Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Best practice operative per PCI DSS 3.2.1
I Conformance Pack forniscono un framework di conformità generico progettato per consentire di creare controlli di governance relativi alla sicurezza, all'operatività o all'ottimizzazione dei costi utilizzando regole gestite o personalizzate e azioni correttive. AWS Config AWS Config I Conformance Pack, in quanto modelli di esempio, non sono progettati per garantire la piena conformità a uno specifico standard di governance o conformità. È responsabilità dell'utente valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.
Di seguito viene fornito un esempio di mappatura tra il Payment Card Industry Data Security Standard (PCI DSS) 3.2.1 e le regole Config gestiteAWS. Ogni AWS Config regola si applica a una AWS risorsa specifica e si riferisce a uno o più controlli PCI DSS. Un controllo PCI DSS può essere correlato a più regole Config. Fai riferimento alla tabella seguente per maggiori dettagli e indicazioni relative a queste mappature.
| ID controllo | Descrizione del controllo | AWSRegola di Config | Guida |
|---|---|---|---|
| 1.2.1 | Limita il traffico in entrata e in uscita a quanto necessario per l'ambiente di dati dei titolari della carta e, in particolare, nega tutto il resto del traffico. | Per aiutare a proteggere le applicazioni dalle vulnerabilità di HTTP Desync, assicurati che la modalità di mitigazione HTTP Desync sia abilitata sui sistemi di bilanciamento del carico delle applicazioni. I problemi relativi a HTTP Desync possono portare al contrabbando di richieste e rendere le applicazioni vulnerabili alle richieste di avvelenamento della coda o della cache. Le modalità di mitigazione di Desync sono monitor, difensive e rigorose. Difensiva è la modalità predefinita. | |
| 1.2.1 | Limita il traffico in entrata e in uscita a quanto necessario per l'ambiente di dati del titolare della carta e nega in particolare tutto il resto del traffico. | Assicurati che i tuoi Elastic Load Balancer (ELB) siano configurati per eliminare le intestazioni http. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| 1.2.1 | Limita il traffico in entrata e in uscita a quanto necessario per l'ambiente dei dati dei titolari della carta e, in particolare, nega tutto il resto del traffico. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in ingresso (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto. | |
| 1.2.1 | Limita il traffico in entrata e in uscita a quello necessario per l'ambiente di dati del titolare della carta e, in particolare, nega tutto il resto del traffico. | Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non dovrebbero essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server. | |
| 1.2.1 | Limita il traffico in entrata e in uscita a quanto necessario per l'ambiente di dati dei titolari della carta e, in particolare, nega tutto il resto del traffico. | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 1.2.1 | Limita il traffico in entrata e in uscita a quello necessario per l'ambiente di dati del titolare della carta e, in particolare, vieta tutto il resto del traffico. | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Le istantanee dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 1.2.1 | Limita il traffico in entrata e in uscita a quanto necessario per l'ambiente di dati dei titolari della carta e, in particolare, vieta tutto il resto del traffico. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 1.2.1 | Limita il traffico in entrata e in uscita a quello necessario per l'ambiente di dati dei titolari della carta e, in particolare, nega tutto il resto del traffico. | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| 1.2.1 | Limita il traffico in entrata e in uscita a quello necessario per l'ambiente di dati del titolare della carta e, in particolare, nega tutto il resto del traffico. | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi master del cluster Amazon EMR possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account. | |
| 1.2.1 | Limita il traffico in entrata e in uscita a quello necessario per l'ambiente di dati del titolare della carta e, in particolare, blocca tutto il resto del traffico. | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per abilitare una comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno di AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| 1.2.1 | Limita il traffico in entrata e in uscita a quello necessario per l'ambiente di dati dei titolari della carta e, in particolare, nega tutto il resto del traffico. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un deterioramento della disponibilità delle risorse. | |
| 1.2.1 | Limita il traffico in entrata e in uscita a quanto necessario per l'ambiente dei dati dei titolari di carta e nega in particolare tutto il resto del traffico. | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non è necessario un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| 1.2.1 | Limita il traffico in entrata e in uscita a quanto necessario per l'ambiente di dati del titolare della carta e, in particolare, nega tutto il resto del traffico. | Un gruppo di regole AWS Network Firewall contiene regole che definiscono il modo in cui il firewall elabora il traffico nel tuo VPC. Un gruppo di regole stateless vuoto, se presente in una policy firewall, non elabora il traffico. | |
| 1.2.1 | Limita il traffico in entrata e in uscita a quello necessario per l'ambiente di dati del titolare della carta e, in particolare, nega tutto il resto del traffico. | Assicurati che le tabelle di routing di Amazon EC2 non abbiano percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre gli accessi involontari all'interno del tuo ambiente. | |
| 1.2.1 | Limita il traffico in entrata e in uscita a quello necessario per l'ambiente di dati del titolare della carta e, in particolare, blocca tutto il resto del traffico. | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| 1.2.1 | Limita il traffico in entrata e in uscita a quello necessario per l'ambiente di dati del titolare della carta e, in particolare, nega tutto il resto del traffico. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi. | |
| 1.2.1 | Limita il traffico in entrata e in uscita a quello necessario per l'ambiente di dati dei titolari di carta e, in particolare, blocca tutto il resto del traffico. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 1.2.1 | Limita il traffico in entrata e in uscita a quello necessario per l'ambiente di dati dei titolari di carta e, in particolare, blocca tutto il resto del traffico. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 1.2.1 | Limita il traffico in entrata e in uscita a quello necessario per l'ambiente di dati del titolare della carta e, in particolare, blocca tutto il resto del traffico. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Impostazioni predefinite Config: 20,21,3389,3306,4333). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 1.2.1 | Limita il traffico in entrata e in uscita a quanto necessario per l'ambiente dei dati dei titolari della carta e, in particolare, nega tutto il resto del traffico. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 1.2.1 | Limita il traffico in entrata e in uscita a quanto necessario per l'ambiente dei dati dei titolari della carta e, in particolare, nega tutto il resto del traffico. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| 1.2.1 | Limita il traffico in entrata e in uscita a quanto necessario per l'ambiente dei dati dei titolari della carta e, in particolare, nega tutto il resto del traffico. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 1.2.1 | Limita il traffico in entrata e in uscita a quanto necessario per l'ambiente dei dati dei titolari di carta e nega in particolare tutto il resto del traffico. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 1.2.1 | Limita il traffico in entrata e in uscita a quanto necessario per l'ambiente dei dati dei titolari di carta e nega in particolare tutto il resto del traffico. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i SageMaker notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| 1.2.1 | Limita il traffico in entrata e in uscita a quanto necessario per l'ambiente dei dati dei titolari della carta e, in particolare, nega tutto il resto del traffico. | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sull'account, sulle risorse e sui processi interni. | |
| 1.2.1 | Limita il traffico in entrata e in uscita a quello necessario per l'ambiente di dati del titolare della carta e, in particolare, nega tutto il resto del traffico. | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| 1.2.1 | Limita il traffico in entrata e in uscita a quello necessario per l'ambiente di dati del titolare della carta e, in particolare, nega tutto il resto del traffico. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio basato sullo stato del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| 1.2.1 | Limita il traffico in entrata e in uscita a quello necessario per l'ambiente di dati del titolare della carta e, in particolare, nega tutto il resto del traffico. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto ai sistemi interni. | |
| 1.3 | Proibire l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente di dati del titolare della carta. | Per aiutare a proteggere le applicazioni dalle vulnerabilità di HTTP Desync, assicurati che la modalità di mitigazione HTTP Desync sia abilitata sui sistemi di bilanciamento del carico delle applicazioni. I problemi relativi a HTTP Desync possono portare al contrabbando di richieste e rendere le applicazioni vulnerabili alle richieste di avvelenamento della coda o della cache. Le modalità di mitigazione di Desync sono monitor, difensive e rigorose. Difensiva è la modalità predefinita. | |
| 1.3 | Proibisci l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente di dati del titolare della carta. | Assicurati che i tuoi Elastic Load Balancer (ELB) siano configurati per eliminare le intestazioni http. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| 1.3 | Proibite l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente dei dati del titolare della carta. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in ingresso (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto. | |
| 1.3 | Proibite l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente di dati del titolare della carta. | Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non dovrebbero essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server. | |
| 1.3 | Proibisci l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente di dati del titolare della carta. | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 1.3 | Proibite l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente di dati del titolare della carta. | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Le istantanee dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 1.3 | Proibite l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente dei dati dei titolari di carta. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 1.3 | Proibisci l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente di dati del titolare della carta. | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| 1.3 | Proibisci l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente di dati del titolare della carta. | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi master del cluster Amazon EMR possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account. | |
| 1.3 | Proibisci l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente di dati del titolare della carta. | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per abilitare una comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno di AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| 1.3 | Proibisci l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente di dati del titolare della carta. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un deterioramento della disponibilità delle risorse. | |
| 1.3 | Proibire l'accesso pubblico diretto tra Internet e qualsiasi componente del sistema nell'ambiente dei dati dei titolari di carta. | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non è necessario un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| 1.3 | Proibisci l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente di dati del titolare della carta. | Un gruppo di regole AWS Network Firewall contiene regole che definiscono il modo in cui il firewall elabora il traffico nel tuo VPC. Un gruppo di regole stateless vuoto, se presente in una policy firewall, non elabora il traffico. | |
| 1.3 | Proibisci l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente di dati del titolare della carta. | Assicurati che le tabelle di routing di Amazon EC2 non abbiano percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre gli accessi involontari all'interno del tuo ambiente. | |
| 1.3 | Proibisci l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente di dati del titolare della carta. | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| 1.3 | Proibisci l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente di dati del titolare della carta. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi. | |
| 1.3 | Proibisci l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente di dati del titolare della carta. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 1.3 | Proibisci l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente di dati del titolare della carta. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 1.3 | Proibisci l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente di dati del titolare della carta. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Impostazioni predefinite Config: 20,21,3389,3306,4333). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 1.3 | Proibite l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente dei dati del titolare della carta. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 1.3 | Proibite l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente dei dati del titolare della carta. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| 1.3 | Proibisci l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente di dati del titolare della carta. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 1.3 | Vietare l'accesso pubblico diretto tra Internet e qualsiasi componente del sistema nell'ambiente dei dati dei titolari di carta. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 1.3 | Vietare l'accesso pubblico diretto tra Internet e qualsiasi componente del sistema nell'ambiente dei dati dei titolari di carta. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i SageMaker notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| 1.3 | Proibite l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente di dati del titolare della carta. | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sull'account, sulle risorse e sui processi interni. | |
| 1.3 | Proibite l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente di dati del titolare della carta. | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| 1.3 | Proibisci l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente di dati del titolare della carta. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio basato sullo stato del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| 1.3 | Proibite l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nell'ambiente di dati del titolare della carta. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto ai sistemi interni. | |
| 1.3.1 | Implementa una DMZ per limitare il traffico in entrata solo ai componenti di sistema che forniscono servizi, protocolli e porte autorizzati accessibili al pubblico. | Per aiutare a proteggere le applicazioni dalle vulnerabilità di HTTP Desync, assicurati che la modalità di mitigazione HTTP Desync sia abilitata sui sistemi di bilanciamento del carico delle applicazioni. I problemi relativi a HTTP Desync possono portare al contrabbando di richieste e rendere le applicazioni vulnerabili alle richieste di avvelenamento della coda o della cache. Le modalità di mitigazione di Desync sono monitor, difensive e rigorose. Difensiva è la modalità predefinita. | |
| 1.3.1 | Implementa una DMZ per limitare il traffico in entrata solo ai componenti di sistema che forniscono servizi, protocolli e porte autorizzati accessibili al pubblico. | Assicurati che i tuoi Elastic Load Balancer (ELB) siano configurati per eliminare le intestazioni http. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| 1.3.1 | Implementa una DMZ per limitare il traffico in entrata solo ai componenti di sistema che forniscono servizi, protocolli e porte autorizzati accessibili al pubblico. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in ingresso (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto. | |
| 1.3.1 | Implementate una DMZ per limitare il traffico in entrata ai soli componenti di sistema che forniscono servizi, protocolli e porte autorizzati accessibili al pubblico. | Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non dovrebbero essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server. | |
| 1.3.1 | Implementa una DMZ per limitare il traffico in entrata solo ai componenti di sistema che forniscono servizi, protocolli e porte autorizzati accessibili al pubblico. | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 1.3.1 | Implementa una DMZ per limitare il traffico in entrata solo ai componenti di sistema che forniscono servizi, protocolli e porte autorizzati accessibili al pubblico. | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Le istantanee dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 1.3.1 | Implementa una DMZ per limitare il traffico in entrata solo ai componenti di sistema che forniscono servizi, protocolli e porte autorizzati accessibili al pubblico. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 1.3.1 | Implementa una DMZ per limitare il traffico in entrata solo ai componenti di sistema che forniscono servizi, protocolli e porte autorizzati accessibili al pubblico. | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| 1.3.1 | Implementa una DMZ per limitare il traffico in entrata solo ai componenti di sistema che forniscono servizi, protocolli e porte autorizzati accessibili al pubblico. | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi master del cluster Amazon EMR possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account. | |
| 1.3.1 | Implementa una DMZ per limitare il traffico in entrata solo ai componenti di sistema che forniscono servizi, protocolli e porte autorizzati accessibili al pubblico. | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per abilitare una comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno di AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| 1.3.1 | Implementa una DMZ per limitare il traffico in entrata solo ai componenti di sistema che forniscono servizi, protocolli e porte autorizzati accessibili al pubblico. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un deterioramento della disponibilità delle risorse. | |
| 1.3.1 | Implementa una DMZ per limitare il traffico in entrata solo ai componenti di sistema che forniscono servizi, protocolli e porte autorizzati accessibili al pubblico. | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non è necessario un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| 1.3.1 | Implementa una DMZ per limitare il traffico in entrata solo ai componenti di sistema che forniscono servizi, protocolli e porte autorizzati accessibili al pubblico. | Un gruppo di regole AWS Network Firewall contiene regole che definiscono il modo in cui il firewall elabora il traffico nel tuo VPC. Un gruppo di regole stateless vuoto, se presente in una policy firewall, non elabora il traffico. | |
| 1.3.1 | Implementa una DMZ per limitare il traffico in entrata solo ai componenti di sistema che forniscono servizi, protocolli e porte autorizzati accessibili al pubblico. | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| 1.3.1 | Implementa una DMZ per limitare il traffico in entrata solo ai componenti di sistema che forniscono servizi, protocolli e porte autorizzati accessibili al pubblico. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi. | |
| 1.3.1 | Implementa una DMZ per limitare il traffico in entrata solo ai componenti di sistema che forniscono servizi, protocolli e porte autorizzati accessibili al pubblico. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 1.3.1 | Implementa una DMZ per limitare il traffico in entrata solo ai componenti di sistema che forniscono servizi, protocolli e porte autorizzati accessibili al pubblico. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 1.3.1 | Implementa una DMZ per limitare il traffico in entrata solo ai componenti di sistema che forniscono servizi, protocolli e porte autorizzati accessibili al pubblico. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Impostazioni predefinite Config: 20,21,3389,3306,4333). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 1.3.1 | Implementa una DMZ per limitare il traffico in entrata solo ai componenti di sistema che forniscono servizi, protocolli e porte autorizzati accessibili al pubblico. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 1.3.1 | Implementa una DMZ per limitare il traffico in entrata solo ai componenti di sistema che forniscono servizi, protocolli e porte autorizzati accessibili al pubblico. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| 1.3.1 | Implementa una DMZ per limitare il traffico in entrata solo ai componenti di sistema che forniscono servizi, protocolli e porte autorizzati accessibili al pubblico. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 1.3.1 | Implementa una DMZ per limitare il traffico in entrata solo ai componenti di sistema che forniscono servizi, protocolli e porte autorizzati accessibili al pubblico. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 1.3.1 | Implementa una DMZ per limitare il traffico in entrata solo ai componenti di sistema che forniscono servizi, protocolli e porte autorizzati accessibili al pubblico. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i SageMaker notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| 1.3.1 | Implementa una DMZ per limitare il traffico in entrata solo ai componenti di sistema che forniscono servizi, protocolli e porte autorizzati accessibili al pubblico. | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sull'account, sulle risorse e sui processi interni. | |
| 1.3.1 | Implementa una DMZ per limitare il traffico in entrata solo ai componenti di sistema che forniscono servizi, protocolli e porte autorizzati accessibili al pubblico. | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| 1.3.1 | Implementa una DMZ per limitare il traffico in entrata solo ai componenti di sistema che forniscono servizi, protocolli e porte autorizzati accessibili al pubblico. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio basato sullo stato del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| 1.3.1 | Implementa una DMZ per limitare il traffico in entrata solo ai componenti di sistema che forniscono servizi, protocolli e porte autorizzati accessibili al pubblico. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto ai sistemi interni. | |
| 1.3.2 | Limita il traffico Internet in entrata agli indirizzi IP all'interno della DMZ. | Per aiutare a proteggere le applicazioni dalle vulnerabilità di HTTP Desync, assicurati che la modalità di mitigazione HTTP Desync sia abilitata sui sistemi di bilanciamento del carico delle applicazioni. I problemi relativi a HTTP Desync possono portare al contrabbando di richieste e rendere le applicazioni vulnerabili alle richieste di avvelenamento della coda o della cache. Le modalità di mitigazione di Desync sono monitor, difensive e rigorose. Difensiva è la modalità predefinita. | |
| 1.3.2 | Limita il traffico Internet in entrata agli indirizzi IP all'interno della DMZ. | Assicurati che i tuoi Elastic Load Balancer (ELB) siano configurati per eliminare le intestazioni http. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| 1.3.2 | Limita il traffico Internet in entrata agli indirizzi IP all'interno della DMZ. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in ingresso (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto. | |
| 1.3.2 | Limita il traffico Internet in entrata agli indirizzi IP all'interno della DMZ. | Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non dovrebbero essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server. | |
| 1.3.2 | Limita il traffico Internet in entrata agli indirizzi IP all'interno della DMZ. | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 1.3.2 | Limita il traffico Internet in entrata agli indirizzi IP all'interno della DMZ. | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Le istantanee dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 1.3.2 | Limita il traffico Internet in entrata agli indirizzi IP all'interno della DMZ. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 1.3.2 | Limita il traffico Internet in entrata agli indirizzi IP all'interno della DMZ. | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| 1.3.2 | Limita il traffico Internet in entrata agli indirizzi IP all'interno della DMZ. | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi master del cluster Amazon EMR possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account. | |
| 1.3.2 | Limita il traffico Internet in entrata agli indirizzi IP all'interno della DMZ. | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per abilitare una comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno di AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| 1.3.2 | Limita il traffico Internet in entrata agli indirizzi IP all'interno della DMZ. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un deterioramento della disponibilità delle risorse. | |
| 1.3.2 | Limita il traffico Internet in entrata agli indirizzi IP all'interno della DMZ. | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non è necessario un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| 1.3.2 | Limita il traffico Internet in entrata agli indirizzi IP all'interno della DMZ. | Un gruppo di regole AWS Network Firewall contiene regole che definiscono il modo in cui il firewall elabora il traffico nel tuo VPC. Un gruppo di regole stateless vuoto, se presente in una policy firewall, non elabora il traffico. | |
| 1.3.2 | Limita il traffico Internet in entrata agli indirizzi IP all'interno della DMZ. | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| 1.3.2 | Limita il traffico Internet in entrata agli indirizzi IP all'interno della DMZ. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi. | |
| 1.3.2 | Limita il traffico Internet in entrata agli indirizzi IP all'interno della DMZ. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 1.3.2 | Limita il traffico Internet in entrata agli indirizzi IP all'interno della DMZ. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 1.3.2 | Limita il traffico Internet in entrata agli indirizzi IP all'interno della DMZ. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Impostazioni predefinite Config: 20,21,3389,3306,4333). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 1.3.2 | Limita il traffico Internet in entrata agli indirizzi IP all'interno della DMZ. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 1.3.2 | Limita il traffico Internet in entrata agli indirizzi IP all'interno della DMZ. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| 1.3.2 | Limita il traffico Internet in entrata agli indirizzi IP all'interno della DMZ. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 1.3.2 | Limita il traffico Internet in entrata agli indirizzi IP all'interno della DMZ. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 1.3.2 | Limita il traffico Internet in entrata agli indirizzi IP all'interno della DMZ. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i SageMaker notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| 1.3.2 | Limita il traffico Internet in entrata agli indirizzi IP all'interno della DMZ. | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sull'account, sulle risorse e sui processi interni. | |
| 1.3.2 | Limita il traffico Internet in entrata agli indirizzi IP all'interno della DMZ. | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| 1.3.2 | Limita il traffico Internet in entrata agli indirizzi IP all'interno della DMZ. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio basato sullo stato del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| 1.3.2 | Limita il traffico Internet in entrata agli indirizzi IP all'interno della DMZ. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto ai sistemi interni. | |
| 1.3.4 | Non consentite il traffico in uscita non autorizzato dall'ambiente di dati del titolare della carta verso Internet. | Per contribuire a proteggere le applicazioni dalle vulnerabilità di HTTP Desync, assicuratevi che la modalità di mitigazione HTTP Desync sia abilitata sui sistemi di bilanciamento del carico delle applicazioni. I problemi relativi a HTTP Desync possono portare al contrabbando di richieste e rendere le applicazioni vulnerabili alle richieste di avvelenamento della coda o della cache. Le modalità di mitigazione di Desync sono monitor, difensive e rigorose. Difensiva è la modalità predefinita. | |
| 1.3.4 | Non consentite il traffico in uscita non autorizzato dall'ambiente di dati del titolare della carta verso Internet. | Assicurati che i tuoi Elastic Load Balancer (ELB) siano configurati per eliminare le intestazioni http. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| 1.3.4 | Non consentite il traffico in uscita non autorizzato dall'ambiente di dati del titolare della carta verso Internet. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in ingresso (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto. | |
| 1.3.4 | Non consentite il traffico in uscita non autorizzato dall'ambiente di dati del titolare della carta verso Internet. | Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non dovrebbero essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server. | |
| 1.3.4 | Non consentite il traffico in uscita non autorizzato dall'ambiente di dati del titolare della carta verso Internet. | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 1.3.4 | Non consentite il traffico in uscita non autorizzato dall'ambiente di dati del titolare della carta verso Internet. | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Le istantanee dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 1.3.4 | Non consentite il traffico in uscita non autorizzato dall'ambiente di dati del titolare della carta verso Internet. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 1.3.4 | Non consentite il traffico in uscita non autorizzato dall'ambiente di dati del titolare della carta verso Internet. | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| 1.3.4 | Non consentire il traffico in uscita non autorizzato dall'ambiente di dati del titolare della carta verso Internet. | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi master del cluster Amazon EMR possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account. | |
| 1.3.4 | Non consentire il traffico in uscita non autorizzato dall'ambiente di dati del titolare della carta verso Internet. | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per abilitare una comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno di AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| 1.3.4 | Non consentire il traffico in uscita non autorizzato dall'ambiente di dati del titolare della carta verso Internet. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un deterioramento della disponibilità delle risorse. | |
| 1.3.4 | Non consentite il traffico in uscita non autorizzato dall'ambiente di dati del titolare della carta verso Internet. | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non è necessario un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| 1.3.4 | Non consentite il traffico in uscita non autorizzato dall'ambiente di dati del titolare della carta verso Internet. | Un gruppo di regole AWS Network Firewall contiene regole che definiscono il modo in cui il firewall elabora il traffico nel tuo VPC. Un gruppo di regole stateless vuoto, se presente in una policy firewall, non elabora il traffico. | |
| 1.3.4 | Non consentite il traffico in uscita non autorizzato dall'ambiente di dati del titolare della carta verso Internet. | Assicurati che le tabelle di routing di Amazon EC2 non abbiano percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre gli accessi involontari all'interno del tuo ambiente. | |
| 1.3.4 | Non consentite il traffico in uscita non autorizzato dall'ambiente di dati del titolare della carta verso Internet. | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| 1.3.4 | Non consentire il traffico in uscita non autorizzato dall'ambiente di dati del titolare della carta verso Internet. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi. | |
| 1.3.4 | Non consentite il traffico in uscita non autorizzato dall'ambiente di dati del titolare della carta verso Internet. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 1.3.4 | Non consentite il traffico in uscita non autorizzato dall'ambiente di dati del titolare della carta verso Internet. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 1.3.4 | Non consentire il traffico in uscita non autorizzato dall'ambiente di dati del titolare della carta verso Internet. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Impostazioni predefinite Config: 20,21,3389,3306,4333). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 1.3.4 | Non consentite il traffico in uscita non autorizzato dall'ambiente di dati del titolare della carta verso Internet. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 1.3.4 | Non consentite il traffico in uscita non autorizzato dall'ambiente di dati del titolare della carta verso Internet. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| 1.3.4 | Non consentite il traffico in uscita non autorizzato dall'ambiente di dati del titolare della carta verso Internet. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 1.3.4 | Non consentite il traffico in uscita non autorizzato dall'ambiente di dati del titolare della carta verso Internet. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 1.3.4 | Non consentite il traffico in uscita non autorizzato dall'ambiente di dati del titolare della carta verso Internet. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i SageMaker notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| 1.3.4 | Non consentite il traffico in uscita non autorizzato dall'ambiente di dati del titolare della carta verso Internet. | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sull'account, sulle risorse e sui processi interni. | |
| 1.3.4 | Non consentite il traffico in uscita non autorizzato dall'ambiente di dati del titolare della carta verso Internet. | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| 1.3.4 | Non consentire il traffico in uscita non autorizzato dall'ambiente di dati del titolare della carta verso Internet. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio basato sullo stato del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| 1.3.4 | Non consentite il traffico in uscita non autorizzato dall'ambiente di dati del titolare della carta verso Internet. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto ai sistemi interni. | |
| 1.3.6 | Collocate i componenti di sistema che archiviano i dati dei titolari di carta (ad esempio un database) in un'area di rete interna, separata dalla DMZ e da altre reti non affidabili. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in ingresso (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto. | |
| 1.3.6 | Collocate i componenti di sistema che archiviano i dati dei titolari di carta (ad esempio un database) in un'area di rete interna, separata dalla DMZ e da altre reti non affidabili. | Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non dovrebbero essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server. | |
| 1.3.6 | Posiziona i componenti di sistema che archiviano i dati dei titolari di carta (come un database) in un'area di rete interna, separata dalla DMZ e da altre reti non affidabili. | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 1.3.6 | Posiziona i componenti di sistema che archiviano i dati dei titolari di carta (come un database) in un'area di rete interna, separata dalla DMZ e da altre reti non affidabili. | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Le istantanee dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 1.3.6 | Posiziona i componenti di sistema che archiviano i dati dei titolari di carta (come un database) in un'area di rete interna, separata dalla DMZ e da altre reti non affidabili. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 1.3.6 | Posiziona i componenti di sistema che archiviano i dati dei titolari di carta (come un database) in una zona di rete interna, separata dalla DMZ e da altre reti non affidabili. | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| 1.3.6 | Posiziona i componenti di sistema che archiviano i dati dei titolari di carta (come un database) in un'area di rete interna, separata dalla DMZ e da altre reti non affidabili. | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per abilitare una comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno di AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| 1.3.6 | Posiziona i componenti di sistema che archiviano i dati dei titolari di carta (come un database) in una zona di rete interna, separata dalla DMZ e da altre reti non affidabili. | Una policy AWS Network Firewall definisce il modo in cui il firewall monitora e gestisce il traffico in un Amazon VPC. Puoi configurare gruppi di regole stateless e stateful per filtrare pacchetti e flussi di traffico e definire la gestione del traffico predefinita. | |
| 1.3.6 | Posiziona i componenti di sistema che archiviano i dati dei titolari di carta (come un database) in un'area di rete interna, separata dalla DMZ e da altre reti non affidabili. | Un gruppo di regole AWS Network Firewall contiene regole che definiscono il modo in cui il firewall elabora il traffico nel tuo VPC. Un gruppo di regole stateless vuoto, se presente in una policy firewall, non elabora il traffico. | |
| 1.3.6 | Posiziona i componenti di sistema che archiviano i dati dei titolari di carta (come un database) in un'area di rete interna, separata dalla DMZ e da altre reti non affidabili. | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| 1.3.6 | Posiziona i componenti di sistema che archiviano i dati dei titolari di carta (come un database) in un'area di rete interna, separata dalla DMZ e da altre reti non affidabili. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi. | |
| 1.3.6 | Posiziona i componenti di sistema che archiviano i dati dei titolari di carta (ad esempio un database) in una zona di rete interna, separata dalla DMZ e da altre reti non affidabili. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 1.3.6 | Posiziona i componenti di sistema che archiviano i dati dei titolari di carta (ad esempio un database) in una zona di rete interna, separata dalla DMZ e da altre reti non affidabili. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 1.3.6 | Posiziona i componenti di sistema che archiviano i dati dei titolari di carta (come un database) in una zona di rete interna, separata dalla DMZ e da altre reti non affidabili. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Impostazioni predefinite Config: 20,21,3389,3306,4333). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 1.3.6 | Collocate i componenti di sistema che archiviano i dati dei titolari di carta (ad esempio un database) in un'area di rete interna, separata dalla DMZ e da altre reti non affidabili. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 1.3.6 | Collocate i componenti di sistema che archiviano i dati dei titolari di carta (ad esempio un database) in un'area di rete interna, separata dalla DMZ e da altre reti non affidabili. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| 1.3.6 | Posiziona i componenti di sistema che archiviano i dati dei titolari di carta (come un database) in un'area di rete interna, separata dalla DMZ e da altre reti non affidabili. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 1.3.6 | Collocate i componenti di sistema che archiviano i dati dei titolari di carta (ad esempio un database) in un'area di rete interna, separata dalla DMZ e da altre reti non affidabili. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 1.3.6 | Collocate i componenti di sistema che archiviano i dati dei titolari di carta (ad esempio un database) in un'area di rete interna, separata dalla DMZ e da altre reti non affidabili. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i SageMaker notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| 1.3.6 | Collocate i componenti di sistema che archiviano i dati dei titolari di carta (ad esempio un database) in un'area di rete interna, separata dalla DMZ e da altre reti non affidabili. | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| 1.3.6 | Posiziona i componenti di sistema che archiviano i dati dei titolari di carta (come un database) in una zona di rete interna, separata dalla DMZ e da altre reti non affidabili. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio basato sullo stato del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| 1.3.6 | Collocate i componenti di sistema che archiviano i dati dei titolari di carta (ad esempio un database) in un'area di rete interna, separata dalla DMZ e da altre reti non affidabili. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto ai sistemi interni. | |
| 2.1 | Modificate sempre le impostazioni predefinite fornite dal fornitore e rimuovete o disabilitate gli account predefiniti non necessari prima di installare un sistema sulla rete. Ciò si applica a TUTTE le password predefinite, incluse, a titolo esemplificativo ma non esaustivo, quelle utilizzate dai sistemi operativi, dal software che fornisce servizi di sicurezza, dagli account di applicazioni e di sistema, dai terminali point-of-sale (POS), dalle applicazioni di pagamento, dalle stringhe della community SNMP (Simple Network Management Protocol), ecc.). | Poiché i nomi utente predefiniti sono di dominio pubblico, la modifica dei nomi utente predefiniti può aiutare a ridurre la superficie di attacco per i cluster di database Amazon Relational Database Service (Amazon RDS). | |
| 2.1 | Modifica sempre le impostazioni predefinite fornite dal fornitore e rimuovi o disabilita gli account predefiniti non necessari prima di installare un sistema sulla rete. Ciò si applica a TUTTE le password predefinite, incluse, a titolo esemplificativo ma non esaustivo, quelle utilizzate dai sistemi operativi, dal software che fornisce servizi di sicurezza, dagli account di applicazioni e di sistema, dai terminali point-of-sale (POS), dalle applicazioni di pagamento, dalle stringhe della community SNMP (Simple Network Management Protocol), ecc.). | Poiché i nomi utente predefiniti sono di dominio pubblico, la modifica dei nomi utente predefiniti può aiutare a ridurre la superficie di attacco per le istanze di database Amazon Relational Database Service (Amazon RDS). | |
| 2.1 | Modifica sempre le impostazioni predefinite fornite dal fornitore e rimuovi o disabilita gli account predefiniti non necessari prima di installare un sistema sulla rete. Ciò si applica a TUTTE le password predefinite, incluse, a titolo esemplificativo ma non esaustivo, quelle utilizzate dai sistemi operativi, dal software che fornisce servizi di sicurezza, dagli account di applicazioni e di sistema, dai terminali point-of-sale (POS), dalle applicazioni di pagamento, dalle stringhe della community SNMP (Simple Network Management Protocol), ecc.). | Poiché i nomi utente predefiniti sono di dominio pubblico, la modifica dei nomi utente predefiniti può aiutare a ridurre la superficie di attacco per i cluster Amazon Redshift. | |
| 2.1 | Modifica sempre le impostazioni predefinite fornite dal fornitore e rimuovi o disabilita gli account predefiniti non necessari prima di installare un sistema sulla rete. Ciò si applica a TUTTE le password predefinite, incluse, a titolo esemplificativo ma non esaustivo, quelle utilizzate dai sistemi operativi, dal software che fornisce servizi di sicurezza, dagli account di applicazioni e di sistema, dai terminali point-of-sale (POS), dalle applicazioni di pagamento, dalle stringhe della community SNMP (Simple Network Management Protocol), ecc.). | I nomi predefiniti sono di dominio pubblico e devono essere modificati al momento della configurazione. La modifica del nome di database predefinito del cluster Amazon Redshift può aiutare a ridurre la superficie di attacco per il cluster Redshift. | |
| 2.1 | Modifica sempre le impostazioni predefinite fornite dal fornitore e rimuovi o disabilita gli account predefiniti non necessari prima di installare un sistema sulla rete. Ciò si applica a TUTTE le password predefinite, incluse, a titolo esemplificativo ma non esaustivo, quelle utilizzate dai sistemi operativi, dal software che fornisce servizi di sicurezza, dagli account di applicazioni e di sistema, dai terminali point-of-sale (POS), dalle applicazioni di pagamento, dalle stringhe della community SNMP (Simple Network Management Protocol), ecc.). | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un AWS account. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre gli incidenti dovuti alla compromissione degli account. AWS | |
| 2.1 | Modificate sempre le impostazioni predefinite fornite dal fornitore e rimuovete o disabilitate gli account predefiniti non necessari prima di installare un sistema sulla rete. Ciò si applica a TUTTE le password predefinite, incluse, a titolo esemplificativo ma non esaustivo, quelle utilizzate dai sistemi operativi, dal software che fornisce servizi di sicurezza, dagli account di applicazioni e di sistema, dai terminali point-of-sale (POS), dalle applicazioni di pagamento, dalle stringhe della community SNMP (Simple Network Management Protocol), ecc.). | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio basato sullo stato del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| 2.2 | Sviluppa standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti degli standard di rafforzamento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in ingresso (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto. | |
| 2.2 | Sviluppa standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti degli standard di rafforzamento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamatiAWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di registro contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| 2.2 | Sviluppa standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti degli standard di rafforzamento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Le credenziali vengono verificate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo le politiche organizzative. La modifica periodica delle chiavi di accesso è una procedura consigliata in materia di sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche dell'organizzazione. | |
| 2.2 | Sviluppa standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti degli standard di rafforzamento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | La gestione centralizzata degli AWS account all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata degli account può portare a configurazioni degli account incoerenti, che possono esporre risorse e dati sensibili. | |
| 2.2 | Sviluppa standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti degli standard di rafforzamento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non dovrebbero essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server. | |
| 2.2 | Sviluppa standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti degli standard di rafforzamento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo AWS account. | |
| 2.2 | Sviluppa standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti degli standard di rafforzamento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Poiché possono esistere dati sensibili e per contribuire a proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i percorsi. AWS CloudTrail | |
| 2.2 | Sviluppa standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti degli standard di rafforzamento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei log. CloudTrail La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| 2.2 | Sviluppa standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti degli standard di rafforzamento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni sull'AWSaccount che ha effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| 2.2 | Sviluppa standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti degli standard di rafforzamento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Abilita la rotazione delle chiavi per garantire che le chiavi vengano ruotate una volta raggiunta la fine del periodo crittografico. | |
| 2.2 | Sviluppa standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti degli standard di rafforzamento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché in questi volumi possono esistere dati sensibili inattivi, abilita la crittografia a riposo per proteggere tali dati. | |
| 2.2 | Sviluppa standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti degli standard di rafforzamento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Questa regola verifica se le tue istanze Amazon Elastic Compute Cloud (Amazon EC2) hanno più ENI. La presenza di più ENI può causare istanze dual-homed, ovvero istanze con più sottoreti. Ciò può aumentare la complessità della sicurezza della rete e introdurre percorsi e accessi di rete non intenzionali. | |
| 2.2 | Sviluppa standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti degli standard di rafforzamento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: «Center for Internet Security (CIS)» International Organization for Standardization (ISO) « SysAdmin Audit Network Security (SANS) Institute» National Institute of Standards Technology (NIST). | ec2- -verifica managedinstance-association-compliance-status |
Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee di base dei livelli di patch del sistema operativo, delle installazioni software, delle configurazioni delle applicazioni e altri dettagli sull'ambiente. |
| 2.2 | Sviluppa standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti degli standard di rafforzamento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Abilita questa regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| 2.2 | Sviluppa standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti degli standard di rafforzamento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Questa regola garantisce che i gruppi di sicurezza siano collegati a un'istanza Amazon Elastic Compute Cloud (Amazon EC2) o a un ENI. Questa regola aiuta a monitorare i gruppi di sicurezza inutilizzati nell'inventario e nella gestione dell'ambiente. | |
| 2.2 | Sviluppa standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti degli standard di rafforzamento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (Amazon EBS). | |
| 2.2 | Sviluppa standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti degli standard di rafforzamento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Assicurati che un utente, un ruolo IAM o un gruppo IAM (AWSIdentity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWSconsiglia di utilizzare politiche gestite anziché politiche in linea. Le politiche gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. | |
| 2.2 | Sviluppa standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti degli standard di rafforzamento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo che le policy contengano «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 2.2 | Sviluppa standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti degli standard di rafforzamento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece AWS account basati sui ruoli per contribuire a incorporare il principio della minima funzionalità. | |
| 2.2 | Sviluppa standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti degli standard di rafforzamento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | AWSIdentity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 2.2 | Sviluppa standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti degli standard di rafforzamento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o conservare privilegi eccessivi. | |
| 2.2 | Sviluppa standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti degli standard di rafforzamento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | AWSIdentity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se vengono identificate queste credenziali non utilizzate, è necessario disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche dell'organizzazione. | |
| 2.2 | Sviluppa standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti degli standard di rafforzamento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo l'autenticazione a più fattori per gli utenti, è possibile ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| 2.2 | Sviluppa standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti degli standard di rafforzamento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Impostazioni predefinite Config: 20,21,3389,3306,4333). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 2.2 | Sviluppa standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti degli standard di rafforzamento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che la MFA hardware sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un AWS account. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre gli incidenti dovuti alla compromissione degli account. AWS | |
| 2.2 | Sviluppa standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti degli standard di rafforzamento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un AWS account. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre gli incidenti dovuti alla compromissione degli account. AWS | |
| 2.2 | Sviluppa standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti degli standard di rafforzamento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 2.2 | Sviluppa standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti degli standard di rafforzamento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | La registrazione degli accessi al server di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi vengono monitorati acquisendo record dettagliati per le richieste effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'azione della richiesta, lo stato della risposta e un codice di errore, se pertinente. | |
| 2.2 | Sviluppa standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti degli standard di rafforzamento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 2.2 | Sviluppa standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti degli standard di rafforzamento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 2.2 | Sviluppa standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti degli standard di rafforzamento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: «Center for Internet Security (CIS)» International Organization for Standardization (ISO) « SysAdmin Audit Network Security (SANS) Institute» National Institute of Standards Technology (NIST). | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR consente la copia automatica e asincrona degli oggetti tra i bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati. | |
| 2.2 | Sviluppa standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti degli standard di rafforzamento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere inattivi nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| 2.2 | Sviluppa standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti degli standard di rafforzamento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste di utilizzo di Secure Socket Layer (SSL). Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| 2.2 | Sviluppa standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti degli standard di rafforzamento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio basato sullo stato del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| 2.2 | Sviluppa standard di configurazione per tutti i componenti del sistema. Assicurarsi che questi standard risolvono tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di sicurezza del sistema accettati dal settore. Le fonti degli standard di rafforzamento dei sistemi accettati dal settore possono includere, a titolo esemplificativo ma non esaustivo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita, il record del log di flusso include i valori per i diversi componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| 2.2.2 | Abilita solo i servizi, i protocolli, i demoni e così via necessari, come richiesto per il funzionamento del sistema. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in ingresso (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto. | |
| 2.2.2 | Abilita solo i servizi, i protocolli, i demoni, ecc. necessari per il funzionamento del sistema. | Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non dovrebbero essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server. | |
| 2.2.2 | Abilita solo i servizi, i protocolli, i demoni, ecc. necessari, come richiesto per il funzionamento del sistema. | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 2.2.2 | Abilita solo i servizi, i protocolli, i demoni, ecc. necessari, come richiesto per il funzionamento del sistema. | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Le istantanee dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 2.2.2 | Abilita solo i servizi, i protocolli, i demoni, ecc. necessari, come richiesto per il funzionamento del sistema. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 2.2.2 | Abilita solo i servizi, i protocolli, i demoni e così via necessari, come richiesto per il funzionamento del sistema. | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi master del cluster Amazon EMR possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account. | |
| 2.2.2 | Abilita solo i servizi, i protocolli, i demoni e così via necessari, come richiesto per il funzionamento del sistema. | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per abilitare una comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno di AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| 2.2.2 | Abilita solo i servizi, i protocolli, i demoni e così via necessari, come richiesto per il funzionamento del sistema. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un deterioramento della disponibilità delle risorse. | |
| 2.2.2 | Abilita solo i servizi, i protocolli, i demoni, ecc. necessari per il funzionamento del sistema. | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non è necessario un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| 2.2.2 | Abilita solo i servizi, i protocolli, i demoni, ecc. necessari, come richiesto per il funzionamento del sistema. | Assicurati che le tabelle di routing di Amazon EC2 non abbiano percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre gli accessi involontari all'interno del tuo ambiente. | |
| 2.2.2 | Abilita solo i servizi, i protocolli, i demoni e così via necessari, come richiesto per il funzionamento del sistema. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi. | |
| 2.2.2 | Abilita solo i servizi, i protocolli, i demoni e così via necessari, come richiesto per il funzionamento del sistema. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 2.2.2 | Abilita solo i servizi, i protocolli, i demoni e così via necessari, come richiesto per il funzionamento del sistema. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 2.2.2 | Abilita solo i servizi, i protocolli, i demoni e così via necessari, come richiesto per il funzionamento del sistema. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Impostazioni predefinite Config: 20,21,3389,3306,4333). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 2.2.2 | Abilita solo i servizi, i protocolli, i demoni, ecc. necessari, come richiesto per il funzionamento del sistema. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 2.2.2 | Abilita solo i servizi, i protocolli, i demoni, ecc. necessari, come richiesto per il funzionamento del sistema. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| 2.2.2 | Abilita solo i servizi, i protocolli, i demoni, ecc. necessari, come richiesto per il funzionamento del sistema. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 2.2.2 | Abilita solo i servizi, i protocolli, i demoni, ecc. necessari, come richiesto per il funzionamento del sistema. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 2.2.2 | Abilita solo i servizi, i protocolli, i demoni, ecc. necessari, come richiesto per il funzionamento del sistema. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i SageMaker notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| 2.2.2 | Abilita solo i servizi, i protocolli, i demoni, ecc. necessari, come richiesto per il funzionamento del sistema. | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sull'account, sulle risorse e sui processi interni. | |
| 2.2.2 | Abilita solo i servizi, i protocolli, i demoni, ecc. necessari, come richiesto per il funzionamento del sistema. | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| 2.2.2 | Abilita solo i servizi, i protocolli, i demoni e così via necessari, come richiesto per il funzionamento del sistema. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio basato sullo stato del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| 2.2.2 | Abilita solo i servizi, i protocolli, i demoni, ecc. necessari, come richiesto per il funzionamento del sistema. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto ai sistemi interni. | |
| 2.2.3 | Implementa funzionalità di sicurezza aggiuntive per tutti i servizi, protocolli o demoni richiesti considerati non sicuri. | Per aiutare a proteggere le applicazioni dalle vulnerabilità di HTTP Desync, assicurati che la modalità di mitigazione HTTP Desync sia abilitata sui sistemi di bilanciamento del carico delle applicazioni. I problemi relativi a HTTP Desync possono portare al contrabbando di richieste e rendere le applicazioni vulnerabili alle richieste di avvelenamento della coda o della cache. Le modalità di mitigazione di Desync sono monitor, difensive e rigorose. Difensiva è la modalità predefinita. | |
| 2.3 | Crittografa tutti gli accessi amministrativi non connessi alla console utilizzando una crittografia avanzata. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| 2.3 | Crittografa tutti gli accessi amministrativi non connessi alla console utilizzando una crittografia avanzata. | Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare che le richieste provengono da API Gateway. | |
| 2.3 | Crittografa tutti gli accessi amministrativi non connessi alla console utilizzando una crittografia avanzata. | Assicurati che i tuoi Elastic Load Balancer (ELB) siano configurati con listener SSL o HTTPS. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| 2.3 | Crittografa tutti gli accessi amministrativi non connessi alla console utilizzando una crittografia avanzata. | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon OpenSearch Service. | |
| 2.3 | Crittografa tutti gli accessi amministrativi non connessi alla console utilizzando una crittografia avanzata. | Assicurati che i tuoi cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| 2.4 | Mantieni un inventario dei componenti di sistema che rientrano nell'ambito dello standard PCI DSS. | Questa regola garantisce che i gruppi di sicurezza siano collegati a un'istanza Amazon Elastic Compute Cloud (Amazon EC2) o a un ENI. Questa regola aiuta a monitorare i gruppi di sicurezza inutilizzati nell'inventario e nella gestione dell'ambiente. | |
| 2.4 | Mantieni un inventario dei componenti di sistema che rientrano nell'ambito del PCI DSS. | Questa regola garantisce che gli IP elastici allocati a un Amazon Virtual Private Cloud (Amazon VPC) siano collegati a istanze Amazon Elastic Compute Cloud (Amazon EC2) o interfacce di rete elastiche in uso. Questa regola aiuta a monitorare gli EIP non utilizzati nel tuo ambiente. | |
| 2.4 | Mantieni un inventario dei componenti di sistema che rientrano nell'ambito del PCI DSS. | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| 2.4 | Conserva un inventario dei componenti di sistema che rientrano nell'ambito dello standard PCI DSS. | Questa regola garantisce l'utilizzo delle liste di controllo degli accessi alla rete Amazon Virtual Private Cloud (VPC). Il monitoraggio degli elenchi di controllo degli accessi alla rete non utilizzati può aiutare a effettuare un inventario e una gestione accurati del tuo ambiente. | |
| 3.1 | Riduci al minimo lo spazio di archiviazione dei dati dei titolari di carta implementando politiche, procedure e processi di conservazione e smaltimento dei dati che includano almeno quanto segue per l'archiviazione di tutti i dati dei titolari di carta (CHD): • Limitazione della quantità e del tempo di archiviazione dei dati richiesti dai requisiti legali, normativi e/o aziendali • Requisiti di conservazione specifici per i dati dei titolari di carta • Processi per l'eliminazione sicura dei dati quando non più necessari • Un processo trimestrale per identificare ed eliminare in modo sicuro i dati archiviati dei titolari di carta che supera la conservazione definita. | Assicurati che le politiche del ciclo di vita di Amazon S3 siano configurate per aiutare a definire le azioni che desideri che Amazon S3 intraprenda durante la vita di un oggetto (ad esempio, trasferire oggetti a un'altra classe di storage, archiviarli o eliminarli dopo un periodo di tempo specificato). | |
| 3.1 | Riduci al minimo lo spazio di archiviazione dei dati dei titolari di carta implementando politiche, procedure e processi di conservazione e smaltimento dei dati che includano almeno quanto segue per l'archiviazione di tutti i dati dei titolari di carta (CHD): • Limitazione della quantità e del tempo di archiviazione dei dati richiesti dai requisiti legali, normativi e/o aziendali • Requisiti di conservazione specifici per i dati dei titolari di carta • Processi per l'eliminazione sicura dei dati quando non più necessari • Un processo trimestrale per identificare ed eliminare in modo sicuro i dati archiviati dei titolari di carta che supera la conservazione definita. | Per facilitare i processi di backup dei dati, assicurati che il piano di AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. Questa regola consente di impostare i parametri requiredFrequencyValue (Config default: 1), ( requiredRetentionDays Config default: 35) e ( requiredFrequencyUnit Config default: days). Il valore effettivo dovrebbe riflettere i requisiti della tua organizzazione. | |
| 3.1 | Riduci al minimo lo spazio di archiviazione dei dati dei titolari di carta implementando politiche, procedure e processi di conservazione e smaltimento dei dati che includano almeno quanto segue per l'archiviazione di tutti i dati dei titolari di carta (CHD): • Limitazione della quantità e del tempo di archiviazione dei dati richiesti dai requisiti legali, normativi e/o aziendali • Requisiti di conservazione specifici per i dati dei titolari di carta • Processi per l'eliminazione sicura dei dati quando non più necessari • Un processo trimestrale per identificare ed eliminare in modo sicuro i dati archiviati dei titolari di carta che supera la conservazione definita. | Per facilitare i processi di backup dei dati, assicurati che per i punti di ripristino di AWS Backup sia impostato un periodo minimo di conservazione. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. Questa regola consente di impostare il parametro requiredRetentionDays (configurazione predefinita: 35). Il valore effettivo dovrebbe riflettere i requisiti dell'organizzazione. | |
| 3.1 | Riduci al minimo lo spazio di archiviazione dei dati dei titolari di carta implementando politiche, procedure e processi di conservazione e smaltimento dei dati che includano almeno quanto segue per l'archiviazione di tutti i dati dei titolari di carta (CHD): • Limitazione della quantità e del tempo di archiviazione dei dati richiesti dai requisiti legali, normativi e/o aziendali • Requisiti di conservazione specifici per i dati dei titolari di carta • Processi per l'eliminazione sicura dei dati quando non più necessari • Un processo trimestrale per identificare ed eliminare in modo sicuro i dati archiviati dei titolari di carta che supera la conservazione definita. | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere conservato per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, è possibile creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
| 3.4 | Rendi il PAN illeggibile ovunque sia archiviato (inclusi supporti digitali portatili, supporti di backup e nei log) utilizzando uno dei seguenti approcci: • Hash unidirezionali basati su crittografia avanzata (l'hash deve essere dell'intero PAN) • Troncamento (l'hashing non può essere utilizzato per sostituire il segmento troncato di PAN) • Token e pad indice (i pad devono essere archiviati in modo sicuro) • Crittografia avanzata con processi e procedure di gestione delle chiavi associati. Nota: è uno sforzo relativamente banale per un utente malintenzionato ricostruire i dati PAN originali se ha accesso sia alla versione troncata che a quella con hash di un PAN. Laddove nell'ambiente di un'entità siano presenti versioni hash e troncate dello stesso PAN, devono essere predisposti controlli aggiuntivi per garantire che le versioni con hash e troncate non possano essere correlate per ricostruire il PAN originale. | Assicurati che la crittografia sia abilitata per i punti AWS di ripristino del Backup. Poiché i dati sensibili possono esistere anche quando sono inattivi, abilita la crittografia a riposo per proteggere tali dati. | |
| 3.4 | Rendi il PAN illeggibile ovunque sia archiviato (inclusi supporti digitali portatili, supporti di backup e nei log) utilizzando uno dei seguenti approcci: • Hash unidirezionali basati su crittografia avanzata (l'hash deve essere dell'intero PAN) • Troncamento (l'hashing non può essere utilizzato per sostituire il segmento troncato di PAN) • Token e pad indice (i pad devono essere archiviati in modo sicuro) • Crittografia avanzata con processi e procedure di gestione delle chiavi associati. Nota: è uno sforzo relativamente banale per un utente malintenzionato ricostruire i dati PAN originali se ha accesso sia alla versione troncata che a quella con hash di un PAN. Laddove nell'ambiente di un'entità siano presenti versioni hash e troncate dello stesso PAN, devono essere predisposti controlli aggiuntivi per garantire che le versioni con hash e troncate non possano essere correlate per ricostruire il PAN originale. | Poiché possono esistere dati sensibili e per contribuire a proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi percorsi. AWS CloudTrail | |
| 3.4 | Rendi il PAN illeggibile ovunque sia archiviato (inclusi supporti digitali portatili, supporti di backup e nei log) utilizzando uno dei seguenti approcci: • Hash unidirezionali basati su crittografia avanzata (l'hash deve essere dell'intero PAN) • Troncamento (l'hashing non può essere utilizzato per sostituire il segmento troncato di PAN) • Token e pad indice (i pad devono essere archiviati in modo sicuro) • Crittografia avanzata con processi e procedure di gestione delle chiavi associati. Nota: è uno sforzo relativamente banale per un utente malintenzionato ricostruire i dati PAN originali se ha accesso sia alla versione troncata che a quella con hash di un PAN. Laddove nell'ambiente di un'entità siano presenti versioni hash e troncate dello stesso PAN, devono essere predisposti controlli aggiuntivi per garantire che le versioni con hash e troncate non possano essere correlate per ricostruire il PAN originale. | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi Amazon Log Groups. CloudWatch | |
| 3.4 | Rendi il PAN illeggibile ovunque sia archiviato (inclusi supporti digitali portatili, supporti di backup e nei log) utilizzando uno dei seguenti approcci: • Hash unidirezionali basati su crittografia avanzata (l'hash deve essere dell'intero PAN) • Troncamento (l'hashing non può essere utilizzato per sostituire il segmento troncato di PAN) • Token e pad indice (i pad devono essere archiviati in modo sicuro) • Crittografia avanzata con processi e procedure di gestione delle chiavi associati. Nota: è uno sforzo relativamente banale per un utente malintenzionato ricostruire i dati PAN originali se ha accesso sia alla versione troncata che a quella con hash di un PAN. Laddove nell'ambiente di un'entità siano presenti versioni hash e troncate dello stesso PAN, devono essere predisposti controlli aggiuntivi per garantire che le versioni con hash e troncate non possano essere correlate per ricostruire il PAN originale. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché in questi volumi possono esistere dati sensibili inattivi, abilita la crittografia a riposo per proteggere tali dati. | |
| 3.4 | Rendi il PAN illeggibile ovunque sia archiviato (inclusi supporti digitali portatili, supporti di backup e nei log) utilizzando uno dei seguenti approcci: • Hash unidirezionali basati su crittografia avanzata (l'hash deve essere dell'intero PAN) • Troncamento (l'hashing non può essere utilizzato per sostituire il segmento troncato di PAN) • Token e pad indice (i pad devono essere archiviati in modo sicuro) • Crittografia avanzata con processi e procedure di gestione delle chiavi associati. Nota: è uno sforzo relativamente banale per un utente malintenzionato ricostruire i dati PAN originali se ha accesso sia alla versione troncata che a quella con hash di un PAN. Laddove nell'ambiente di un'entità siano presenti versioni hash e troncate dello stesso PAN, devono essere predisposti controlli aggiuntivi per garantire che le versioni con hash e troncate non possano essere correlate per ricostruire il PAN originale. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| 3.4 | Rendi il PAN illeggibile ovunque sia archiviato (inclusi supporti digitali portatili, supporti di backup e nei log) utilizzando uno dei seguenti approcci: • Hash unidirezionali basati su crittografia avanzata (l'hash deve essere dell'intero PAN) • Troncamento (l'hashing non può essere utilizzato per sostituire il segmento troncato di PAN) • Token e pad indice (i pad devono essere archiviati in modo sicuro) • Crittografia avanzata con processi e procedure di gestione delle chiavi associati. Nota: è uno sforzo relativamente banale per un utente malintenzionato ricostruire i dati PAN originali se ha accesso sia alla versione troncata che a quella con hash di un PAN. Laddove nell'ambiente di un'entità siano presenti versioni hash e troncate dello stesso PAN, devono essere predisposti controlli aggiuntivi per garantire che le versioni con hash e troncate non possano essere correlate per ricostruire il PAN originale. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (Amazon EBS). | |
| 3.4 | Rendi il PAN illeggibile ovunque sia archiviato (inclusi supporti digitali portatili, supporti di backup e nei log) utilizzando uno dei seguenti approcci: • Hash unidirezionali basati su crittografia avanzata (l'hash deve essere dell'intero PAN) • Troncamento (l'hashing non può essere utilizzato per sostituire il segmento troncato di PAN) • Token e pad indice (i pad devono essere archiviati in modo sicuro) • Crittografia avanzata con processi e procedure di gestione delle chiavi associati. Nota: è uno sforzo relativamente banale per un utente malintenzionato ricostruire i dati PAN originali se ha accesso sia alla versione troncata che a quella con hash di un PAN. Laddove nell'ambiente di un'entità siano presenti versioni hash e troncate dello stesso PAN, devono essere predisposti controlli aggiuntivi per garantire che le versioni con hash e troncate non possano essere correlate per ricostruire il PAN originale. | Assicurati che la crittografia sia abilitata per gli snapshot di Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere anche quando sono inattivi, abilita la crittografia a riposo per proteggere tali dati. | |
| 3.4 | Rendi il PAN illeggibile ovunque sia archiviato (inclusi supporti digitali portatili, supporti di backup e nei log) utilizzando uno dei seguenti approcci: • Hash unidirezionali basati su crittografia avanzata (l'hash deve essere dell'intero PAN) • Troncamento (l'hashing non può essere utilizzato per sostituire il segmento troncato di PAN) • Token e pad indice (i pad devono essere archiviati in modo sicuro) • Crittografia avanzata con processi e procedure di gestione delle chiavi associati. Nota: è uno sforzo relativamente banale per un utente malintenzionato ricostruire i dati PAN originali se ha accesso sia alla versione troncata che a quella con hash di un PAN. Laddove nell'ambiente di un'entità siano presenti versioni hash e troncate dello stesso PAN, devono essere predisposti controlli aggiuntivi per garantire che le versioni con hash e troncate non possano essere correlate per ricostruire il PAN originale. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per le tue istanze di Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere anche quando sono inattivi nelle istanze Amazon RDS, abilita la crittografia inattiva per proteggere tali dati. | |
| 3.4 | Rendi il PAN illeggibile ovunque sia archiviato (inclusi supporti digitali portatili, supporti di backup e nei log) utilizzando uno dei seguenti approcci: • Hash unidirezionali basati su crittografia avanzata (l'hash deve essere dell'intero PAN) • Troncamento (l'hashing non può essere utilizzato per sostituire il segmento troncato di PAN) • Token e pad indice (i pad devono essere archiviati in modo sicuro) • Crittografia avanzata con processi e procedure di gestione delle chiavi associati. Nota: è uno sforzo relativamente banale per un utente malintenzionato ricostruire i dati PAN originali se ha accesso sia alla versione troncata che a quella con hash di un PAN. Laddove nell'ambiente di un'entità siano presenti versioni hash e troncate dello stesso PAN, devono essere predisposti controlli aggiuntivi per garantire che le versioni con hash e troncate non possano essere correlate per ricostruire il PAN originale. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di controllo deve essere abilitata per fornire informazioni sulle connessioni e sulle attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 3.4 | Rendi il PAN illeggibile ovunque sia archiviato (inclusi supporti digitali portatili, supporti di backup e nei log) utilizzando uno dei seguenti approcci: • Hash unidirezionali basati su crittografia avanzata (l'hash deve essere dell'intero PAN) • Troncamento (l'hashing non può essere utilizzato per sostituire il segmento troncato di PAN) • Token e pad indice (i pad devono essere archiviati in modo sicuro) • Crittografia avanzata con processi e procedure di gestione delle chiavi associati. Nota: è uno sforzo relativamente banale per un utente malintenzionato ricostruire i dati PAN originali se ha accesso sia alla versione troncata che a quella con hash di un PAN. Laddove nell'ambiente di un'entità siano presenti versioni hash e troncate dello stesso PAN, devono essere predisposti controlli aggiuntivi per garantire che le versioni con hash e troncate non possano essere correlate per ricostruire il PAN originale. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere inattivi nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| 3.4 | Rendi il PAN illeggibile ovunque sia archiviato (inclusi supporti digitali portatili, supporti di backup e nei log) utilizzando uno dei seguenti approcci: • Hash unidirezionali basati su crittografia avanzata (l'hash deve essere dell'intero PAN) • Troncamento (l'hashing non può essere utilizzato per sostituire il segmento troncato di PAN) • Token e pad indice (i pad devono essere archiviati in modo sicuro) • Crittografia avanzata con processi e procedure di gestione delle chiavi associati. Nota: è uno sforzo relativamente banale per un utente malintenzionato ricostruire i dati PAN originali se ha accesso sia alla versione troncata che a quella con hash di un PAN. Laddove nell'ambiente di un'entità siano presenti versioni hash e troncate dello stesso PAN, devono essere predisposti controlli aggiuntivi per garantire che le versioni con hash e troncate non possano essere correlate per ricostruire il PAN originale. | Assicurati che la crittografia sia abilitata per i tuoi bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere inattivi in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati. | |
| 3.4 | Rendi il PAN illeggibile ovunque sia archiviato (inclusi supporti digitali portatili, supporti di backup e nei log) utilizzando uno dei seguenti approcci: • Hash unidirezionali basati su crittografia avanzata (l'hash deve essere dell'intero PAN) • Troncamento (l'hashing non può essere utilizzato per sostituire il segmento troncato di PAN) • Token e pad indice (i pad devono essere archiviati in modo sicuro) • Crittografia avanzata con processi e procedure di gestione delle chiavi associati. Nota: è uno sforzo relativamente banale per un utente malintenzionato ricostruire i dati PAN originali se ha accesso sia alla versione troncata che a quella con hash di un PAN. Laddove nell'ambiente di un'entità siano presenti versioni hash e troncate dello stesso PAN, devono essere predisposti controlli aggiuntivi per garantire che le versioni con hash e troncate non possano essere correlate per ricostruire il PAN originale. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWSKMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia a memoria inattiva per proteggere tali dati. | |
| 3.4 | Rendi il PAN illeggibile ovunque sia archiviato (inclusi supporti digitali portatili, supporti di backup e nei log) utilizzando uno dei seguenti approcci: • Hash unidirezionali basati su crittografia avanzata (l'hash deve essere dell'intero PAN) • Troncamento (l'hashing non può essere utilizzato per sostituire il segmento troncato di PAN) • Token e pad indice (i pad devono essere archiviati in modo sicuro) • Crittografia avanzata con processi e procedure di gestione delle chiavi associati. Nota: è uno sforzo relativamente banale per un utente malintenzionato ricostruire i dati PAN originali se ha accesso sia alla versione troncata che a quella con hash di un PAN. Laddove nell'ambiente di un'entità siano presenti versioni hash e troncate dello stesso PAN, devono essere predisposti controlli aggiuntivi per garantire che le versioni con hash e troncate non possano essere correlate per ricostruire il PAN originale. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWSKMS) sia abilitata per il tuo notebook. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| 3.4 | Rendi il PAN illeggibile ovunque sia archiviato (inclusi supporti digitali portatili, supporti di backup e nei log) utilizzando uno dei seguenti approcci: • Hash unidirezionali basati su crittografia avanzata (l'hash deve essere dell'intero PAN) • Troncamento (l'hashing non può essere utilizzato per sostituire il segmento troncato di PAN) • Token e pad indice (i pad devono essere archiviati in modo sicuro) • Crittografia avanzata con processi e procedure di gestione delle chiavi associati. Nota: è uno sforzo relativamente banale per un utente malintenzionato ricostruire i dati PAN originali se ha accesso sia alla versione troncata che a quella con hash di un PAN. Laddove nell'ambiente di un'entità siano presenti versioni hash e troncate dello stesso PAN, devono essere predisposti controlli aggiuntivi per garantire che le versioni con hash e troncate non possano essere correlate per ricostruire il PAN originale. | Per proteggere i dati archiviati, assicurati che gli argomenti di Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia AWS tramite Key Management Service AWS (KMS). Poiché i dati sensibili possono esistere anche quando sono inattivi nei messaggi pubblicati, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| 3.5.2 | Limita l'accesso alle chiavi crittografiche al minor numero di custodi necessario. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms:). ReEncryptFrom I valori effettivi devono riflettere le politiche dell'organizzazione | |
| 3.5.2 | Limita l'accesso alle chiavi crittografiche al minor numero di custodi necessario. | Assicurati che un utente, un ruolo IAM o un gruppo IAM (AWSIdentity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWSconsiglia di utilizzare politiche gestite anziché politiche in linea. Le politiche gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms:). ReEncryptFrom I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 3.5.3 | Archivia sempre le chiavi segrete e private utilizzate per crittografare/decrittografare i dati dei titolari di carta in una (o più) delle seguenti forme: • Crittografate con una chiave di crittografia a chiave che sia almeno altrettanto potente della chiave di crittografia dei dati e archiviata separatamente dalla chiave di crittografia dei dati • All'interno di un dispositivo crittografico sicuro (come un modulo di sicurezza hardware (host) (HSM) o un point-of-interaction dispositivo approvato da PTS) • Come in almeno due componenti chiave completi o condivisioni di chiavi, secondo un metodo accettato dal settore Nota: non è necessario che le chiavi pubbliche siano archiviate in uno dei questi moduli. | Assicurati che la crittografia sia abilitata per i tuoi bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere inattivi in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati. | |
| 3.5.3 | Archivia sempre le chiavi segrete e private utilizzate per crittografare/decrittografare i dati dei titolari di carta in una (o più) delle seguenti forme: • Crittografate con una chiave di crittografia a chiave che sia almeno altrettanto potente della chiave di crittografia dei dati e archiviata separatamente dalla chiave di crittografia dei dati • All'interno di un dispositivo crittografico sicuro (come un modulo di sicurezza hardware (host) (HSM) o un point-of-interaction dispositivo approvato da PTS) • Come in almeno due componenti chiave completi o condivisioni di chiavi, secondo un metodo accettato dal settore Nota: non è necessario che le chiavi pubbliche siano archiviate in uno dei questi moduli. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWSKMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia a memoria inattiva per proteggere tali dati. | |
| 3.5.3 | Archivia sempre le chiavi segrete e private utilizzate per crittografare/decrittografare i dati dei titolari di carta in una (o più) delle seguenti forme: • Crittografate con una chiave di crittografia a chiave che sia almeno altrettanto potente della chiave di crittografia dei dati e archiviata separatamente dalla chiave di crittografia dei dati • All'interno di un dispositivo crittografico sicuro (come un modulo di sicurezza hardware (host) (HSM) o un point-of-interaction dispositivo approvato da PTS) • Come in almeno due componenti chiave completi o condivisioni di chiavi, secondo un metodo accettato dal settore Nota: non è necessario che le chiavi pubbliche siano archiviate in uno dei questi moduli. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWSKMS) sia abilitata per il tuo notebook. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| 3.6.4 | Modifiche alle chiavi crittografiche per le chiavi che hanno raggiunto la fine del loro periodo crittografico (ad esempio, dopo che è trascorso un determinato periodo di tempo e/o dopo che una determinata chiave è stata prodotta una certa quantità di testo cifrato), come definito dal fornitore dell'applicazione o dal proprietario della chiave associato e in base alle migliori pratiche e linee guida del settore (ad esempio, la pubblicazione speciale NIST 800-57). | Abilita la rotazione delle chiavi per garantire che le chiavi vengano ruotate una volta raggiunta la fine del periodo crittografico. | |
| 3.6.5 | Ritiro o sostituzione (ad esempio, archiviazione, distruzione e/o revoca) delle chiavi, se ritenuto necessario quando l'integrità della chiave è compromessa (ad esempio, licenziamento di un dipendente che conosce un componente chiave in chiaro) o si sospetta che le chiavi siano compromesse. Nota: se è necessario conservare le chiavi crittografiche ritirate o sostituite, queste chiavi devono essere archiviate in modo sicuro (ad esempio, utilizzando una chiave di crittografia a chiave). Le chiavi crittografiche archiviate devono essere utilizzate solo per scopi di decrittografia/verifica. | Per proteggere i dati archiviati, assicurati che non sia pianificata l'eliminazione delle chiavi master del cliente (CMK) necessarie nel AWS Key Management Service (KMS). AWS Poiché a volte l'eliminazione delle chiavi è necessaria, questa regola può aiutare a verificare tutte le chiavi programmate per l'eliminazione, nel caso in cui una chiave sia stata pianificata involontariamente. | |
| 3.6.7 | Prevenzione della sostituzione non autorizzata delle chiavi crittografiche. | Per proteggere i dati archiviati, assicurati che non sia pianificata l'eliminazione delle chiavi master del cliente (CMK) necessarie nel AWS Key Management Service (KMS). AWS Poiché a volte l'eliminazione delle chiavi è necessaria, questa regola può aiutare a verificare tutte le chiavi programmate per l'eliminazione, nel caso in cui una chiave sia stata pianificata involontariamente. | |
| 4.1 | Utilizza una crittografia avanzata e protocolli di sicurezza per proteggere i dati sensibili dei titolari di carta durante la trasmissione su reti pubbliche aperte, tra cui: • Sono accettate solo chiavi e certificati affidabili. • Il protocollo in uso supporta solo versioni o configurazioni sicure. • Il livello di crittografia è appropriato per la metodologia di crittografia in uso. Esempi di reti pubbliche aperte includono, a titolo esemplificativo ma non esaustivo: • Internet • Tecnologie wireless, tra cui 802.11 e Bluetooth • Tecnologie cellulari, ad esempio Global System for Mobile communications (GSM), Code division multiple access (CDMA) • General Packet Radio Service (GPRS) • Comunicazioni via satellite | Garantisci la protezione dell'integrità della rete assicurando che i certificati X509 vengano emessi da ACM. AWS Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore per daysToExpiration (valore AWS Foundational Security Best Practices: 90). Il valore effettivo deve riflettere le politiche dell'organizzazione. | |
| 4.1 | Utilizza protocolli di crittografia e sicurezza avanzati per proteggere i dati sensibili dei titolari di carta durante la trasmissione su reti pubbliche aperte, tra cui: • Sono accettate solo chiavi e certificati affidabili. • Il protocollo in uso supporta solo versioni o configurazioni sicure. • Il livello di crittografia è appropriato per la metodologia di crittografia in uso. Esempi di reti pubbliche aperte includono, a titolo esemplificativo ma non esaustivo: • Internet • Tecnologie wireless, tra cui 802.11 e Bluetooth • Tecnologie cellulari, ad esempio Global System for Mobile communications (GSM), Code division multiple access (CDMA) • General Packet Radio Service (GPRS) • Comunicazioni via satellite | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| 4.1 | Utilizza protocolli di crittografia e sicurezza avanzati per proteggere i dati sensibili dei titolari di carta durante la trasmissione su reti pubbliche aperte, tra cui: • Sono accettate solo chiavi e certificati affidabili. • Il protocollo in uso supporta solo versioni o configurazioni sicure. • Il livello di crittografia è appropriato per la metodologia di crittografia in uso. Esempi di reti pubbliche aperte includono, a titolo esemplificativo ma non esaustivo: • Internet • Tecnologie wireless, tra cui 802.11 e Bluetooth • Tecnologie cellulari, ad esempio Global System for Mobile communications (GSM), Code division multiple access (CDMA) • General Packet Radio Service (GPRS) • Comunicazioni via satellite | Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare che le richieste provengono da API Gateway. | |
| 4.1 | Utilizza protocolli di crittografia e sicurezza avanzati per proteggere i dati sensibili dei titolari di carta durante la trasmissione su reti pubbliche aperte, tra cui: • Sono accettate solo chiavi e certificati affidabili. • Il protocollo in uso supporta solo versioni o configurazioni sicure. • Il livello di crittografia è appropriato per la metodologia di crittografia in uso. Esempi di reti pubbliche aperte includono, a titolo esemplificativo ma non esaustivo: • Internet • Tecnologie wireless, tra cui 802.11 e Bluetooth • Tecnologie cellulari, ad esempio Global System for Mobile communications (GSM), Code division multiple access (CDMA) • General Packet Radio Service (GPRS) • Comunicazioni via satellite | Assicurati che la node-to-node crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| 4.1 | Utilizza protocolli di crittografia e sicurezza avanzati per proteggere i dati sensibili dei titolari di carta durante la trasmissione su reti pubbliche aperte, tra cui: • Sono accettate solo chiavi e certificati affidabili. • Il protocollo in uso supporta solo versioni o configurazioni sicure. • Il livello di crittografia è appropriato per la metodologia di crittografia in uso. Esempi di reti pubbliche aperte includono, a titolo esemplificativo ma non esaustivo: • Internet • Tecnologie wireless, tra cui 802.11 e Bluetooth • Tecnologie cellulari, ad esempio Global System for Mobile communications (GSM), Code division multiple access (CDMA) • General Packet Radio Service (GPRS) • Comunicazioni via satellite | Assicurati che i tuoi Elastic Load Balancer (ELB) siano configurati con listener SSL o HTTPS. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| 4.1 | Utilizza protocolli di crittografia e sicurezza avanzati per proteggere i dati sensibili dei titolari di carta durante la trasmissione su reti pubbliche aperte, tra cui: • Sono accettate solo chiavi e certificati affidabili. • Il protocollo in uso supporta solo versioni o configurazioni sicure. • Il livello di crittografia è appropriato per la metodologia di crittografia in uso. Esempi di reti pubbliche aperte includono, a titolo esemplificativo ma non esaustivo: • Internet • Tecnologie wireless, tra cui 802.11 e Bluetooth • Tecnologie cellulari, ad esempio Global System for Mobile communications (GSM), Code division multiple access (CDMA) • General Packet Radio Service (GPRS) • Comunicazioni via satellite | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| 4.1 | Utilizza protocolli di crittografia e sicurezza avanzati per proteggere i dati sensibili dei titolari di carta durante la trasmissione su reti pubbliche aperte, tra cui: • Sono accettate solo chiavi e certificati affidabili. • Il protocollo in uso supporta solo versioni o configurazioni sicure. • Il livello di crittografia è appropriato per la metodologia di crittografia in uso. Esempi di reti pubbliche aperte includono, a titolo esemplificativo ma non esaustivo: • Internet • Tecnologie wireless, tra cui 802.11 e Bluetooth • Tecnologie cellulari, ad esempio Global System for Mobile communications (GSM), Code division multiple access (CDMA) • General Packet Radio Service (GPRS) • Comunicazioni via satellite | Poiché possono esistere dati sensibili e per contribuire a proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon Service. OpenSearch | |
| 4.1 | Utilizza protocolli di crittografia e sicurezza avanzati per proteggere i dati sensibili dei titolari di carta durante la trasmissione su reti pubbliche aperte, tra cui: • Sono accettate solo chiavi e certificati affidabili. • Il protocollo in uso supporta solo versioni o configurazioni sicure. • Il livello di crittografia è appropriato per la metodologia di crittografia in uso. Esempi di reti pubbliche aperte includono, a titolo esemplificativo ma non esaustivo: • Internet • Tecnologie wireless, tra cui 802.11 e Bluetooth • Tecnologie cellulari, ad esempio Global System for Mobile communications (GSM), Code division multiple access (CDMA) • General Packet Radio Service (GPRS) • Comunicazioni via satellite | Assicurati che la node-to-node crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| 4.1 | Utilizza protocolli di crittografia e sicurezza avanzati per proteggere i dati sensibili dei titolari di carta durante la trasmissione su reti pubbliche aperte, tra cui: • Sono accettate solo chiavi e certificati affidabili. • Il protocollo in uso supporta solo versioni o configurazioni sicure. • Il livello di crittografia è appropriato per la metodologia di crittografia in uso. Esempi di reti pubbliche aperte includono, a titolo esemplificativo ma non esaustivo: • Internet • Tecnologie wireless, tra cui 802.11 e Bluetooth • Tecnologie cellulari, ad esempio Global System for Mobile communications (GSM), Code division multiple access (CDMA) • General Packet Radio Service (GPRS) • Comunicazioni via satellite | Assicurati che i tuoi cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| 4.1 | Utilizza protocolli di crittografia e sicurezza avanzati per proteggere i dati sensibili dei titolari di carta durante la trasmissione su reti pubbliche aperte, tra cui: • Sono accettate solo chiavi e certificati affidabili. • Il protocollo in uso supporta solo versioni o configurazioni sicure. • Il livello di crittografia è appropriato per la metodologia di crittografia in uso. Esempi di reti pubbliche aperte includono, a titolo esemplificativo ma non esaustivo: • Internet • Tecnologie wireless, tra cui 802.11 e Bluetooth • Tecnologie cellulari, ad esempio Global System for Mobile communications (GSM), Code division multiple access (CDMA) • General Packet Radio Service (GPRS) • Comunicazioni via satellite | Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste di utilizzo di Secure Socket Layer (SSL). Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| 6.2 | Assicurati che tutti i componenti e il software del sistema siano protetti da vulnerabilità note installando le patch di sicurezza applicabili fornite dal fornitore. Installare le patch di sicurezza critiche entro un mese dal rilascio. Nota: le patch di sicurezza critiche devono essere identificate in base al processo di classificazione del rischio definito nel Requisito 6.1. | L'abilitazione degli aggiornamenti gestiti della piattaforma per un ambiente Amazon Elastic Beanstalk garantisce l'installazione delle correzioni, degli aggiornamenti e delle funzionalità della piattaforma più recenti disponibili per l'ambiente. Tenersi aggiornati sull'installazione delle patch è una best practice per proteggere i sistemi. | |
| 6.2 | Assicuratevi che tutti i componenti e il software del sistema siano protetti da vulnerabilità note installando le patch di sicurezza applicabili fornite dal fornitore. Installare le patch di sicurezza critiche entro un mese dal rilascio. Nota: le patch di sicurezza critiche devono essere identificate in base al processo di classificazione del rischio definito nel Requisito 6.1. | ec2- -controlla managedinstance-association-compliance-status |
Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee di base dei livelli di patch del sistema operativo, delle installazioni software, delle configurazioni delle applicazioni e altri dettagli sull'ambiente. |
| 6.2 | Assicuratevi che tutti i componenti e il software del sistema siano protetti da vulnerabilità note installando le patch di sicurezza applicabili fornite dal fornitore. Installare le patch di sicurezza critiche entro un mese dal rilascio. Nota: le patch di sicurezza critiche devono essere identificate in base al processo di classificazione del rischio definito nel Requisito 6.1. | Abilita questa regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| 6.2 | Assicurati che tutti i componenti e il software del sistema siano protetti da vulnerabilità note installando le patch di sicurezza applicabili fornite dal fornitore. Installare le patch di sicurezza critiche entro un mese dal rilascio. Nota: le patch di sicurezza critiche devono essere identificate in base al processo di classificazione del rischio definito nel Requisito 6.1. | Gli aggiornamenti e le patch di sicurezza vengono distribuiti automaticamente per le attività di FargateAWS. Se viene rilevato un problema di sicurezza che riguarda una versione della piattaforma AWS Fargate, AWS corregge la versione della piattaforma. Per aiutarti nella gestione delle patch delle attività di Amazon Elastic Container Service (ECS) che eseguono AWS Fargate, aggiorna le attività autonome dei servizi per utilizzare la versione più recente della piattaforma. | |
| 6.2 | Assicurati che tutti i componenti e il software del sistema siano protetti da vulnerabilità note installando le patch di sicurezza applicabili fornite dal fornitore. Installare le patch di sicurezza critiche entro un mese dal rilascio. Nota: le patch di sicurezza critiche devono essere identificate in base al processo di classificazione del rischio definito nel Requisito 6.1. | Abilita gli upgrade automatici delle versioni secondarie sulle tue istanze Amazon Relational Database Service (RDS) per garantire che siano installati gli ultimi aggiornamenti delle versioni secondarie del Relational Database Management System (RDBMS), che possono includere patch di sicurezza e correzioni di bug. | |
| 6.2 | Assicurati che tutti i componenti e il software del sistema siano protetti da vulnerabilità note installando le patch di sicurezza applicabili fornite dal fornitore. Installare le patch di sicurezza critiche entro un mese dal rilascio. Nota: le patch di sicurezza critiche devono essere identificate in base al processo di classificazione del rischio definito nel Requisito 6.1. | Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno preferito finestre di manutenzione e periodi di conservazione automatizzati delle istantanee per il database. Questa regola richiede l'impostazione di. allowVersionUpgrade Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sab: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 6.3.2 | Esamina il codice personalizzato prima di rilasciarlo alla produzione o ai clienti per identificare eventuali vulnerabilità di codifica (utilizzando processi manuali o automatizzati) per includere almeno quanto segue: • Le modifiche al codice vengono esaminate da persone diverse dall'autore del codice di origine e da persone esperte sulle tecniche di revisione del codice e sulle pratiche di codifica sicure. • Le revisioni del codice garantiscono che il codice sia sviluppato secondo linee guida di codifica sicura • Le correzioni appropriate vengono implementate prima del rilascio. • I risultati della revisione del codice vengono esaminati e approvati dalla direzione prima del rilascio. (Continua nella pagina successiva) | La scansione delle immagini di Amazon Elastic Container Repository (ECR) aiuta a identificare le vulnerabilità del software nelle immagini dei container. L'abilitazione della scansione delle immagini negli archivi ECR aggiunge un livello di verifica dell'integrità e della sicurezza delle immagini archiviate. | |
| 6.6 | Per le applicazioni Web rivolte al pubblico, affronta costantemente nuove minacce e vulnerabilità e assicurati che tali applicazioni siano protette dagli attacchi noti con uno dei seguenti metodi: • Revisione delle applicazioni Web rivolte al pubblico tramite strumenti o metodi di valutazione della sicurezza delle vulnerabilità delle applicazioni manuali o automatizzati, almeno una volta all'anno e dopo eventuali modifiche Nota: questa valutazione non coincide con le scansioni di vulnerabilità eseguite per il Requisito 11.2. • Installazione di una soluzione tecnica automatizzata che rileva e previene gli attacchi basati sul Web (ad esempio, un firewall per applicazioni Web) di fronte alle applicazioni Web rivolte al pubblico, per controllare continuamente tutto il traffico. | Per facilitare la protezione delle applicazioni dalle vulnerabilità di HTTP Desync, assicurati che la modalità di mitigazione HTTP Desync sia abilitata sui sistemi di bilanciamento del carico delle applicazioni. I problemi relativi a HTTP Desync possono portare al contrabbando di richieste e rendere le applicazioni vulnerabili alle richieste di avvelenamento della coda o della cache. Le modalità di mitigazione di Desync sono monitor, difensive e rigorose. Difensiva è la modalità predefinita. | |
| 6.6 | Per le applicazioni Web rivolte al pubblico, affronta costantemente nuove minacce e vulnerabilità e assicurati che tali applicazioni siano protette dagli attacchi noti con uno dei seguenti metodi: • Revisione delle applicazioni Web rivolte al pubblico tramite strumenti o metodi di valutazione della sicurezza delle vulnerabilità delle applicazioni manuali o automatizzati, almeno una volta all'anno e dopo eventuali modifiche Nota: questa valutazione non coincide con le scansioni di vulnerabilità eseguite per il Requisito 11.2. • Installazione di una soluzione tecnica automatizzata che rileva e previene gli attacchi basati sul Web (ad esempio, un firewall per applicazioni Web) di fronte alle applicazioni Web rivolte al pubblico, per controllare continuamente tutto il traffico. | Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni web. Un WAF aiuta a proteggere le tue applicazioni web o le tue API dagli exploit web più comuni. Questi exploit web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. | |
| 6.6 | Per le applicazioni Web rivolte al pubblico, affronta costantemente nuove minacce e vulnerabilità e assicurati che tali applicazioni siano protette dagli attacchi noti con uno dei seguenti metodi: • Revisione delle applicazioni Web rivolte al pubblico tramite strumenti o metodi di valutazione della sicurezza delle vulnerabilità delle applicazioni manuali o automatizzati, almeno una volta all'anno e dopo eventuali modifiche Nota: questa valutazione non coincide con le scansioni di vulnerabilità eseguite per il Requisito 11.2. • Installazione di una soluzione tecnica automatizzata che rileva e previene gli attacchi basati sul Web (ad esempio, un firewall per applicazioni Web) di fronte alle applicazioni Web rivolte al pubblico, per controllare continuamente tutto il traffico. | AWSWAF consente di configurare un insieme di regole (chiamate elenco di controllo degli accessi Web (Web ACL)) che consentono, bloccano o contano le richieste Web in base a regole e condizioni di sicurezza Web personalizzabili definite dall'utente. Assicurati che la tua fase Amazon API Gateway sia associata a un ACL Web WAF per proteggerla da attacchi dannosi | |
| 6.6 | Per le applicazioni Web rivolte al pubblico, affronta costantemente nuove minacce e vulnerabilità e assicurati che tali applicazioni siano protette dagli attacchi noti con uno dei seguenti metodi: • Revisione delle applicazioni Web rivolte al pubblico tramite strumenti o metodi di valutazione della sicurezza delle vulnerabilità delle applicazioni manuali o automatizzati, almeno una volta all'anno e dopo eventuali modifiche Nota: questa valutazione non coincide con le scansioni di vulnerabilità eseguite per il Requisito 11.2. • Installazione di una soluzione tecnica automatizzata che rileva e previene gli attacchi basati sul Web (ad esempio, un firewall per applicazioni Web) di fronte alle applicazioni Web rivolte al pubblico, per controllare continuamente tutto il traffico. | Assicurati che il tuo AWS WAF abbia una regola che non sia vuota. Una regola senza condizioni potrebbe comportare un comportamento non intenzionale. | |
| 6.6 | Per le applicazioni Web rivolte al pubblico, affronta costantemente nuove minacce e vulnerabilità e assicurati che tali applicazioni siano protette dagli attacchi noti con uno dei seguenti metodi: • Revisione delle applicazioni Web rivolte al pubblico tramite strumenti o metodi di valutazione della sicurezza delle vulnerabilità delle applicazioni manuali o automatizzati, almeno una volta all'anno e dopo eventuali modifiche Nota: questa valutazione non coincide con le scansioni di vulnerabilità eseguite per il Requisito 11.2. • Installazione di una soluzione tecnica automatizzata che rileva e previene gli attacchi basati sul Web (ad esempio, un firewall per applicazioni Web) di fronte alle applicazioni Web rivolte al pubblico, per controllare continuamente tutto il traffico. | Assicurati che il tuo AWS WAF abbia un gruppo di regole che non sia vuoto. Un gruppo di regole vuoto potrebbe causare un comportamento non intenzionale. | |
| 6.6 | Per le applicazioni Web rivolte al pubblico, affronta costantemente nuove minacce e vulnerabilità e assicurati che tali applicazioni siano protette dagli attacchi noti con uno dei seguenti metodi: • Revisione delle applicazioni Web rivolte al pubblico tramite strumenti o metodi di valutazione della sicurezza delle vulnerabilità delle applicazioni manuali o automatizzati, almeno una volta all'anno e dopo eventuali modifiche Nota: questa valutazione non coincide con le scansioni di vulnerabilità eseguite per il Requisito 11.2. • Installazione di una soluzione tecnica automatizzata che rileva e previene gli attacchi basati sul Web (ad esempio, un firewall per applicazioni Web) di fronte alle applicazioni Web rivolte al pubblico, per controllare continuamente tutto il traffico. | Un ACL Web collegato a un AWS WAF può contenere una raccolta di regole e gruppi di regole per ispezionare e controllare le richieste Web. Se un ACL Web è vuoto, il traffico Web passa senza essere rilevato o modificato dal WAF. | |
| 7.1.1 | Definisci le esigenze di accesso per ogni ruolo, tra cui: • Componenti di sistema e risorse di dati a cui ogni ruolo deve accedere per la propria funzione lavorativa • Livello di privilegio richiesto (ad esempio, utente, amministratore, ecc.) per accedere alle risorse. | Per facilitare l'implementazione del principio del privilegio minimo, assicurati che un utente non root sia designato per l'accesso alle definizioni delle attività di Amazon Elastic Container Service (Amazon ECS). | |
| 7.1.1 | Definisci le esigenze di accesso per ogni ruolo, tra cui: • Componenti di sistema e risorse di dati a cui ogni ruolo deve accedere per la propria funzione lavorativa • Livello di privilegio richiesto (ad esempio, utente, amministratore, ecc.) per accedere alle risorse. | Questa regola verifica se le liste di controllo degli accessi (ACL) vengono utilizzate per il controllo degli accessi sui bucket Amazon S3. Gli ACL sono meccanismi di controllo degli accessi legacy per i bucket Amazon S3 AWS precedenti a Identity and Access Management (IAM). Invece degli ACL, è consigliabile utilizzare le policy IAM o le policy dei bucket S3 per gestire più facilmente l'accesso ai bucket S3. | |
| 7.1.1 | Definisci le esigenze di accesso per ogni ruolo, tra cui: • Componenti di sistema e risorse di dati a cui ogni ruolo deve accedere per la propria funzione lavorativa • Livello di privilegio richiesto (ad esempio, utente, amministratore, ecc.) per accedere alle risorse. | Per facilitare l'implementazione del principio del privilegio minimo, le definizioni delle attività di Amazon Elastic Container Service (Amazon ECS) non devono avere privilegi elevati abilitati. Se il parametro è true, al container vengono assegnati privilegi elevati nell'istanza di container host (simile all'utente root). | |
| 7.1.1 | Definisci le esigenze di accesso per ogni ruolo, tra cui: • Componenti di sistema e risorse di dati a cui ogni ruolo deve accedere per la propria funzione lavorativa • Livello di privilegio richiesto (ad esempio, utente, amministratore, ecc.) per accedere alle risorse. | L'abilitazione dell'accesso in sola lettura ai contenitori Amazon Elastic Container Service (ECS) può aiutare a rispettare il principio del privilegio minimo. Questa opzione può ridurre i vettori di attacco poiché il filesystem dell'istanza del contenitore non può essere modificato a meno che non disponga di autorizzazioni esplicite di lettura/scrittura. | |
| 7.1.1 | Definisci le esigenze di accesso per ogni ruolo, tra cui: • Componenti di sistema e risorse di dati a cui ogni ruolo deve accedere per la propria funzione lavorativa • Livello di privilegio richiesto (ad esempio, utente, amministratore, ecc.) per accedere alle risorse. | L'applicazione di una directory principale per un punto di accesso Amazon Elastic File System (Amazon EFS) aiuta a limitare l'accesso ai dati garantendo che gli utenti del punto di accesso possano raggiungere solo i file della sottodirectory specificata. | |
| 7.1.1 | Definisci le esigenze di accesso per ogni ruolo, tra cui: • Componenti di sistema e risorse di dati a cui ogni ruolo deve accedere per la propria funzione lavorativa • Livello di privilegio richiesto (ad esempio, utente, amministratore, ecc.) per accedere alle risorse. | Per facilitare l'implementazione del principio del privilegio minimo, assicurati che l'applicazione degli utenti sia abilitata per Amazon Elastic File System (Amazon EFS). Quando abilitato, Amazon EFS sostituisce gli ID utente e di gruppo del client NFS con l'identità configurata sul punto di accesso per tutte le operazioni del file system e concede l'accesso solo a questa identità utente forzata. | |
| 7.1.1 | Definisci le esigenze di accesso per ogni ruolo, tra cui: • Componenti di sistema e risorse di dati a cui ogni ruolo deve accedere per la propria funzione lavorativa • Livello di privilegio richiesto (ad esempio, utente, amministratore, ecc.) per accedere alle risorse. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati secondo i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono autenticarsi sono noti come principali. I principali esistono all'interno di un regno Kerberos. All'interno del regno, un server Kerberos è noto come Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC si autentica emettendo ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| 7.1.1 | Definisci le esigenze di accesso per ogni ruolo, tra cui: • Componenti di sistema e risorse di dati a cui ogni ruolo deve accedere per la propria funzione lavorativa • Livello di privilegio richiesto (ad esempio, utente, amministratore, ecc.) per accedere alle risorse. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms:). ReEncryptFrom I valori effettivi devono riflettere le politiche dell'organizzazione | |
| 7.1.1 | Definisci le esigenze di accesso per ogni ruolo, tra cui: • Componenti di sistema e risorse di dati a cui ogni ruolo deve accedere per la propria funzione lavorativa • Livello di privilegio richiesto (ad esempio, utente, amministratore, ecc.) per accedere alle risorse. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base alle autorizzazioni associate o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| 7.1.1 | Definisci le esigenze di accesso per ogni ruolo, tra cui: • Componenti di sistema e risorse di dati a cui ogni ruolo deve accedere per la propria funzione lavorativa • Livello di privilegio richiesto (ad esempio, utente, amministratore, ecc.) per accedere alle risorse. | Assicurati che un utente, un ruolo IAM o un gruppo IAM (AWSIdentity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWSconsiglia di utilizzare politiche gestite anziché politiche in linea. Le politiche gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms:). ReEncryptFrom I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 7.1.1 | Definisci le esigenze di accesso per ogni ruolo, tra cui: • Componenti di sistema e risorse di dati a cui ogni ruolo deve accedere per la propria funzione lavorativa • Livello di privilegio richiesto (ad esempio, utente, amministratore, ecc.) per accedere alle risorse. | Assicurati che un utente, un ruolo IAM o un gruppo IAM (AWSIdentity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWSconsiglia di utilizzare politiche gestite anziché politiche in linea. Le politiche gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. | |
| 7.1.1 | Definisci le esigenze di accesso per ogni ruolo, tra cui: • Componenti di sistema e risorse di dati a cui ogni ruolo deve accedere per la propria funzione lavorativa • Livello di privilegio richiesto (ad esempio, utente, amministratore, ecc.) per accedere alle risorse. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo che le policy contengano «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 7.1.1 | Definisci le esigenze di accesso per ogni ruolo, tra cui: • Componenti di sistema e risorse di dati a cui ogni ruolo deve accedere per la propria funzione lavorativa • Livello di privilegio richiesto (ad esempio, utente, amministratore, ecc.) per accedere alle risorse. | Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 7.1.1 | Definisci le esigenze di accesso per ogni ruolo, tra cui: • Componenti di sistema e risorse di dati a cui ogni ruolo deve accedere per la propria funzione lavorativa • Livello di privilegio richiesto (ad esempio, utente, amministratore, ecc.) per accedere alle risorse. | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece AWS account basati sui ruoli per contribuire a incorporare il principio della minima funzionalità. | |
| 7.1.1 | Definisci le esigenze di accesso per ogni ruolo, tra cui: • Componenti di sistema e risorse di dati a cui ogni ruolo deve accedere per la propria funzione lavorativa • Livello di privilegio richiesto (ad esempio, utente, amministratore, ecc.) per accedere alle risorse. | AWSIdentity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 7.1.1 | Definisci le esigenze di accesso per ogni ruolo, tra cui: • Componenti di sistema e risorse di dati a cui ogni ruolo deve accedere per la propria funzione lavorativa • Livello di privilegio richiesto (ad esempio, utente, amministratore, ecc.) per accedere alle risorse. | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o conservare privilegi eccessivi. | |
| 7.1.1 | Definisci le esigenze di accesso per ogni ruolo, tra cui: • Componenti di sistema e risorse di dati a cui ogni ruolo deve accedere per la propria funzione lavorativa • Livello di privilegio richiesto (ad esempio, utente, amministratore, ecc.) per accedere alle risorse. | Assicurati che il controllo granulare degli accessi sia abilitato sui tuoi domini Amazon Service. OpenSearch Il controllo granulare degli accessi fornisce meccanismi di autorizzazione avanzati per ottenere l'accesso con i privilegi minimi ai domini di Amazon Service. OpenSearch Consente il controllo degli accessi al dominio in base ai ruoli, nonché la sicurezza a livello di indice, documento e campo, il supporto per dashboard di servizio multi-tenancy e l'autenticazione di base HTTP per OpenSearch Service e Kibana. OpenSearch | |
| 7.1.2 | Limita l'accesso agli ID utente privilegiati ai privilegi minimi necessari per svolgere le responsabilità lavorative. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms:). ReEncryptFrom I valori effettivi devono riflettere le politiche dell'organizzazione | |
| 7.1.2 | Limita l'accesso agli ID utente privilegiati ai privilegi minimi necessari per svolgere le responsabilità lavorative. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base alle autorizzazioni associate o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| 7.1.2 | Limita l'accesso agli ID utente privilegiati ai privilegi minimi necessari per svolgere le responsabilità lavorative. | Assicurati che un utente, un ruolo IAM o un gruppo IAM (AWSIdentity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWSconsiglia di utilizzare politiche gestite anziché politiche in linea. Le politiche gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms:). ReEncryptFrom I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 7.1.2 | Limita l'accesso agli ID utente privilegiati ai privilegi minimi necessari per svolgere le responsabilità lavorative. | Assicurati che un utente, un ruolo IAM o un gruppo IAM (AWSIdentity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWSconsiglia di utilizzare politiche gestite anziché politiche in linea. Le politiche gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. | |
| 7.1.2 | Limita l'accesso agli ID utente privilegiati ai privilegi minimi necessari per svolgere le responsabilità lavorative. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo che le policy contengano «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 7.1.2 | Limita l'accesso agli ID utente privilegiati ai privilegi minimi necessari per svolgere le responsabilità lavorative. | Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 7.1.2 | Limita l'accesso agli ID utente privilegiati ai privilegi minimi necessari per svolgere le responsabilità lavorative. | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece AWS account basati sui ruoli per contribuire a incorporare il principio della minima funzionalità. | |
| 7.1.2 | Limita l'accesso agli ID utente privilegiati ai privilegi minimi necessari per svolgere le responsabilità lavorative. | AWSIdentity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 7.1.2 | Limita l'accesso agli ID utente privilegiati ai privilegi minimi necessari per svolgere le responsabilità lavorative. | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o conservare privilegi eccessivi. | |
| 7.2.1 | Stabilisci uno o più sistemi di controllo degli accessi per i componenti di sistema che limitino l'accesso in base all'esigenza di conoscenza dell'utente e che siano impostati per «negare tutto» a meno che non sia espressamente consentito. Questi sistemi di controllo degli accessi devono includere quanto segue: Copertura di tutti i componenti del sistema | Per facilitare l'implementazione del principio del privilegio minimo, le definizioni delle attività di Amazon Elastic Container Service (Amazon ECS) non devono avere privilegi elevati abilitati. Se il parametro è true, al container vengono assegnati privilegi elevati nell'istanza di container host (simile all'utente root). | |
| 7.2.1 | Stabilisci uno o più sistemi di controllo degli accessi per i componenti di sistema che limitino l'accesso in base alle esigenze dell'utente e che siano impostati per «negare tutto» a meno che non sia espressamente consentito. Questi sistemi di controllo degli accessi devono includere quanto segue: Copertura di tutti i componenti del sistema | L'abilitazione dell'accesso in sola lettura ai contenitori Amazon Elastic Container Service (ECS) può aiutare a rispettare il principio del privilegio minimo. Questa opzione può ridurre i vettori di attacco poiché il filesystem dell'istanza del contenitore non può essere modificato a meno che non disponga di autorizzazioni esplicite di lettura/scrittura. | |
| 7.2.1 | Stabilisci uno o più sistemi di controllo degli accessi per i componenti di sistema che limitino l'accesso in base alle esigenze dell'utente e che siano impostati per «negare tutto» a meno che non sia espressamente consentito. Questi sistemi di controllo degli accessi devono includere quanto segue: Copertura di tutti i componenti del sistema | L'applicazione di una directory principale per un punto di accesso Amazon Elastic File System (Amazon EFS) aiuta a limitare l'accesso ai dati garantendo che gli utenti del punto di accesso possano raggiungere solo i file della sottodirectory specificata. | |
| 7.2.1 | Stabilisci uno o più sistemi di controllo degli accessi per i componenti di sistema che limitino l'accesso in base alle esigenze dell'utente e che siano impostati per «negare tutto» a meno che non sia espressamente consentito. Questi sistemi di controllo degli accessi devono includere quanto segue: Copertura di tutti i componenti del sistema | Per facilitare l'implementazione del principio del privilegio minimo, assicurati che l'applicazione degli utenti sia abilitata per Amazon Elastic File System (Amazon EFS). Quando abilitato, Amazon EFS sostituisce gli ID utente e di gruppo del client NFS con l'identità configurata sul punto di accesso per tutte le operazioni del file system e concede l'accesso solo a questa identità utente forzata. | |
| 7.2.1 | Stabilisci uno o più sistemi di controllo degli accessi per i componenti di sistema che limitino l'accesso in base alle esigenze dell'utente e che siano impostati per «negare tutto» a meno che non sia espressamente consentito. Questi sistemi di controllo degli accessi devono includere quanto segue: Copertura di tutti i componenti del sistema | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati secondo i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono autenticarsi sono noti come principali. I principali esistono all'interno di un regno Kerberos. All'interno del regno, un server Kerberos è noto come Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC si autentica emettendo ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| 7.2.1 | Stabilisci uno o più sistemi di controllo degli accessi per i componenti di sistema che limitino l'accesso in base alle esigenze dell'utente e che siano impostati per «negare tutto» a meno che non sia espressamente consentito. Questi sistemi di controllo degli accessi devono includere quanto segue: Copertura di tutti i componenti del sistema | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms:). ReEncryptFrom I valori effettivi devono riflettere le politiche dell'organizzazione | |
| 7.2.1 | Stabilite uno o più sistemi di controllo degli accessi per i componenti di sistema che limitino l'accesso in base alle esigenze dell'utente e che siano impostati per «negare tutto» a meno che non sia espressamente consentito. Questi sistemi di controllo degli accessi devono includere quanto segue: Copertura di tutti i componenti del sistema | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base alle autorizzazioni associate o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| 7.2.1 | Stabilisci uno o più sistemi di controllo degli accessi per i componenti di sistema che limitino l'accesso in base all'esigenza dell'utente di conoscere e che siano impostati per «negare tutto» a meno che non sia espressamente consentito. Questi sistemi di controllo degli accessi devono includere quanto segue: Copertura di tutti i componenti del sistema | Assicurati che un utente, un ruolo IAM o un gruppo IAM (AWSIdentity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWSconsiglia di utilizzare politiche gestite anziché politiche in linea. Le politiche gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms:). ReEncryptFrom I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 7.2.1 | Stabilite uno o più sistemi di controllo degli accessi per i componenti di sistema che limitino l'accesso in base alle esigenze dell'utente e che siano impostati per «negare tutto» a meno che non sia espressamente consentito. Questi sistemi di controllo degli accessi devono includere quanto segue: Copertura di tutti i componenti del sistema | Assicurati che un utente, un ruolo IAM o un gruppo IAM (AWSIdentity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWSconsiglia di utilizzare politiche gestite anziché politiche in linea. Le politiche gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. | |
| 7.2.1 | Stabilisci uno o più sistemi di controllo degli accessi per i componenti di sistema che limitino l'accesso in base alle esigenze dell'utente e che siano impostati per «negare tutto» a meno che non sia espressamente consentito. Questi sistemi di controllo degli accessi devono includere quanto segue: Copertura di tutti i componenti del sistema | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo che le policy contengano «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 7.2.1 | Stabilisci uno o più sistemi di controllo degli accessi per i componenti di sistema che limitino l'accesso in base alle esigenze dell'utente e che siano impostati per «negare tutto» a meno che non sia espressamente consentito. Questi sistemi di controllo degli accessi devono includere quanto segue: Copertura di tutti i componenti del sistema | Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 7.2.1 | Stabilisci uno o più sistemi di controllo degli accessi per i componenti di sistema che limitino l'accesso in base alle esigenze dell'utente e che siano impostati per «negare tutto» a meno che non sia espressamente consentito. Questi sistemi di controllo degli accessi devono includere quanto segue: Copertura di tutti i componenti del sistema | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece AWS account basati sui ruoli per contribuire a incorporare il principio della minima funzionalità. | |
| 7.2.1 | Stabilisci uno o più sistemi di controllo degli accessi per i componenti di sistema che limitino l'accesso in base all'esigenza dell'utente di conoscere e che siano impostati per «negare tutto» a meno che non sia espressamente consentito. Questi sistemi di controllo degli accessi devono includere quanto segue: Copertura di tutti i componenti del sistema | AWSIdentity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 7.2.1 | Stabilisci uno o più sistemi di controllo degli accessi per i componenti di sistema che limitino l'accesso in base alle esigenze dell'utente e che siano impostati per «negare tutto» a meno che non sia espressamente consentito. Questi sistemi di controllo degli accessi devono includere quanto segue: Copertura di tutti i componenti del sistema | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o conservare privilegi eccessivi. | |
| 7.2.1 | Stabilisci uno o più sistemi di controllo degli accessi per i componenti di sistema che limitino l'accesso in base all'esigenza di conoscenza dell'utente e che siano impostati per «negare tutto» a meno che non sia espressamente consentito. Questi sistemi di controllo degli accessi devono includere quanto segue: Copertura di tutti i componenti del sistema | Assicurati che il controllo granulare degli accessi sia abilitato sui tuoi domini Amazon OpenSearch Service. Il controllo granulare degli accessi fornisce meccanismi di autorizzazione avanzati per ottenere l'accesso con i privilegi minimi ai domini di Amazon Service. OpenSearch Consente il controllo degli accessi al dominio in base ai ruoli, nonché la sicurezza a livello di indice, documento e campo, il supporto per dashboard di servizio multi-tenancy e l'autenticazione di base HTTP per OpenSearch Service e Kibana. OpenSearch | |
| 7.2.2 | Stabilisci uno o più sistemi di controllo degli accessi per i componenti di sistema che limitino l'accesso in base alle esigenze dell'utente e che siano impostati per «negare tutto» a meno che non sia espressamente consentito. Questi sistemi di controllo degli accessi devono includere quanto segue: Assegnazione di privilegi alle persone in base alla classificazione e alla funzione lavorativa. | Per facilitare l'implementazione del principio del privilegio minimo, le definizioni delle attività di Amazon Elastic Container Service (Amazon ECS) non devono avere privilegi elevati abilitati. Se il parametro è true, al container vengono assegnati privilegi elevati nell'istanza di container host (simile all'utente root). | |
| 7.2.2 | Stabilisci uno o più sistemi di controllo degli accessi per i componenti di sistema che limitino l'accesso in base alle esigenze dell'utente e che siano impostati per «negare tutto» a meno che non sia espressamente consentito. Questi sistemi di controllo degli accessi devono includere quanto segue: Assegnazione di privilegi alle persone in base alla classificazione e alla funzione lavorativa. | L'abilitazione dell'accesso in sola lettura ai contenitori Amazon Elastic Container Service (ECS) può aiutare a rispettare il principio del privilegio minimo. Questa opzione può ridurre i vettori di attacco poiché il filesystem dell'istanza del contenitore non può essere modificato a meno che non disponga di autorizzazioni esplicite di lettura/scrittura. | |
| 7.2.2 | Stabilisci uno o più sistemi di controllo degli accessi per i componenti di sistema che limitino l'accesso in base alle esigenze dell'utente e che siano impostati per «negare tutto» a meno che non sia espressamente consentito. Questi sistemi di controllo degli accessi devono includere quanto segue: Assegnazione di privilegi alle persone in base alla classificazione e alla funzione lavorativa. | L'applicazione di una directory principale per un punto di accesso Amazon Elastic File System (Amazon EFS) aiuta a limitare l'accesso ai dati garantendo che gli utenti del punto di accesso possano raggiungere solo i file della sottodirectory specificata. | |
| 7.2.2 | Stabilisci uno o più sistemi di controllo degli accessi per i componenti di sistema che limitino l'accesso in base alle esigenze dell'utente e che siano impostati per «negare tutto» a meno che non sia espressamente consentito. Questi sistemi di controllo degli accessi devono includere quanto segue: Assegnazione di privilegi alle persone in base alla classificazione e alla funzione lavorativa. | Per facilitare l'implementazione del principio del privilegio minimo, assicurati che l'applicazione degli utenti sia abilitata per Amazon Elastic File System (Amazon EFS). Quando abilitato, Amazon EFS sostituisce gli ID utente e di gruppo del client NFS con l'identità configurata sul punto di accesso per tutte le operazioni del file system e concede l'accesso solo a questa identità utente forzata. | |
| 7.2.2 | Stabilisci uno o più sistemi di controllo degli accessi per i componenti di sistema che limitino l'accesso in base alle esigenze dell'utente e che siano impostati per «negare tutto» a meno che non sia espressamente consentito. Questi sistemi di controllo degli accessi devono includere quanto segue: Assegnazione di privilegi alle persone in base alla classificazione e alla funzione lavorativa. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati secondo i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono autenticarsi sono noti come principali. I principali esistono all'interno di un regno Kerberos. All'interno del regno, un server Kerberos è noto come Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC si autentica emettendo ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| 7.2.2 | Stabilisci uno o più sistemi di controllo degli accessi per i componenti di sistema che limitino l'accesso in base alle esigenze dell'utente e che siano impostati per «negare tutto» a meno che non sia espressamente consentito. Questi sistemi di controllo degli accessi devono includere quanto segue: Assegnazione di privilegi alle persone in base alla classificazione e alla funzione lavorativa. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms:). ReEncryptFrom I valori effettivi devono riflettere le politiche dell'organizzazione | |
| 7.2.2 | Stabilite uno o più sistemi di controllo degli accessi per i componenti di sistema che limitino l'accesso in base alle esigenze dell'utente e che siano impostati per «negare tutto» a meno che non sia espressamente consentito. Questi sistemi di controllo degli accessi devono includere quanto segue: Assegnazione di privilegi alle persone in base alla classificazione e alla funzione lavorativa. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base alle autorizzazioni associate o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| 7.2.2 | Stabilisci uno o più sistemi di controllo degli accessi per i componenti di sistema che limitino l'accesso in base all'esigenza dell'utente di conoscere e che siano impostati per «negare tutto» a meno che non sia espressamente consentito. Questi sistemi di controllo degli accessi devono includere quanto segue: Assegnazione di privilegi alle persone in base alla classificazione e alla funzione lavorativa. | Assicurati che un utente, un ruolo IAM o un gruppo IAM (AWSIdentity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWSconsiglia di utilizzare politiche gestite anziché politiche in linea. Le politiche gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms:). ReEncryptFrom I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 7.2.2 | Stabilite uno o più sistemi di controllo degli accessi per i componenti di sistema che limitino l'accesso in base alle esigenze dell'utente e che siano impostati per «negare tutto» a meno che non sia espressamente consentito. Questi sistemi di controllo degli accessi devono includere quanto segue: Assegnazione di privilegi alle persone in base alla classificazione e alla funzione lavorativa. | Assicurati che un utente, un ruolo IAM o un gruppo IAM (AWSIdentity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWSconsiglia di utilizzare politiche gestite anziché politiche in linea. Le politiche gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. | |
| 7.2.2 | Stabilisci uno o più sistemi di controllo degli accessi per i componenti di sistema che limitino l'accesso in base alle esigenze dell'utente e che siano impostati per «negare tutto» a meno che non sia espressamente consentito. Questi sistemi di controllo degli accessi devono includere quanto segue: Assegnazione di privilegi alle persone in base alla classificazione e alla funzione lavorativa. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo che le policy contengano «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 7.2.2 | Stabilisci uno o più sistemi di controllo degli accessi per i componenti di sistema che limitino l'accesso in base alle esigenze dell'utente e che siano impostati per «negare tutto» a meno che non sia espressamente consentito. Questi sistemi di controllo degli accessi devono includere quanto segue: Assegnazione di privilegi alle persone in base alla classificazione e alla funzione lavorativa. | Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 7.2.2 | Stabilisci uno o più sistemi di controllo degli accessi per i componenti di sistema che limitino l'accesso in base alle esigenze dell'utente e che siano impostati per «negare tutto» a meno che non sia espressamente consentito. Questi sistemi di controllo degli accessi devono includere quanto segue: Assegnazione di privilegi alle persone in base alla classificazione e alla funzione lavorativa. | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece AWS account basati sui ruoli per contribuire a incorporare il principio della minima funzionalità. | |
| 7.2.2 | Stabilisci uno o più sistemi di controllo degli accessi per i componenti di sistema che limitino l'accesso in base all'esigenza dell'utente di conoscere e che siano impostati per «negare tutto» a meno che non sia espressamente consentito. Questi sistemi di controllo degli accessi devono includere quanto segue: Assegnazione di privilegi alle persone in base alla classificazione e alla funzione lavorativa. | AWSIdentity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 7.2.2 | Stabilisci uno o più sistemi di controllo degli accessi per i componenti di sistema che limitino l'accesso in base alle esigenze dell'utente e che siano impostati per «negare tutto» a meno che non sia espressamente consentito. Questi sistemi di controllo degli accessi devono includere quanto segue: Assegnazione di privilegi alle persone in base alla classificazione e alla funzione lavorativa. | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o conservare privilegi eccessivi. | |
| 7.2.2 | Stabilisci uno o più sistemi di controllo degli accessi per i componenti di sistema che limitino l'accesso in base all'esigenza di conoscenza dell'utente e che siano impostati per «negare tutto» a meno che non sia espressamente consentito. Questi sistemi di controllo degli accessi devono includere quanto segue: Assegnazione di privilegi alle persone in base alla classificazione e alla funzione lavorativa. | Assicurati che il controllo granulare degli accessi sia abilitato sui tuoi domini Amazon Service. OpenSearch Il controllo granulare degli accessi fornisce meccanismi di autorizzazione avanzati per ottenere l'accesso con i privilegi minimi ai domini di Amazon Service. OpenSearch Consente il controllo degli accessi al dominio in base ai ruoli, nonché la sicurezza a livello di indice, documento e campo, il supporto per dashboard di servizio multi-tenancy e l'autenticazione di base HTTP per OpenSearch Service e Kibana. OpenSearch | |
| 7.2.3 | Impostazione predefinita «deny-all». | Questa regola verifica se le liste di controllo degli accessi (ACL) vengono utilizzate per il controllo degli accessi sui bucket Amazon S3. Gli ACL sono meccanismi di controllo degli accessi legacy per i bucket Amazon S3 AWS precedenti a Identity and Access Management (IAM). Invece degli ACL, è consigliabile utilizzare le policy IAM o le policy dei bucket S3 per gestire più facilmente l'accesso ai bucket S3. | |
| 8.1.1 | Assegna a tutti gli utenti un ID univoco prima di consentire loro di accedere ai componenti del sistema o ai dati dei titolari di carta. | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece AWS account basati sui ruoli per contribuire a incorporare il principio della minima funzionalità. | |
| 8.1.4 | Rimuovere/disabilitare gli account utente inattivi entro 90 giorni. | AWSIdentity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se vengono identificate queste credenziali non utilizzate, è necessario disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche dell'organizzazione. | |
| 8.2.1 | Utilizzando una crittografia avanzata, rendi illeggibili tutte le credenziali di autenticazione (come password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti del sistema. | Per facilitare l'implementazione del principio del privilegio minimo, assicurati che il tuo ambiente di CodeBuild progetto Amazon non abbia la modalità privilegiata abilitata. Questa impostazione deve essere disabilitata per impedire l'accesso involontario alle API Docker e all'hardware sottostante del contenitore. | |
| 8.2.1 | Utilizzando una crittografia avanzata, rendi illeggibili tutte le credenziali di autenticazione (come password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti del sistema. | Come procedura consigliata in materia di sicurezza, trasferisci le informazioni sensibili ai contenitori come variabili di ambiente. Puoi iniettare dati in modo sicuro nei tuoi contenitori Amazon Elastic Container Service (ECS) facendo riferimento ai valori memorizzati in AWS Systems Manager Parameter Store o Secrets Manager AWS nella definizione del contenitore di una definizione di attività Amazon ECS. Quindi, puoi esporre le tue informazioni sensibili come variabili di ambiente o nella configurazione di registro di un contenitore. | |
| 8.2.1 | Utilizzando una crittografia avanzata, rendi illeggibili tutte le credenziali di autenticazione (come password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti del sistema. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| 8.2.1 | Utilizzando una crittografia avanzata, rendi illeggibili tutte le credenziali di autenticazione (come password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti del sistema. | Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare che le richieste provengono da API Gateway. | |
| 8.2.1 | Utilizzando una crittografia avanzata, rendi illeggibili tutte le credenziali di autenticazione (come password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti del sistema. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché in questi volumi possono esistere dati sensibili inattivi, abilita la crittografia a riposo per proteggere tali dati. | |
| 8.2.1 | Utilizzando una crittografia avanzata, rendi illeggibili tutte le credenziali di autenticazione (come password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti del sistema. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| 8.2.1 | Utilizzando una crittografia avanzata, rendi illeggibili tutte le credenziali di autenticazione (come password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti del sistema. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon Service (Service). OpenSearch OpenSearch | |
| 8.2.1 | Utilizzando una crittografia avanzata, rendi illeggibili tutte le credenziali di autenticazione (come password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti del sistema. | Assicurati che i tuoi Elastic Load Balancer (ELB) siano configurati con listener SSL o HTTPS. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| 8.2.1 | Utilizzando una crittografia avanzata, rendi illeggibili tutte le credenziali di autenticazione (come password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti del sistema. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (Amazon EBS). | |
| 8.2.1 | Utilizzando una crittografia avanzata, rendi illeggibili tutte le credenziali di autenticazione (come password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti del sistema. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon Service. OpenSearch | |
| 8.2.1 | Utilizzando una crittografia avanzata, rendi illeggibili tutte le credenziali di autenticazione (come password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti del sistema. | Assicurati che la crittografia sia abilitata per gli snapshot di Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere anche quando sono inattivi, abilita la crittografia a riposo per proteggere tali dati. | |
| 8.2.1 | Utilizzando una crittografia avanzata, rendi illeggibili tutte le credenziali di autenticazione (come password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti del sistema. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per le tue istanze di Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere anche quando sono inattivi nelle istanze Amazon RDS, abilita la crittografia inattiva per proteggere tali dati. | |
| 8.2.1 | Utilizzando una crittografia avanzata, rendi illeggibili tutte le credenziali di autenticazione (come password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti del sistema. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di controllo deve essere abilitata per fornire informazioni sulle connessioni e sulle attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 8.2.1 | Utilizzando una crittografia avanzata, rendi illeggibili tutte le credenziali di autenticazione (come password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti del sistema. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere inattivi nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| 8.2.1 | Utilizzando una crittografia avanzata, rendi illeggibili tutte le credenziali di autenticazione (come password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti del sistema. | Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste di utilizzo di Secure Socket Layer (SSL). Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| 8.2.1 | Utilizzando una crittografia avanzata, rendi illeggibili tutte le credenziali di autenticazione (come password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti del sistema. | Assicurati che la crittografia sia abilitata per i tuoi bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere inattivi in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati. | |
| 8.2.1 | Utilizzando una crittografia avanzata, rendi illeggibili tutte le credenziali di autenticazione (come password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti del sistema. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWSKMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia a memoria inattiva per proteggere tali dati. | |
| 8.2.1 | Utilizzando una crittografia avanzata, rendi illeggibili tutte le credenziali di autenticazione (come password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti del sistema. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWSKMS) sia abilitata per il tuo notebook. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| 8.2.1 | Utilizzando una crittografia avanzata, rendi illeggibili tutte le credenziali di autenticazione (come password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti del sistema. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWSKMS) sia abilitata per AWS i segreti di Secrets Manager. Poiché nei segreti di Secrets Manager possono esistere dati sensibili inattivi, abilita la crittografia a riposo per proteggere tali dati. | |
| 8.2.1 | Utilizzando una crittografia avanzata, rendi illeggibili tutte le credenziali di autenticazione (come password/frasi) durante la trasmissione e l'archiviazione su tutti i componenti del sistema. | Per proteggere i dati archiviati, assicurati che gli argomenti di Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia AWS tramite Key Management Service AWS (KMS). Poiché i dati sensibili possono esistere anche quando sono inattivi nei messaggi pubblicati, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| 8.2.3 | Le password/passphrase devono soddisfare i seguenti requisiti: • Richiedono una lunghezza minima di almeno sette caratteri. • Contengono sia caratteri numerici che alfabetici. In alternativa, le password/passphrase devono avere una complessità e una robustezza almeno equivalenti ai parametri sopra specificati. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una politica di password IAM organizzativa. Soddisfano o superano i requisiti dichiarati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (impostazione PCI DSS: false), RequireLowercaseCharacters (impostazione PCI DSS predefinita: true), RequireSymbols (impostazione PCI DSS predefinita: false), RequireNumbers (impostazione PCI DSS predefinita: true), MinimumPasswordLength (impostazione PCI DSS predefinita: 7), PasswordReusePrevention (impostazione PCI DSS predefinita: 4) e MaxPasswordAge (impostazione PCI DSS predefinita: 90) per la politica delle password IAM. I valori effettivi devono riflettere le politiche della tua organizzazione. | |
| 8.2.4 | Modifica le password/passphrase degli utenti almeno una volta ogni 90 giorni. | Le credenziali vengono verificate per i dispositivi, gli utenti e i processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo le politiche organizzative. La modifica periodica delle chiavi di accesso è una procedura consigliata in materia di sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche dell'organizzazione. | |
| 8.2.4 | Modifica le password/passphrase degli utenti almeno una volta ogni 90 giorni. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una politica aziendale in materia di password IAM. Soddisfano o superano i requisiti dichiarati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (impostazione PCI DSS: false), RequireLowercaseCharacters (impostazione PCI DSS predefinita: true), RequireSymbols (impostazione PCI DSS predefinita: false), RequireNumbers (impostazione PCI DSS predefinita: true), MinimumPasswordLength (impostazione PCI DSS predefinita: 7), PasswordReusePrevention (impostazione PCI DSS predefinita: 4) e MaxPasswordAge (impostazione PCI DSS predefinita: 90) per la politica delle password IAM. I valori effettivi devono riflettere le politiche della tua organizzazione. | |
| 8.2.4 | Modifica le password/passphrase degli utenti almeno una volta ogni 90 giorni. | Questa regola garantisce che AWS i segreti di Secrets Manager abbiano la rotazione abilitata. La rotazione dei segreti secondo una pianificazione regolare può abbreviare il periodo di validità di un segreto e potenzialmente ridurre l'impatto aziendale se il segreto viene compromesso. | |
| 8.2.5 | Non consentite a nessuno di inviare una nuova password/passphrase uguale a una delle ultime quattro password/passphrase che ha utilizzato. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una politica aziendale in materia di password IAM. Soddisfano o superano i requisiti dichiarati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (impostazione PCI DSS: false), RequireLowercaseCharacters (impostazione PCI DSS predefinita: true), RequireSymbols (impostazione PCI DSS predefinita: false), RequireNumbers (impostazione PCI DSS predefinita: true), MinimumPasswordLength (impostazione PCI DSS predefinita: 7), PasswordReusePrevention (impostazione PCI DSS predefinita: 4) e MaxPasswordAge (impostazione PCI DSS predefinita: 90) per la politica delle password IAM. I valori effettivi devono riflettere le politiche della tua organizzazione. | |
| 8.3.1 | Incorpora l'autenticazione a più fattori per tutti gli accessi non connessi alla console nel CDE per il personale con accesso amministrativo. | Abilita questa regola per limitare l'accesso alle risorse nel cloud. AWS Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti di account compromessi richiedendo l'autenticazione a più fattori per gli utenti. | |
| 8.3.1 | Incorpora l'autenticazione a più fattori per tutti gli accessi diversi dalla console nel CDE per il personale con accesso amministrativo. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo l'autenticazione a più fattori per gli utenti, è possibile ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| 8.3.1 | Incorpora l'autenticazione a più fattori per tutti gli accessi non da console nel CDE per il personale con accesso amministrativo. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che la MFA hardware sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un AWS account. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre gli incidenti dovuti alla compromissione degli account. AWS | |
| 8.3.1 | Incorpora l'autenticazione a più fattori per tutti gli accessi non da console nel CDE per il personale con accesso amministrativo. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un AWS account. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre gli incidenti dovuti alla compromissione degli account. AWS | |
| 8.3.2 | Incorpora l'autenticazione a più fattori per tutti gli accessi remoti alla rete (utente e amministratore, incluso l'accesso di terze parti per il supporto o la manutenzione) provenienti dall'esterno della rete dell'entità. | Abilita questa regola per limitare l'accesso alle risorse nel AWS cloud. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti di account compromessi richiedendo l'autenticazione a più fattori per gli utenti. | |
| 8.3.2 | Incorpora l'autenticazione a più fattori per tutti gli accessi remoti alla rete (utenti e amministratori, incluso l'accesso di terze parti per il supporto o la manutenzione) provenienti dall'esterno della rete dell'entità. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo l'autenticazione a più fattori per gli utenti, è possibile ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| 8.3.2 | Incorpora l'autenticazione a più fattori per tutti gli accessi remoti alla rete (utenti e amministratori, incluso l'accesso di terze parti per il supporto o la manutenzione) provenienti dall'esterno della rete dell'entità. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che la MFA hardware sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un AWS account. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre gli incidenti dovuti alla compromissione degli account. AWS | |
| 8.3.2 | Incorpora l'autenticazione a più fattori per tutti gli accessi remoti alla rete (utente e amministratore, incluso l'accesso di terze parti per il supporto o la manutenzione) provenienti dall'esterno della rete dell'entità. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un AWS account. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre gli incidenti dovuti alla compromissione degli account. AWS | |
| 10.1 | Implementa gli audit trail per collegare tutti gli accessi ai componenti del sistema a ogni singolo utente. | La registrazione di API Gateway mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso all'API. Queste informazioni consentono la visibilità delle attività degli utenti. | |
| 10.1 | Implementa gli audit trail per collegare tutti gli accessi ai componenti del sistema a ogni singolo utente. | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| 10.1 | Implementate gli audit trail per collegare tutti gli accessi ai componenti del sistema a ogni singolo utente. | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamatiAWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di registro contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| 10.1 | Implementa gli audit trail per collegare tutti gli accessi ai componenti del sistema a ogni singolo utente. | La registrazione degli accessi al server di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi vengono monitorati acquisendo record dettagliati per le richieste effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'azione della richiesta, lo stato della risposta e un codice di errore, se pertinente. | |
| 10.1 | Implementa gli audit trail per collegare tutti gli accessi ai componenti del sistema a ogni singolo utente. | I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita, il record del log di flusso include i valori per i diversi componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| 10.1 | Implementa gli audit trail per collegare tutti gli accessi ai componenti del sistema a ogni singolo utente. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sugli ACL web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dal tuo ACL web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| 10.1 | Implementa gli audit trail per collegare tutti gli accessi ai componenti del sistema a ogni singolo utente. | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione e le chiamate API. AWS È possibile identificare gli utenti e gli AWS account che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| 10.1 | Implementa gli audit trail per collegare tutti gli accessi ai componenti del sistema a ogni singolo utente. | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni sull'AWSaccount che ha effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| 10.1 | Implementa gli audit trail per collegare tutti gli accessi ai componenti del sistema a ogni singolo utente. | Assicurati che la registrazione AWS CodeBuild del progetto sia abilitata in modo che i log di output della build vengano inviati ad Amazon CloudWatch o Amazon Simple Storage Service (Amazon S3). I log di output della build forniscono informazioni dettagliate sul progetto di compilazione. | |
| 10.1 | Implementa gli audit trail per collegare tutti gli accessi ai componenti del sistema a ogni singolo utente. | Assicurati che i registri degli errori nei domini Amazon OpenSearch Service siano abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| 10.1 | Implementa gli audit trail per collegare tutti gli accessi ai componenti del sistema a ogni singolo utente. | Assicurati che la registrazione di controllo sia abilitata sui tuoi domini Amazon OpenSearch Service. La registrazione di controllo ti consente di tenere traccia delle attività degli utenti sui tuoi OpenSearch domini, compresi i successi e gli errori di autenticazione, le richieste, le modifiche all'indicizzazione e le query di OpenSearch ricerca in arrivo. | |
| 10.1 | Implementa gli audit trail per collegare tutti gli accessi ai componenti del sistema a ogni singolo utente. | Assicurati che i registri degli errori nei domini Amazon OpenSearch Service siano abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| 10.1 | Implementa gli audit trail per collegare tutti gli accessi ai componenti del sistema a ogni singolo utente. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| 10.1 | Implementa gli audit trail per collegare tutti gli accessi ai componenti del sistema a ogni singolo utente. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di controllo deve essere abilitata per fornire informazioni sulle connessioni e sulle attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 10.2.1 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tutti gli accessi dei singoli utenti ai dati dei titolari di carta | La registrazione di API Gateway mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso all'API. Queste informazioni consentono la visibilità delle attività degli utenti. | |
| 10.2.1 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tutti gli accessi dei singoli utenti ai dati dei titolari di carta | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamatiAWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di registro contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| 10.2.1 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tutti gli accessi dei singoli utenti ai dati dei titolari di carta | La registrazione degli accessi al server di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi vengono monitorati acquisendo record dettagliati per le richieste effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'azione della richiesta, lo stato della risposta e un codice di errore, se pertinente. | |
| 10.2.1 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tutti gli accessi dei singoli utenti ai dati dei titolari di carta | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione e le chiamate API. AWS È possibile identificare gli utenti e gli AWS account che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| 10.2.1 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tutti gli accessi dei singoli utenti ai dati dei titolari di carta | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni sull'AWSaccount che ha effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| 10.2.1 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tutti gli accessi dei singoli utenti ai dati dei titolari di carta | Assicurati che la registrazione AWS CodeBuild del progetto sia abilitata in modo che i log di output della build vengano inviati ad Amazon CloudWatch o Amazon Simple Storage Service (Amazon S3). I log di output della build forniscono informazioni dettagliate sul progetto di compilazione. | |
| 10.2.1 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tutti gli accessi dei singoli utenti ai dati dei titolari di carta | Assicurati che i registri degli errori nei domini Amazon OpenSearch Service siano abilitati e trasmessi in streaming ad Amazon Logs per la conservazione e la risposta. CloudWatch I log degli errori di dominio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| 10.2.1 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tutti gli accessi dei singoli utenti ai dati dei titolari di carta | Assicurati che la registrazione di controllo sia abilitata sui tuoi domini Amazon Service. OpenSearch La registrazione di controllo ti consente di tenere traccia delle attività degli utenti sui tuoi OpenSearch domini, compresi i successi e gli errori di autenticazione, le richieste, le modifiche all'indicizzazione e le query di OpenSearch ricerca in arrivo. | |
| 10.2.1 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tutti gli accessi dei singoli utenti ai dati dei titolari di carta | Assicurati che i registri degli errori nei domini Amazon OpenSearch Service siano abilitati e trasmessi in streaming ad Amazon Logs per la conservazione e la risposta. CloudWatch OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| 10.2.1 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tutti gli accessi dei singoli utenti ai dati dei titolari di carta | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| 10.2.1 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tutti gli accessi dei singoli utenti ai dati dei titolari di carta | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di controllo deve essere abilitata per fornire informazioni sulle connessioni e sulle attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 10.2.2 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tutte le azioni intraprese da qualsiasi individuo con privilegi di root o amministrativo | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamatiAWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di registro contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| 10.2.2 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tutte le azioni intraprese da qualsiasi individuo con privilegi di root o amministrativo | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione e le chiamate API. AWS È possibile identificare gli utenti e gli AWS account che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| 10.2.2 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tutte le azioni intraprese da qualsiasi individuo con privilegi di root o amministrativo | Assicurati che la registrazione AWS CodeBuild del progetto sia abilitata in modo che i log di output della build vengano inviati ad Amazon CloudWatch o Amazon Simple Storage Service (Amazon S3). I log di output della build forniscono informazioni dettagliate sul progetto di compilazione. | |
| 10.2.2 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tutte le azioni intraprese da qualsiasi individuo con privilegi di root o amministrativo | Assicurati che i registri degli errori nei domini di Amazon OpenSearch Service siano abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| 10.2.2 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tutte le azioni intraprese da qualsiasi individuo con privilegi di root o amministrativo | Assicurati che la registrazione di controllo sia abilitata sui tuoi domini Amazon Service. OpenSearch La registrazione di controllo ti consente di tenere traccia delle attività degli utenti sui tuoi OpenSearch domini, compresi i successi e gli errori di autenticazione, le richieste, le modifiche all'indicizzazione e le query di OpenSearch ricerca in arrivo. | |
| 10.2.2 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tutte le azioni intraprese da qualsiasi individuo con privilegi di root o amministrativo | Assicurati che i registri degli errori nei domini di Amazon OpenSearch Service siano abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| 10.2.2 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tutte le azioni intraprese da qualsiasi individuo con privilegi di root o amministrativo | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| 10.2.2 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tutte le azioni intraprese da qualsiasi individuo con privilegi di root o amministrativo | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di controllo deve essere abilitata per fornire informazioni sulle connessioni e sulle attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 10.2.3 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Accesso a tutti gli audit trail | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamatiAWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di registro contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| 10.2.3 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Accesso a tutti gli audit trail | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione e le chiamate API. AWS È possibile identificare gli utenti e gli AWS account che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| 10.2.3 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Accesso a tutti gli audit trail | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni sull'AWSaccount che ha effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| 10.2.3 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Accesso a tutti gli audit trail | Assicurati che la registrazione AWS CodeBuild del progetto sia abilitata in modo che i log di output della build vengano inviati ad Amazon CloudWatch o Amazon Simple Storage Service (Amazon S3). I log di output della build forniscono informazioni dettagliate sul progetto di compilazione. | |
| 10.2.3 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Accesso a tutti gli audit trail | Assicurati che i domini Amazon OpenSearch Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| 10.2.3 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Accesso a tutti gli audit trail | Assicurati che la registrazione di audit sia abilitata sui tuoi domini Amazon OpenSearch Service. La registrazione di controllo ti consente di tenere traccia delle attività degli utenti sui tuoi OpenSearch domini, compresi i successi e gli errori di autenticazione, le richieste, le modifiche all'indicizzazione e le query di OpenSearch ricerca in arrivo. | |
| 10.2.3 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Accesso a tutti gli audit trail | Assicurati che i domini Amazon OpenSearch Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| 10.2.3 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Accesso a tutti gli audit trail | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| 10.2.3 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Accesso a tutti gli audit trail | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di controllo deve essere abilitata per fornire informazioni sulle connessioni e sulle attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 10.2.3 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Accesso a tutti gli audit trail | La registrazione degli accessi al server di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi vengono monitorati acquisendo record dettagliati per le richieste effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'azione della richiesta, lo stato della risposta e un codice di errore, se pertinente. | |
| 10.2.4 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tentativi di accesso logico non validi | La registrazione di API Gateway mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso all'API. Queste informazioni consentono la visibilità delle attività degli utenti. | |
| 10.2.4 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tentativi di accesso logico non validi | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamatiAWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di registro contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| 10.2.4 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tentativi di accesso logico non validi | La registrazione degli accessi al server di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi vengono monitorati acquisendo record dettagliati per le richieste effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'azione della richiesta, lo stato della risposta e un codice di errore, se pertinente. | |
| 10.2.4 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tentativi di accesso logico non validi | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione e le chiamate API. AWS È possibile identificare gli utenti e gli AWS account che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| 10.2.4 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tentativi di accesso logico non validi | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni sull'AWSaccount che ha effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| 10.2.4 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tentativi di accesso logico non validi | Assicurati che la registrazione AWS CodeBuild del progetto sia abilitata in modo che i log di output della build vengano inviati ad Amazon CloudWatch o Amazon Simple Storage Service (Amazon S3). I log di output della build forniscono informazioni dettagliate sul progetto di compilazione. | |
| 10.2.4 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tentativi di accesso logico non validi | Assicurati che i registri degli errori nei domini Amazon OpenSearch Service siano abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| 10.2.4 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tentativi di accesso logico non validi | Assicurati che la registrazione di controllo sia abilitata sui tuoi domini Amazon Service. OpenSearch La registrazione di controllo ti consente di tenere traccia delle attività degli utenti sui tuoi OpenSearch domini, compresi i successi e gli errori di autenticazione, le richieste, le modifiche all'indicizzazione e le query di OpenSearch ricerca in arrivo. | |
| 10.2.4 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tentativi di accesso logico non validi | Assicurati che i registri degli errori nei domini Amazon OpenSearch Service siano abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| 10.2.4 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tentativi di accesso logico non validi | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| 10.2.4 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Tentativi di accesso logico non validi | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di controllo deve essere abilitata per fornire informazioni sulle connessioni e sulle attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 10.2.5 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: utilizzo e modifiche ai meccanismi di identificazione e autenticazione, inclusi, a titolo esemplificativo ma non esaustivo, la creazione di nuovi account e l'elevazione dei privilegi, e tutte le modifiche, aggiunte o eliminazioni agli account con privilegi root o amministrativi | AWS CloudTrail AWSregistra le azioni della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamatiAWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di registro contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| 10.2.5 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: utilizzo e modifiche ai meccanismi di identificazione e autenticazione, inclusi, a titolo esemplificativo ma non esaustivo, la creazione di nuovi account e l'elevazione dei privilegi, e tutte le modifiche, aggiunte o eliminazioni agli account con privilegi root o amministrativi | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione e le chiamate API. AWS È possibile identificare gli utenti e gli AWS account che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| 10.2.5 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: utilizzo e modifiche ai meccanismi di identificazione e autenticazione, inclusi, a titolo esemplificativo ma non esaustivo, la creazione di nuovi account e l'elevazione dei privilegi, e tutte le modifiche, aggiunte o eliminazioni agli account con privilegi root o amministrativi | Assicurati che la registrazione AWS CodeBuild del progetto sia abilitata in modo che i log di output della build vengano inviati ad Amazon CloudWatch o Amazon Simple Storage Service (Amazon S3). I log di output della build forniscono informazioni dettagliate sul progetto di compilazione. | |
| 10.2.5 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: utilizzo e modifiche ai meccanismi di identificazione e autenticazione, inclusi, a titolo esemplificativo ma non esaustivo, la creazione di nuovi account e l'elevazione dei privilegi, e tutte le modifiche, aggiunte o eliminazioni agli account con privilegi root o amministrativi | Assicurati che i domini di Amazon OpenSearch Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon Logs per la conservazione e la risposta. CloudWatch I log degli errori di dominio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| 10.2.5 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: utilizzo e modifiche ai meccanismi di identificazione e autenticazione, inclusi, a titolo esemplificativo ma non esaustivo, la creazione di nuovi account e l'elevazione dei privilegi, e tutte le modifiche, aggiunte o eliminazioni agli account con privilegi root o amministrativi | Assicurati che la registrazione di controllo sia abilitata sui tuoi domini Amazon Service. OpenSearch La registrazione di controllo ti consente di tenere traccia delle attività degli utenti sui tuoi OpenSearch domini, compresi i successi e gli errori di autenticazione, le richieste, le modifiche all'indicizzazione e le query di OpenSearch ricerca in arrivo. | |
| 10.2.5 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: utilizzo e modifiche ai meccanismi di identificazione e autenticazione, inclusi, a titolo esemplificativo ma non esaustivo, la creazione di nuovi account e l'elevazione dei privilegi, e tutte le modifiche, aggiunte o eliminazioni agli account con privilegi root o amministrativi | Assicurati che i domini di Amazon OpenSearch Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon Logs per la conservazione e la risposta. CloudWatch OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| 10.2.5 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: utilizzo e modifiche ai meccanismi di identificazione e autenticazione, inclusi, a titolo esemplificativo ma non esaustivo, la creazione di nuovi account e l'elevazione dei privilegi, e tutte le modifiche, aggiunte o eliminazioni agli account con privilegi root o amministrativi | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| 10.2.5 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: utilizzo e modifiche ai meccanismi di identificazione e autenticazione, inclusi, a titolo esemplificativo ma non esaustivo, la creazione di nuovi account e l'elevazione dei privilegi, e tutte le modifiche, aggiunte o eliminazioni agli account con privilegi root o amministrativi | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di controllo deve essere abilitata per fornire informazioni sulle connessioni e sulle attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 10.2.6 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: inizializzazione, arresto o sospensione dei registri di controllo | AWS CloudTrail registra le azioni della console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamatiAWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di registro contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| 10.2.6 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: inizializzazione, arresto o sospensione dei registri di controllo | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione e le chiamate API. AWS È possibile identificare gli utenti e gli AWS account che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| 10.2.6 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: inizializzazione, arresto o sospensione dei registri di controllo | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| 10.2.7 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Creazione ed eliminazione di oggetti a livello di sistema | La registrazione di API Gateway mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso all'API. Queste informazioni consentono la visibilità delle attività degli utenti. | |
| 10.2.7 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Creazione ed eliminazione di oggetti a livello di sistema | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamatiAWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di registro contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| 10.2.7 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Creazione ed eliminazione di oggetti a livello di sistema | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione e le chiamate API. AWS È possibile identificare gli utenti e gli AWS account che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| 10.2.7 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Creazione ed eliminazione di oggetti a livello di sistema | Assicurati che i registri degli errori nei domini Amazon OpenSearch Service siano abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| 10.2.7 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Creazione ed eliminazione di oggetti a livello di sistema | Assicurati che la registrazione di controllo sia abilitata sui tuoi domini Amazon OpenSearch Service. La registrazione di controllo ti consente di tenere traccia delle attività degli utenti sui tuoi OpenSearch domini, compresi i successi e gli errori di autenticazione, le richieste, le modifiche all'indicizzazione e le query di OpenSearch ricerca in arrivo. | |
| 10.2.7 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Creazione ed eliminazione di oggetti a livello di sistema | Assicurati che i registri degli errori nei domini Amazon OpenSearch Service siano abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| 10.2.7 | Implementa percorsi di controllo automatizzati per tutti i componenti del sistema per ricostruire i seguenti eventi: Creazione ed eliminazione di oggetti a livello di sistema | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| 10.3.1 | Registrare almeno le seguenti voci di audit trail per tutti i componenti del sistema per ogni evento: Identificazione dell'utente | La registrazione di API Gateway mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso all'API. Queste informazioni consentono la visibilità delle attività degli utenti. | |
| 10.3.1 | Registrare almeno le seguenti voci di audit trail per tutti i componenti del sistema per ogni evento: Identificazione dell'utente | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| 10.3.1 | Registrare almeno le seguenti voci di audit trail per tutti i componenti del sistema per ogni evento: Identificazione dell'utente | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamatiAWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di registro contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| 10.3.1 | Registrare almeno le seguenti voci di audit trail per tutti i componenti del sistema per ogni evento: Identificazione dell'utente | La registrazione degli accessi al server di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi vengono monitorati acquisendo record dettagliati per le richieste effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'azione della richiesta, lo stato della risposta e un codice di errore, se pertinente. | |
| 10.3.1 | Registrare almeno le seguenti voci di audit trail per tutti i componenti del sistema per ogni evento: Identificazione dell'utente | I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita, il record del log di flusso include i valori per i diversi componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| 10.3.1 | Registrare almeno le seguenti voci di audit trail per tutti i componenti del sistema per ogni evento: Identificazione dell'utente | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sugli ACL web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dal tuo ACL web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| 10.3.1 | Registrare almeno le seguenti voci di audit trail per tutti i componenti del sistema per ogni evento: Identificazione dell'utente | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione e le chiamate API. AWS È possibile identificare gli utenti e gli AWS account che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| 10.3.1 | Registrare almeno le seguenti voci di audit trail per tutti i componenti del sistema per ogni evento: Identificazione dell'utente | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni sull'AWSaccount che ha effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| 10.3.1 | Registrare almeno le seguenti voci di audit trail per tutti i componenti del sistema per ogni evento: Identificazione dell'utente | Assicurati che la registrazione AWS CodeBuild del progetto sia abilitata in modo che i log di output della build vengano inviati ad Amazon CloudWatch o Amazon Simple Storage Service (Amazon S3). I log di output della build forniscono informazioni dettagliate sul progetto di compilazione. | |
| 10.3.1 | Registrare almeno le seguenti voci di audit trail per tutti i componenti del sistema per ogni evento: Identificazione dell'utente | Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| 10.3.1 | Registrare almeno le seguenti voci di audit trail per tutti i componenti del sistema per ogni evento: Identificazione dell'utente | Assicurati che la registrazione di controllo sia abilitata sui tuoi domini Amazon OpenSearch Service. La registrazione di controllo ti consente di tenere traccia delle attività degli utenti sui tuoi OpenSearch domini, compresi i successi e gli errori di autenticazione, le richieste, le modifiche all'indicizzazione e le query di OpenSearch ricerca in arrivo. | |
| 10.3.1 | Registrare almeno le seguenti voci di audit trail per tutti i componenti del sistema per ogni evento: Identificazione dell'utente | Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| 10.3.1 | Registrare almeno le seguenti voci di audit trail per tutti i componenti del sistema per ogni evento: Identificazione dell'utente | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| 10.3.1 | Registrare almeno le seguenti voci di audit trail per tutti i componenti del sistema per ogni evento: Identificazione dell'utente | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di controllo deve essere abilitata per fornire informazioni sulle connessioni e sulle attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 10.5 | Proteggi gli audit trail in modo che non possano essere modificati. | Poiché possono esistere dati sensibili e per contribuire a proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CloudTrail percorsi. | |
| 10.5 | Proteggi gli audit trail in modo che non possano essere modificati. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere inattivi nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| 10.5 | Proteggi gli audit trail in modo che non possano essere modificati. | Assicurati che la crittografia sia abilitata per i tuoi bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere inattivi in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati. | |
| 10.5.2 | Proteggi i file di audit trail da modifiche non autorizzate. | Poiché possono esistere dati sensibili e per contribuire a proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CloudTrail percorsi. | |
| 10.5.2 | Proteggi i file di audit trail da modifiche non autorizzate. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere inattivi nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| 10.5.2 | Proteggi i file di audit trail da modifiche non autorizzate. | Assicurati che la crittografia sia abilitata per i tuoi bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere inattivi in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati. | |
| 10.5.3 | Eseguite tempestivamente il backup dei file di audit trail su un server di registro centralizzato o su un supporto difficile da modificare. | Assicurati che le politiche del ciclo di vita di Amazon S3 siano configurate per aiutare a definire le azioni che desideri che Amazon S3 intraprenda durante la vita di un oggetto (ad esempio, trasferire oggetti a un'altra classe di storage, archiviarli o eliminarli dopo un periodo di tempo specificato). | |
| 10.5.3 | Eseguite tempestivamente il backup dei file di audit trail su un server di registro centralizzato o su un supporto difficile da modificare. | Per facilitare i processi di backup dei dati, assicurati che il piano di AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. Questa regola consente di impostare i parametri requiredFrequencyValue (Config default: 1), ( requiredRetentionDays Config default: 35) e ( requiredFrequencyUnit Config default: days). Il valore effettivo dovrebbe riflettere i requisiti della tua organizzazione. | |
| 10.5.3 | Eseguite tempestivamente il backup dei file di audit trail su un server di registro centralizzato o su un supporto difficile da modificare. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo AWS account. | |
| 10.5.3 | Eseguite tempestivamente il backup dei file di audit trail su un server di registro centralizzato o su un supporto difficile da modificare. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR consente la copia automatica e asincrona degli oggetti tra i bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati. | |
| 10.5.5 | Utilizzate un software di monitoraggio dell'integrità dei file o di rilevamento delle modifiche nei registri per garantire che i dati di registro esistenti non possano essere modificati senza generare avvisi (sebbene l'aggiunta di nuovi dati non dovrebbe causare un avviso). | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei log. CloudTrail La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| 10.5.5 | Utilizzate un software di monitoraggio dell'integrità dei file o di rilevamento delle modifiche nei registri per garantire che i dati di registro esistenti non possano essere modificati senza generare avvisi (sebbene l'aggiunta di nuovi dati non dovrebbe causare un avviso). | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa il controllo delle versioni per conservare, recuperare e ripristinare ogni versione di ogni oggetto archiviato nel tuo bucket Amazon S3. Il controllo delle versioni ti aiuta a ripristinare facilmente le azioni involontarie degli utenti e gli errori delle applicazioni. | |
| 10.7 | Conserva la cronologia degli audit trail per almeno un anno, con un minimo di tre mesi immediatamente disponibile per l'analisi (ad esempio online, archiviata o ripristinabile dal backup). | Assicurati che le politiche del ciclo di vita di Amazon S3 siano configurate per aiutare a definire le azioni che desideri che Amazon S3 intraprenda durante la vita di un oggetto (ad esempio, trasferire oggetti a un'altra classe di storage, archiviarli o eliminarli dopo un periodo di tempo specificato). | |
| 10.7 | Conserva la cronologia degli audit trail per almeno un anno, con un minimo di tre mesi immediatamente disponibili per l'analisi (ad esempio online, archiviata o ripristinabile dal backup). | Per facilitare i processi di backup dei dati, assicurati che il piano di AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. Questa regola consente di impostare i parametri requiredFrequencyValue (Config default: 1), ( requiredRetentionDays Config default: 35) e ( requiredFrequencyUnit Config default: days). Il valore effettivo dovrebbe riflettere i requisiti della tua organizzazione. | |
| 11.2.3 | Eseguite scansioni interne ed esterne e, se necessario, ripetete le scansioni dopo ogni modifica significativa. Le scansioni devono essere eseguite da personale qualificato. | La scansione delle immagini di Amazon Elastic Container Repository (ECR) aiuta a identificare le vulnerabilità del software nelle immagini dei container. L'abilitazione della scansione delle immagini negli archivi ECR aggiunge un livello di verifica dell'integrità e della sicurezza delle immagini archiviate. | |
| 11.4 | Utilizzate tecniche di rilevamento e/o prevenzione delle intrusioni per rilevare e/o prevenire le intrusioni nella rete. Monitora tutto il traffico lungo il perimetro dell'ambiente di dati del titolare della carta e nei punti critici dell'ambiente di dati del titolare della carta e avvisa il personale in caso di sospette compromissioni. Mantieni aggiornati tutti i motori, le linee di base e le firme per il rilevamento e la prevenzione delle intrusioni. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| 11.4 | Utilizza tecniche di rilevamento e/o prevenzione delle intrusioni per rilevare e/o prevenire le intrusioni nella rete. Monitora tutto il traffico lungo il perimetro dell'ambiente di dati del titolare della carta e nei punti critici dell'ambiente di dati del titolare della carta e avvisa il personale in caso di sospette compromissioni. Mantieni aggiornati tutti i motori, le linee di base e le firme per il rilevamento e la prevenzione delle intrusioni. | Una policy AWS Network Firewall definisce il modo in cui il firewall monitora e gestisce il traffico in un Amazon VPC. Puoi configurare gruppi di regole stateless e stateful per filtrare pacchetti e flussi di traffico e definire la gestione del traffico predefinita. | |
| 11.5 | Implementate un meccanismo di rilevamento delle modifiche (ad esempio strumenti di monitoraggio dell'integrità dei file) per avvisare il personale in caso di modifiche non autorizzate (incluse modifiche, aggiunte ed eliminazioni) di file di sistema, file di configurazione o file di contenuto critici e configurate il software per eseguire confronti tra file critici almeno una volta alla settimana. | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei log. CloudTrail La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| 11.5 | Implementate un meccanismo di rilevamento delle modifiche (ad esempio strumenti di monitoraggio dell'integrità dei file) per avvisare il personale in caso di modifiche non autorizzate (incluse modifiche, aggiunte ed eliminazioni) di file di sistema, file di configurazione o file di contenuto critici; e configurate il software per eseguire confronti tra file critici almeno una volta alla settimana. | AWSSecurity Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS |
Modello
Il modello è disponibile su GitHub: Operational Best Practices for PCI
