilegi root o amministrativi

cloudtrail-enabled

AWS CloudTrail può aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWS CloudTrail Contenuto dei record.
10.2.2 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tutte le azioni intraprese da qualsiasi individuo con privilegi root o amministrativi

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWS CloudTrail i dati offrono dettagli sull'attività delle chiamate API all'interno dell'account AWS.
10.2.2 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tutte le azioni intraprese da qualsiasi individuo con privilegi root o amministrativi

rds-logging-enabled

Per agevolare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
10.2.2 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tutte le azioni intraprese da qualsiasi individuo con privilegi root o amministrativi

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
10.2.2 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tutte le azioni intraprese da qualsiasi individuo con privilegi root o amministrativi

ricerca elastica - logs-to-cloud watch

Verifica di Amazon OpenSearch I domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su Amazon CloudWatch Registri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
10.2.2 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tutte le azioni intraprese da qualsiasi individuo con privilegi root o amministrativi

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore per clusterDbEncrypted (Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
10.2.3 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Accesso a tutti gli audit trail

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
10.2.3 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Accesso a tutti gli audit trail

abilitato per il cloudtrail basato su più regioni

AWS CloudTrail registra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTrail distribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione, CloudTrail creerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
10.2.3 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Accesso a tutti gli audit trail

cloudtrail-enabled

AWS CloudTrail può aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWS CloudTrail Contenuto dei record.
10.2.3 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Accesso a tutti gli audit trail

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWS CloudTrail i dati offrono dettagli sull'attività delle chiamate API all'interno dell'account AWS.
10.2.3 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Accesso a tutti gli audit trail

rds-logging-enabled

Per agevolare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
10.2.3 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Accesso a tutti gli audit trail

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
10.2.3 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Accesso a tutti gli audit trail

ricerca elastica - logs-to-cloud watch

Verifica di Amazon OpenSearch I domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su Amazon CloudWatch Registri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
10.2.3 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Accesso a tutti gli audit trail

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore per clusterDbEncrypted (Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
10.2.4 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tentativi di accesso logico non valido

cloudtrail-enabled

AWS CloudTrail può aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWS CloudTrail Contenuto dei record.
10.2.4 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tentativi di accesso logico non valido

abilitato per il cloudtrail basato su più regioni

AWS CloudTrail registra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTrail distribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione, CloudTrail creerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
10.2.4 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tentativi di accesso logico non valido

rds-logging-enabled

Per agevolare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
10.2.4 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tentativi di accesso logico non valido

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
10.2.4 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tentativi di accesso logico non valido

ricerca elastica - logs-to-cloud watch

Verifica di Amazon OpenSearch I domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su Amazon CloudWatch Registri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
10.2.4 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tentativi di accesso logico non valido

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore per clusterDbEncrypted (Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
10.2.5 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Utilizzo e modifiche ai meccanismi di identificazione e autenticazione, inclusi, a titolo esemplificativo, la creazione di nuovi account e l'elevazione dei privilegi e tutte le modifiche, aggiunte o eliminazioni agli account con privilegi root o amministrativi

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
10.2.5 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Utilizzo e modifiche ai meccanismi di identificazione e autenticazione, inclusi, a titolo esemplificativo, la creazione di nuovi account e l'elevazione dei privilegi e tutte le modifiche, aggiunte o eliminazioni agli account con privilegi root o amministrativi

abilitato per il cloudtrail basato su più regioni

AWS CloudTrail registra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTrail distribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione, CloudTrail creerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
10.2.5 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Utilizzo e modifiche ai meccanismi di identificazione e autenticazione, inclusi, a titolo esemplificativo, la creazione di nuovi account e l'elevazione dei privilegi e tutte le modifiche, aggiunte o eliminazioni agli account con privilegi root o amministrativi

cloudtrail-enabled

AWS CloudTrail può aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWS CloudTrail Contenuto dei record.
10.2.5 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Utilizzo e modifiche ai meccanismi di identificazione e autenticazione, inclusi, a titolo esemplificativo, la creazione di nuovi account e l'elevazione dei privilegi e tutte le modifiche, aggiunte o eliminazioni agli account con privilegi root o amministrativi

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWS CloudTrail i dati offrono dettagli sull'attività delle chiamate API all'interno dell'account AWS.
10.2.5 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Utilizzo e modifiche ai meccanismi di identificazione e autenticazione, inclusi, a titolo esemplificativo, la creazione di nuovi account e l'elevazione dei privilegi e tutte le modifiche, aggiunte o eliminazioni agli account con privilegi root o amministrativi

rds-logging-enabled

Per agevolare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
10.2.5 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Utilizzo e modifiche ai meccanismi di identificazione e autenticazione, inclusi, a titolo esemplificativo, la creazione di nuovi account e l'elevazione dei privilegi e tutte le modifiche, aggiunte o eliminazioni agli account con privilegi root o amministrativi

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
10.2.5 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Utilizzo e modifiche ai meccanismi di identificazione e autenticazione, inclusi, a titolo esemplificativo, la creazione di nuovi account e l'elevazione dei privilegi e tutte le modifiche, aggiunte o eliminazioni agli account con privilegi root o amministrativi

ricerca elastica - logs-to-cloud watch

Verifica di Amazon OpenSearch I domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su Amazon CloudWatch Registri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
10.2.5 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Utilizzo e modifiche ai meccanismi di identificazione e autenticazione, inclusi, a titolo esemplificativo, la creazione di nuovi account e l'elevazione dei privilegi e tutte le modifiche, aggiunte o eliminazioni agli account con privilegi root o amministrativi

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore per clusterDbEncrypted (Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
10.2.6 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Inizializzazione, arresto o sospensione dei registri di controllo

abilitato per il cloudtrail basato su più regioni

AWS CloudTrail registra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTrail distribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione, CloudTrail creerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
10.2.6 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Inizializzazione, arresto o sospensione dei registri di controllo

cloudtrail-enabled

AWS CloudTrail può aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWS CloudTrail Contenuto dei record.
10.2.7 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Creazione e cancellazione di oggetti a livello di sistema

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
10.2.7 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Creazione e cancellazione di oggetti a livello di sistema

abilitato per il cloudtrail basato su più regioni

AWS CloudTrail registra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTrail distribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione, CloudTrail creerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
10.2.7 Implementare audit trail automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Creazione e cancellazione di oggetti a livello di sistema

cloudtrail-enabled

AWS CloudTrail può aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWS CloudTrail Contenuto dei record.
10.3.1 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Identificazione dell'utente

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
10.3.1 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Identificazione dell'utente

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
10.3.1 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Identificazione dell'utente

abilitato per il cloudtrail basato su più regioni

AWS CloudTrail registra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTrail distribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione, CloudTrail creerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
10.3.1 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Identificazione dell'utente

cloudtrail-enabled

AWS CloudTrail può aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWS CloudTrail Contenuto dei record.
10.3.1 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Identificazione dell'utente

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWS CloudTrail i dati offrono dettagli sull'attività delle chiamate API all'interno dell'account AWS.
10.3.1 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Identificazione dell'utente

rds-logging-enabled

Per agevolare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
10.3.1 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Identificazione dell'utente

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
10.3.1 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Identificazione dell'utente

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
10.3.1 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Identificazione dell'utente

wafv2-logging abilitato

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'operazione per il regolamento abbinato a ciascuna richiesta.
10.3.1 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Identificazione dell'utente

ricerca elastica - logs-to-cloud watch

Verifica di Amazon OpenSearch I domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su Amazon CloudWatch Registri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
10.3.1 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Identificazione dell'utente

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore per clusterDbEncrypted (Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
10.3.2 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Tipo di evento

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
10.3.2 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Tipo di evento

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
10.3.2 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Tipo di evento

abilitato per il cloudtrail basato su più regioni

AWS CloudTrail registra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTrail distribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione, CloudTrail creerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
10.3.2 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Tipo di evento

cloudtrail-enabled

AWS CloudTrail può aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWS CloudTrail Contenuto dei record.
10.3.2 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Tipo di evento

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWS CloudTrail i dati offrono dettagli sull'attività delle chiamate API all'interno dell'account AWS.
10.3.2 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Tipo di evento

rds-logging-enabled

Per agevolare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
10.3.2 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Tipo di evento

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
10.3.2 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Tipo di evento

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
10.3.2 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Tipo di evento

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
10.3.2 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Tipo di evento

wafv2-logging abilitato

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'operazione per il regolamento abbinato a ciascuna richiesta.
10.3.2 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Tipo di evento

ricerca elastica - logs-to-cloud watch

Verifica di Amazon OpenSearch I domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su Amazon CloudWatch Registri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
10.3.2 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Tipo di evento

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore per clusterDbEncrypted (Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
10.3.3 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Data e ora

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
10.3.3 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Data e ora

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
10.3.3 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Data e ora

abilitato per il cloudtrail basato su più regioni

AWS CloudTrail registra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTrail distribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione, CloudTrail creerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
10.3.3 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Data e ora

cloudtrail-enabled

AWS CloudTrail può aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWS CloudTrail Contenuto dei record.
10.3.3 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Data e ora

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWS CloudTrail i dati offrono dettagli sull'attività delle chiamate API all'interno dell'account AWS.
10.3.3 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Data e ora

rds-logging-enabled

Per agevolare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
10.3.3 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Data e ora

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
10.3.3 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Data e ora

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
10.3.3 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Data e ora

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
10.3.3 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Data e ora

wafv2-logging abilitato

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'operazione per il regolamento abbinato a ciascuna richiesta.
10.3.3 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Data e ora

ricerca elastica - logs-to-cloud watch

Verificare che Amazon OpenSearch I domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su Amazon CloudWatch Registri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
10.3.3 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Data e ora

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore per clusterDbEncrypted (Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
10.3.4 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Segnala esito positivo o negativo

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
10.3.4 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Segnala esito positivo o negativo

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
10.3.4 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Segnala esito positivo o negativo

abilitato per il cloudtrail basato su più regioni

AWS CloudTrail registra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTrail distribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione, CloudTrail creerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
10.3.4 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Segnala esito positivo o negativo

cloudtrail-enabled

AWS CloudTrail può aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWS CloudTrail Contenuto dei record.
10.3.4 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Segnala esito positivo o negativo

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWS CloudTrail i dati offrono dettagli sull'attività delle chiamate API all'interno dell'account AWS.
10.3.4 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Segnala esito positivo o negativo

rds-logging-enabled

Per agevolare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
10.3.4 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Segnala esito positivo o negativo

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
10.3.4 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Segnala esito positivo o negativo

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
10.3.4 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Segnala esito positivo o negativo

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
10.3.4 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Segnala esito positivo o negativo

wafv2-logging abilitato

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'operazione per il regolamento abbinato a ciascuna richiesta.
10.3.4 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Segnala esito positivo o negativo

ricerca elastica - logs-to-cloud watch

Verificare che Amazon OpenSearch I domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su Amazon CloudWatch Registri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
10.3.4 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Segnala esito positivo o negativo

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore per clusterDbEncrypted (Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
10.3.5 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Nascita dell'evento

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
10.3.5 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Nascita dell'evento

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
10.3.5 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Nascita dell'evento

abilitato per il cloudtrail basato su più regioni

AWS CloudTrail registra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTrail distribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione, CloudTrail creerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
10.3.5 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Nascita dell'evento

cloudtrail-enabled

AWS CloudTrail può aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWS CloudTrail Contenuto dei record.
10.3.5 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Nascita dell'evento

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWS CloudTrail i dati offrono dettagli sull'attività delle chiamate API all'interno dell'account AWS.
10.3.5 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Nascita dell'evento

rds-logging-enabled

Per agevolare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
10.3.5 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Nascita dell'evento

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
10.3.5 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Nascita dell'evento

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
10.3.5 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Nascita dell'evento

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
10.3.5 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Nascita dell'evento

wafv2-logging abilitato

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'operazione per il regolamento abbinato a ciascuna richiesta.
10.3.5 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Nascita dell'evento

ricerca elastica - logs-to-cloud watch

Verificare che Amazon OpenSearch I domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su Amazon CloudWatch Registri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
10.3.5 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Nascita dell'evento

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore per clusterDbEncrypted (Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
10.3.6 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Identità o nome dei dati interessati, del componente di sistema o della risorsa.

s3-bucket-logging-enabled

La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
10.3.6 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Identità o nome dei dati interessati, del componente di sistema o della risorsa.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
10.3.6 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Identità o nome dei dati interessati, del componente di sistema o della risorsa.

abilitato per il cloudtrail basato su più regioni

AWS CloudTrail registra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTrail distribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione, CloudTrail creerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
10.3.6 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Identità o nome dei dati interessati, del componente di sistema o della risorsa.

cloudtrail-enabled

AWS CloudTrail può aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWS CloudTrail Contenuto dei record.
10.3.6 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Identità o nome dei dati interessati, del componente di sistema o della risorsa.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWS CloudTrail i dati offrono dettagli sull'attività delle chiamate API all'interno dell'account AWS.
10.3.6 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Identità o nome dei dati interessati, del componente di sistema o della risorsa.

rds-logging-enabled

Per agevolare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
10.3.6 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Identità o nome dei dati interessati, del componente di sistema o della risorsa.

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
10.3.6 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Identità o nome dei dati interessati, del componente di sistema o della risorsa.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
10.3.6 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Identità o nome dei dati interessati, del componente di sistema o della risorsa.

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
10.3.6 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Identità o nome dei dati interessati, del componente di sistema o della risorsa.

wafv2-logging abilitato

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'operazione per il regolamento abbinato a ciascuna richiesta.
10.3.6 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Identità o nome dei dati interessati, del componente di sistema o della risorsa.

ricerca elastica - logs-to-cloud watch

Verificare che Amazon OpenSearch I domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su Amazon CloudWatch Registri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
10.3.6 registrare almeno le seguenti voci di audit trail per tutti i componenti di sistema per ogni evento: Identità o nome dei dati interessati, del componente di sistema o della risorsa.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore per clusterDbEncrypted (Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
10.5.2 Proteggi i file di audit trail da modifiche non autorizzate.

cloud-trail-log-file-validation-enabled

Utilizzo di AWS CloudTrail convalida del file di log per verificare l'integrità di CloudTrail registri. La convalida del file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o invariato dopo CloudTrail l'ha consegnato. Questa funzione è costruita utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende impossibile, a livello di programmazione, qualsiasi operazione di modifica, eliminazione o contraffazione. CloudTrail file di log senza rilevamento.
10.5.3 Eseguire tempestivo il backup dei file di audit trail in un server di log centralizzato o un supporto che è difficile da modificare.

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Crittografia (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
10.5.3 Eseguire tempestivo il backup dei file di audit trail in un server di log centralizzato o un supporto che è difficile da modificare.

s3-bucket-versioning-enabled

Il controllo delle versioni bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere diverse varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni ti aiuta a ripristinare facilmente le operazioni indesiderate dell'utente e i guasti dell'applicazione.
10.5.3 Eseguire tempestivo il backup dei file di audit trail in un server di log centralizzato o un supporto che è difficile da modificare.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWS CloudTrail i dati offrono dettagli sull'attività delle chiamate API all'interno dell'account AWS.
10.5.4 Scrivi i log per le tecnologie esterne su un server di log o un dispositivo multimediale sicuro, centralizzato e interno.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWS CloudTrail i dati offrono dettagli sull'attività delle chiamate API all'interno dell'account AWS.
10.5.4 Scrivi i log per le tecnologie esterne su un server di log o un dispositivo multimediale sicuro, centralizzato e interno.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
10.5.4 Scrivi i log per le tecnologie esterne su un server di log o un dispositivo multimediale sicuro, centralizzato e interno.

wafv2-logging abilitato

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'operazione per il regolamento abbinato a ciascuna richiesta.
10.5.4 Scrivi i log per le tecnologie esterne su un server di log o un dispositivo multimediale sicuro, centralizzato e interno.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
10.5 Audit trail sicuri in modo che non possano essere modificati.

cloud-trail-log-file-validation-enabled

Utilizzo di AWS CloudTrail convalida del file di log per verificare l'integrità di CloudTrail registri. La convalida del file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o invariato dopo CloudTrail l'ha consegnato. Questa funzione è costruita utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende impossibile, a livello di programmazione, qualsiasi operazione di modifica, eliminazione o contraffazione. CloudTrail file di log senza rilevamento.
10.5 Audit trail sicuri in modo che non possano essere modificati.

cloud-trail-encryption-enabled

Poiché potrebbero esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo AWS CloudTrail sentieri.
10.5 Audit trail sicuri in modo che non possano essere modificati.

S3-bucket-server-side-encryption-enabled

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati.
10.5 Audit trail sicuri in modo che non possano essere modificati.

s3-default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo in un bucket Amazon S3, abilitare la crittografia a riposo per proteggere tali dati.
10.5.5 Utilizza il software di monitoraggio dell'integrità dei file o di rilevamento delle modifiche nei log per garantire che i dati di log esistenti non possano essere modificati senza generare avvisi (anche se i nuovi dati aggiunti non dovrebbero causare un avviso).

cloud-trail-log-file-validation-enabled

Utilizzo di AWS CloudTrail convalida del file di log per verificare l'integrità di CloudTrail registri. La convalida del file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o invariato dopo CloudTrail l'ha consegnato. Questa funzione è costruita utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende impossibile, a livello di programmazione, qualsiasi operazione di modifica, eliminazione o contraffazione. CloudTrail file di log senza rilevamento.
10.7 Mantieni la cronologia degli audit trail per almeno un anno, con un minimo di tre mesi immediatamente disponibili per l'analisi (ad esempio, online, archiviati o ripristinabili dal backup).

cw-loggroup-retention-period check

Per impostazione predefinita, i dati di registro vengono archiviati in CloudWatch Registra a tempo indeterminato. Assicurati di configurare per quanto tempo archiviare i dati di log in un gruppo di log. I dati che superano l'impostazione di conservazione selezionata vengono automaticamente eliminati. Puoi modificare la conservazione dei log per ciascun gruppo di log in qualsiasi momento. Il periodo di conservazione predefinito è 60 giorni.
10.9 Esaminare la documentazione e intervistare il personale per verificare che le politiche di sicurezza e le procedure operative per monitorare tutti gli accessi alle risorse di rete e ai dati dei titolari di carta siano: •Documentato, •In uso e •Conosciuto a tutte le parti interessate. audit-log-policy-exists (controllo del processo) Stabilire e mantenere un criterio di gestione dei log di controllo che definisce i requisiti di registrazione dell'organizzazione. Ciò include, a titolo esemplificativo ma non esaustivo, la revisione e la conservazione dei registri di controllo.
11.4 Utilizzare tecniche di rilevamento delle intrusioni e/o di prevenzione delle intrusioni per rilevare e/o prevenire le intrusioni nella rete. Monitora tutto il traffico sul perimetro dell'ambiente dati del titolare della carta e nei punti critici dell'ambiente dati del titolare della carta e avvisare il personale di sospetti compromessi. Mantieni aggiornati tutti i motori, le linee di base e le firme per il rilevamento delle intrusioni e la prevenzione.

guardduty-enabled-centralized

Amazon GuardDuty può aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS.
11.5 Implementare un meccanismo di rilevamento delle modifiche (ad esempio strumenti di monitoraggio dell'integrità dei file) per avvisare il personale di modifiche non autorizzate (incluse modifiche, aggiunte e eliminazioni) di file di sistema critici, file di configurazione o file di contenuto e configurare il software per eseguire almeno confronti di file critici settimanalmente.

cloud-trail-log-file-validation-enabled

Utilizzo di AWS CloudTrail convalida del file di log per verificare l'integrità di CloudTrail registri. La convalida del file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o invariato dopo CloudTrail l'ha consegnato. Questa funzione è costruita utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende impossibile, a livello di programmazione, qualsiasi operazione di modifica, eliminazione o contraffazione. CloudTrail file di log senza rilevamento.
12.2 Implementare un processo di valutazione del rischio che: •Viene eseguito almeno ogni anno e in seguito a modifiche significative dell'ambiente (ad esempio acquisizione, fusione, trasferimento, ecc.), •Identifica le risorse critiche, le minacce e le vulnerabilità e •Risultati in un'analisi formale e documentata del rischio. Esempi di metodologie di valutazione del rischio includono, a titolo esemplificativo, OCTAVE, ISO 27005 e NIST SP 800-30. valutazione annuale-rischio-eseguita (verifica del processo) Esegui una valutazione annuale del rischio sulla tua organizzazione. Le valutazioni dei rischi possono aiutare a determinare la probabilità e l'impatto dei rischi e/o delle vulnerabilità identificati che interessano un'organizzazione.
12.6 Implementare un programma formale di sensibilizzazione sulla sicurezza per rendere tutto il personale consapevole delle politiche e delle procedure di sicurezza dei dati dei titolari di il programma di sensibilizzazione della sicurezza esiste (controllo del processo) Stabilisci e gestisci un programma di sensibilizzazione sulla sicurezza per la tua organizzazione I programmi di sensibilizzazione sulla sicurezza educano i dipendenti su come proteggere la propria organizzazione da varie violazioni o incidenti della sicurezza.
12.10 Implementa un piano di risposta agli incidenti. Preparati a rispondere immediatamente a una violazione del sistema. response-plan-exists-manutenuto (controllo del processo) Assicurarsi che i piani di risposta agli incidenti siano stabiliti, mantenuti e distribuiti al personale responsabile.

Modello

Il modello è disponibile su GitHub: Best practice operative per PCI DSS 3.2.1.