Best practice operative per NYDFS 23 - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice operative per NYDFS 23

I pacchetti di conformità forniscono un framework di conformità generico progettato per consentire di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando gestiti o personalizzatiAWS Configregole eAWS Configazioni di bonifica. I Conformance Pack, come modelli di esempio, non sono progettati per garantire la piena conformità con uno standard di governance o uno standard di conformità. L'utente è responsabile di valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.

Di seguito viene fornito un esempio di mappatura tra i requisiti di sicurezza informatica del New York State Department Of Financial Services (NYDFS) per le società di servizi finanziari (23 NYCRR 500) eAWSRegole Config gestite. CiascunaAWS Configregola si applica a uno specificoAWSrisorsa e si riferisce a uno o più controlli NYDFS statunitensi. Un controllo NYDFS 23 NYCRR 500 statunitense può essere correlato a più regole di Config. Fare riferimento alla tabella sottostante per ulteriori dettagli e indicazioni relative a queste mappature.

Regione AWS:Tutto supportatoRegioni AWStranne Medio Oriente (Bahrain)

ID controllo Descrizione del controllo Regola AWS Config Linee guida di
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

acm-certificate-expiration-check

Assicurati che l'integrità della rete sia protetta assicurando che i certificati X509 vengano emessi da AWS ACM. Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore perdaysToExpiration(Valore delle Best Practices AWS Foundational Security Best Practices: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

api-gw-cache-enabled-and-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per la cache della fase API Gateway. Poiché i dati sensibili possono essere acquisiti per il metodo API, abilitare la crittografia a riposo per proteggere tali dati.
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

cloud-trail-encryption-enabled

Poiché potrebbero esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo AWSCloudTrailsentieri.
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

cloudwatch-log-group-encrypted

Per proteggere i dati sensibili a riposo, assicurati che la crittografia sia abilitata per il tuo AmazonCloudWatchGruppi di log di.
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

efs-encrypted-check

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo Amazon Elastic File System (EFS).
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

elasticsearch-encrypted-at-rest

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per AmazonOpenSearchService (Servizio)OpenSearchDomini Service).
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

encrypted-volumes

Poiché possono esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS).
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

rds-storage-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati.
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

S3-bucket-server-side-encryption-enabled

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati.
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

s3-bucket-ssl-requests-only

Per proteggere i dati durante il transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

sagemaker-endpoint-configuration-kms-key-configured

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuoSageMakerEndpoint. Perché i dati sensibili possono esistere a riposoSageMakerendpoint, abilita la crittografia a riposo per proteggere tali dati.
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

sagemaker-notebook-instance-kms-key-configurato

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuoSageMakernotebook. Perché i dati sensibili possono esistere a riposoSageMakernotebook, abilita la crittografia a riposo per proteggere tali dati.
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

sns-encrypted-kms

Per proteggere i dati a riposo, assicurati che gli argomenti Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Poiché i dati sensibili possono esistere a riposo nei messaggi pubblicati, abilitare la crittografia a riposo per proteggere tali dati.
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

ec2-ebs-encryption-by-default

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati.
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

rds-snapshot-encrypted

Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

alb-http-drop-invalid-header-enabled

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati per eliminare le intestazioni http. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantirenode-to-nodecrittografia per AmazonOpenSearchIl servizio è abilitato. Node-to-nodeconsente la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

cloud-trail-log-file-validation-enabled

Utilizzo di AWSCloudTrailconvalida del file di log per verificare l'integrità diCloudTrailregistri. La convalida del file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o invariato dopoCloudTraill'ha consegnato. Questa funzione è costruita utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende impossibile, a livello di programmazione, qualsiasi operazione di modifica, eliminazione o contraffazione dei file di log di CloudTrail senza che tale operazione venga rilevata.
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling utilizza il servizio AWS Application Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In questo modo una tabella o un indice secondario globale può aumentare la capacità di lettura/scrittura assegnata per gestire improvvisi aumenti di traffico senza limitazioni.
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

elb-deletion-protection-enabled

Questa regola assicura che Elastic Load Balancing abbia la protezione da eliminazione abilitata. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni.
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

rds-multi-az-support

Il supporto Multi-AZ in Amazon Relational Database Service (Amazon RDS) fornisce maggiore disponibilità e durata per le istanze di database. Quando esegui il provisioning di un'istanza di database Multi-AZ, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati in un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura fisicamente distinta e indipendente ed è progettata per essere altamente affidabile. In caso di guasto all'infrastruttura, Amazon RDS esegue un failover automatico sullo standby in modo da poter riprendere le operazioni del database non appena il failover è stato completato.
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

s3-bucket-default-lock-enabled

Assicurati che il bucket Amazon Simple Storage Service (Amazon S3) abbia il blocco abilitato, per impostazione predefinita. Poiché i dati sensibili possono esistere a riposo nei bucket S3, applica i blocchi degli oggetti a riposo per proteggere tali dati.
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

vpc-vpn-2-tunnels-up

I tunnel Site-to-Site VPN ridondanti possono essere implementati per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso una delle connessioni Site-to-Site VPN non sia disponibile. Per evitare la perdita di connettività, nel caso in cui il gateway del cliente non sia disponibile, puoi configurare una seconda connessione Site-to-Site VPN al tuo Amazon Virtual Private Cloud (Amazon VPC) e al gateway virtuale privato utilizzando un secondo gateway del cliente.
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

elb-cross-zone-load-balancing-abilitato

Abilita il bilanciamento del carico tra zone per i tuoi Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il sistema di bilanciamento del carico tra zone riduce la necessità di mantenere un numero equivalente di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità dell'applicazione di gestire la perdita di una o più istanze.
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

rds-instance-deletion-protection-enabled

Assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) abbiano la protezione da eliminazione abilitata. Utilizza la protezione dall'eliminazione per evitare che le tue istanze Amazon RDS vengano cancellate accidentalmente o dannosamente, il che può comportare una perdita di disponibilità per le tue applicazioni.
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

autoscaling-group-elb-healthcheck-required

I controlli dello stato Elastic Load Balancer (ELB) per i gruppi Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) supportano il mantenimento di capacità e disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ping, effettua tentativi di connessione o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo di auto-scaling. Se un'istanza non viene segnalata, il traffico viene inviato a una nuova istanza Amazon EC2.
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

beanstalk-potenziato-health reporting-abilitato

Il reporting dello stato avanzato di AWS Elastic Beanstalk consente una risposta più rapida ai cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione. Elastic Beanstalk migliorata segnalazione dello stato fornisce un descrittore di stato per valutare la gravità dei problemi identificati e identificare le possibili cause da indagare.
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

dynamodb-table-encrypted-kms

Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Poiché i dati sensibili possono esistere a riposo in queste tabelle, abilitare la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con una chiave master cliente di proprietà AWS (CMK).
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

ec2-instance-detailed-monitoring-enabled

Abilita questa regola per migliorare il monitoraggio dell'istanza Amazon Elastic Compute Cloud (Amazon EC2) nella console Amazon EC2, che visualizza grafici di monitoraggio relativi all'istanza a intervalli di 1 minuto.
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

elbv2-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette la possibilità di impostare laignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

s3-default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo in un bucket Amazon S3, abilitare la crittografia a riposo per proteggere tali dati.
500.02 (a) (a) Programma di sicurezza informatica. Ciascuna Entità coperta deve mantenere un programma di sicurezza informatica progettato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi informativi dell'Entità coperta.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono eseguire l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. L'autenticazione KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(valore delle best practice AWS Foundational Security Best Practices: true),RequireNumbers(valore delle best practice AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Operazione» :"*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce l'attivazione dell'autenticazione a più fattori (MFA) per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano associate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

s3-bucket-policy-grantee-check

Gestisci l'accesso al cloud AWS abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 è limitato da qualsiasi principale di AWS, dagli utenti federati, dai principali dei servizi, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti dall'utente.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

ec2-imdsv2 - controllo

Verifica che il metodo IMDSv2 (Instance Metadata Service Versione 2) sia abilitato per proteggere l'accesso e il controllo dei metadati dell'istanza Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati su sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che non sia possibile accedere pubblicamente alle istanze Amazon Elastic Compute Cloud (Amazon EC2). Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (Servizio)OpenSearchI domini Service) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizi e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non permettere l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

ec2-instances-in-vpc

Utilizza istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nell'Amazon VPC, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

internet-gateway-authorized-vpc-only

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud autorizzato (Amazon VPC). I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

lambda-inside-vpc

Utilizza le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi nell'Amazon VPC. Con questa configurazione, non è necessario disporre di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

s3-bucket-public-read-prohibited

Gestisci l'accesso alle risorse nel cloud AWS consentendo solo agli utenti, ai processi e ai dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

s3-bucket-public-write-prohibited

Gestisci l'accesso alle risorse nel cloud AWS consentendo solo agli utenti, ai processi e ai dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo filtri stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato ai sistemi interni.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive nell'ambiente.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

api-gw-associato-con-waf

AWS WAF consente di configurare un set di regole (chiamato lista di controllo accessi Web (Web ACL)) per consentire, bloccare o contare le richieste Web in base alle regole di sicurezza Web personalizzabili e le condizioni definite dall'utente. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette la possibilità di impostare laignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
500.02 (b) (2) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni fondamentali di sicurezza informatica: (2) utilizzare l'infrastruttura difensiva e l'attuazione di politiche e procedure per proteggere i sistemi informativi dell'entità coperta e il non pubblico Informazioni memorizzate su tali sistemi informativi, da accessi non autorizzati, uso o altri atti dannosi.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
500.02 (b) (3) b) Il programma di sicurezza informatica è basato sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni di sicurezza informatica di base: (3) rilevare gli eventi di sicurezza informatica.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
500.02 (b) (3) b) Il programma di sicurezza informatica è basato sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni di sicurezza informatica di base: (3) rilevare gli eventi di sicurezza informatica.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
500.02 (b) (3) b) Il programma di sicurezza informatica è basato sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni di sicurezza informatica di base: (3) rilevare gli eventi di sicurezza informatica.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
500.02 (b) (3) b) Il programma di sicurezza informatica è basato sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni di sicurezza informatica di base: (3) rilevare gli eventi di sicurezza informatica.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati forniscono dettagli sull'attività delle chiamate API nell'account AWS.
500.02 (b) (3) b) Il programma di sicurezza informatica è basato sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni di sicurezza informatica di base: (3) rilevare gli eventi di sicurezza informatica.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
500.02 (b) (3) b) Il programma di sicurezza informatica è basato sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni di sicurezza informatica di base: (3) rilevare gli eventi di sicurezza informatica.

ec2-instance-detailed-monitoring-enabled

Abilita questa regola per migliorare il monitoraggio dell'istanza Amazon Elastic Compute Cloud (Amazon EC2) nella console Amazon EC2, che visualizza grafici di monitoraggio relativi all'istanza a intervalli di 1 minuto.
500.02 (b) (3) b) Il programma di sicurezza informatica è basato sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni di sicurezza informatica di base: (3) rilevare gli eventi di sicurezza informatica.

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
500.02 (b) (3) b) Il programma di sicurezza informatica è basato sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni di sicurezza informatica di base: (3) rilevare gli eventi di sicurezza informatica.

ricerca elastica - logs-to-cloud watch

Garantire AmazonOpenSearchI domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su AmazonCloudWatchRegistri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
500.02 (b) (3) b) Il programma di sicurezza informatica è basato sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni di sicurezza informatica di base: (3) rilevare gli eventi di sicurezza informatica.

rds-enhanced-monitoring-enabled

È possibile attivare Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità di Amazon RDS. Ciò fornisce una visibilità dettagliata dello stato delle istanze di database Amazon RDS. Quando lo storage Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ciascun dispositivo. Inoltre, quando l'istanza del database Amazon RDS è in esecuzione in una distribuzione Multi-AZ, vengono raccolti i dati per ciascun dispositivo sull'host secondario e le metriche dell'host secondario.
500.02 (b) (3) b) Il programma di sicurezza informatica è basato sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni di sicurezza informatica di base: (3) rilevare gli eventi di sicurezza informatica.

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
500.02 (b) (3) b) Il programma di sicurezza informatica è basato sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni di sicurezza informatica di base: (3) rilevare gli eventi di sicurezza informatica.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
500.02 (b) (3) b) Il programma di sicurezza informatica è basato sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni di sicurezza informatica di base: (3) rilevare gli eventi di sicurezza informatica.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
500.02 (b) (3) b) Il programma di sicurezza informatica è basato sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni di sicurezza informatica di base: (3) rilevare gli eventi di sicurezza informatica.

s3-bucket-logging-enabled

La registrazione accessi al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della richiesta, lo stato della risposta e un codice di errore, se pertinente.
500.02 (b) (3) b) Il programma di sicurezza informatica è basato sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni di sicurezza informatica di base: (3) rilevare gli eventi di sicurezza informatica.

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP da e verso le interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
500.02 (b) (3) b) Il programma di sicurezza informatica è basato sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni di sicurezza informatica di base: (3) rilevare gli eventi di sicurezza informatica.

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
500.02 (b) (3) b) Il programma di sicurezza informatica è basato sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni di sicurezza informatica di base: (3) rilevare gli eventi di sicurezza informatica.

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta da parte di dalle risorse AWS, le informazioni sulla richiesta e un'azione per la regola corrispondente a ogni richiesta.
500.02 (b) (3) b) Il programma di sicurezza informatica è basato sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni di sicurezza informatica di base: (3) rilevare gli eventi di sicurezza informatica.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
500.02 (b) (5) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni di sicurezza informatica di base: (5) recuperare dagli eventi di sicurezza informatica e ripristinare le normali operazioni e servizi.

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea in modo automatico uno snapshot dei volumi di storage dell'istanza database, eseguendo il backup dell'intera istanza database. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
500.02 (b) (5) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni di sicurezza informatica di base: (5) recuperare dagli eventi di sicurezza informatica e ripristinare le normali operazioni e servizi.

redshift-backup-enabled

Per aiutarti con i processi di backup dei dati, assicurati che i tuoi cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot di quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB per nodo di modifiche dei dati, o qualsiasi altra cosa si verifica per prima.
500.02 (b) (5) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni di sicurezza informatica di base: (5) recuperare dagli eventi di sicurezza informatica e ripristinare le normali operazioni e servizi.

dynamodb-pitr-enabled

Abilitare questa regola per verificare che le informazioni siano state eseguite il backup. Mantiene inoltre i backup garantendo chepoint-in-timeIl ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
500.02 (b) (5) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni di sicurezza informatica di base: (5) recuperare dagli eventi di sicurezza informatica e ripristinare le normali operazioni e servizi.

ebs-optimized-instance

Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) fornisce capacità aggiuntiva dedicata per le operazioni di I/O Amazon EBS. Questa ottimizzazione fornisce le prestazioni più efficienti per i volumi EBS, riducendo al minimo i conflitti tra le operazioni di I/O di Amazon EBS e l'altro traffico proveniente dall'istanza.
500.02 (b) (5) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni di sicurezza informatica di base: (5) recuperare dagli eventi di sicurezza informatica e ripristinare le normali operazioni e servizi.

elasticache-redis-cluster-automatic-backup-check

Quando i backup automatici sono abilitati, AmazonElastiCachecrea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, è possibile creare un nuovo cluster, che ripristina i dati dal backup più recente.
500.02 (b) (5) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni di sicurezza informatica di base: (5) recuperare dagli eventi di sicurezza informatica e ripristinare le normali operazioni e servizi.

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire la disponibilità dei dati.
500.02 (b) (5) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni di sicurezza informatica di base: (5) recuperare dagli eventi di sicurezza informatica e ripristinare le normali operazioni e servizi.

s3-bucket-versioning-enabled

Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni ti aiuta a ripristinare facilmente le operazioni involontarie dell'utente e gli errori dell'applicazione.
500.02 (b) (5) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni di sicurezza informatica di base: (5) recuperare dagli eventi di sicurezza informatica e ripristinare le normali operazioni e servizi.

dynamic odb-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup.
500.02 (b) (5) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni di sicurezza informatica di base: (5) recuperare dagli eventi di sicurezza informatica e ripristinare le normali operazioni e servizi.

ebs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) siano parte integrante di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup.
500.02 (b) (5) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni di sicurezza informatica di base: (5) recuperare dagli eventi di sicurezza informatica e ripristinare le normali operazioni e servizi.

efs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup.
500.02 (b) (5) b) Il programma di sicurezza informatica si basa sulla valutazione del rischio dell'entità coperta e progettato per svolgere le seguenti funzioni di sicurezza informatica di base: (5) recuperare dagli eventi di sicurezza informatica e ripristinare le normali operazioni e servizi.

rds-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le istanze Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti aziendali e normativi di conformità dei backup.
500.05 Il programma di sicurezza informatica per ogni entità interessata include il monitoraggio e i test, sviluppati in conformità con la valutazione del rischio dell'entità interessata, progettati per valutare l'efficacia del programma di sicurezza informatica dell'entità interessata. Il monitoraggio e le prove devono includere il monitoraggio continuo o le prove periodiche di penetrazione e valutazioni di vulnerabilità. In assenza di un monitoraggio continuo effettivo o di altri sistemi per rilevare, su base continuativa, le modifiche dei sistemi informativi che possono creare o indicare vulnerabilità, le entità interessate effettuano: a) test annuali di penetrazione dei sistemi informativi dell'entità oggetto oggetto determinati ogni anno in base a rischi rilevanti identificati conformemente alla valutazione del rischio; e b) valutazioni di vulnerabilità semestrali, comprese eventuali scansioni sistematiche o revisioni di sistemi informativi ragionevolmente progettati per identificare vulnerabilità di sicurezza informatica note pubblicamente nei sistemi informativi dell'entità interessata in base al rischio valutazione. vuln-management-plan-exists (verifica del processo) Assicurati che un piano di gestione delle vulnerabilità sia sviluppato e implementato al fine di disporre di processi formalmente definiti per affrontare le vulnerabilità nel tuo ambiente.
500.06 (a) a) Ciascun Entità coperto mantiene in modo sicuro sistemi che, nella misura applicabile e sulla base della sua valutazione del rischio: (1) sono progettati per ricostruire operazioni finanziarie materiali sufficienti a sostenere le normali operazioni e gli obblighi dell'entità coperta; e (2) comprendono percorsi di audit progettati per rilevare e rispondere agli eventi di sicurezza informatica che hanno una ragionevole probabilità di danneggiare materialmente qualsiasi parte materiale delle normali operazioni dell'Entità coperta.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
500.06 (a) a) Ciascun Entità coperto mantiene in modo sicuro sistemi che, nella misura applicabile e sulla base della sua valutazione del rischio: (1) sono progettati per ricostruire operazioni finanziarie materiali sufficienti a sostenere le normali operazioni e gli obblighi dell'entità coperta; e (2) comprendono percorsi di audit progettati per rilevare e rispondere agli eventi di sicurezza informatica che hanno una ragionevole probabilità di danneggiare materialmente qualsiasi parte materiale delle normali operazioni dell'Entità coperta.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati forniscono dettagli sull'attività delle chiamate API nell'account AWS.
500.06 (a) a) Ciascun Entità coperto mantiene in modo sicuro sistemi che, nella misura applicabile e sulla base della sua valutazione del rischio: (1) sono progettati per ricostruire operazioni finanziarie materiali sufficienti a sostenere le normali operazioni e gli obblighi dell'entità coperta; e (2) comprendono percorsi di audit progettati per rilevare e rispondere agli eventi di sicurezza informatica che hanno una ragionevole probabilità di danneggiare materialmente qualsiasi parte materiale delle normali operazioni dell'Entità coperta.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
500.06 (a) a) Ciascun Entità coperto mantiene in modo sicuro sistemi che, nella misura applicabile e sulla base della sua valutazione del rischio: (1) sono progettati per ricostruire operazioni finanziarie materiali sufficienti a sostenere le normali operazioni e gli obblighi dell'entità coperta; e (2) comprendono percorsi di audit progettati per rilevare e rispondere agli eventi di sicurezza informatica che hanno una ragionevole probabilità di danneggiare materialmente qualsiasi parte materiale delle normali operazioni dell'Entità coperta.

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
500.06 (a) a) Ciascun Entità coperto mantiene in modo sicuro sistemi che, nella misura applicabile e sulla base della sua valutazione del rischio: (1) sono progettati per ricostruire operazioni finanziarie materiali sufficienti a sostenere le normali operazioni e gli obblighi dell'entità coperta; e (2) comprendono percorsi di audit progettati per rilevare e rispondere agli eventi di sicurezza informatica che hanno una ragionevole probabilità di danneggiare materialmente qualsiasi parte materiale delle normali operazioni dell'Entità coperta.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
500.06 (a) a) Ciascun Entità coperto mantiene in modo sicuro sistemi che, nella misura applicabile e sulla base della sua valutazione del rischio: (1) sono progettati per ricostruire operazioni finanziarie materiali sufficienti a sostenere le normali operazioni e gli obblighi dell'entità coperta; e (2) comprendono percorsi di audit progettati per rilevare e rispondere agli eventi di sicurezza informatica che hanno una ragionevole probabilità di danneggiare materialmente qualsiasi parte materiale delle normali operazioni dell'Entità coperta.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
500.06 (a) a) Ciascun Entità coperto mantiene in modo sicuro sistemi che, nella misura applicabile e sulla base della sua valutazione del rischio: (1) sono progettati per ricostruire operazioni finanziarie materiali sufficienti a sostenere le normali operazioni e gli obblighi dell'entità coperta; e (2) comprendono percorsi di audit progettati per rilevare e rispondere agli eventi di sicurezza informatica che hanno una ragionevole probabilità di danneggiare materialmente qualsiasi parte materiale delle normali operazioni dell'Entità coperta.

s3-bucket-logging-enabled

La registrazione accessi al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della richiesta, lo stato della risposta e un codice di errore, se pertinente.
500.06 (a) a) Ciascun Entità coperto mantiene in modo sicuro sistemi che, nella misura applicabile e sulla base della sua valutazione del rischio: (1) sono progettati per ricostruire operazioni finanziarie materiali sufficienti a sostenere le normali operazioni e gli obblighi dell'entità coperta; e (2) comprendono percorsi di audit progettati per rilevare e rispondere agli eventi di sicurezza informatica che hanno una ragionevole probabilità di danneggiare materialmente qualsiasi parte materiale delle normali operazioni dell'Entità coperta.

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP da e verso le interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
500.06 (a) a) Ciascun Entità coperto mantiene in modo sicuro sistemi che, nella misura applicabile e sulla base della sua valutazione del rischio: (1) sono progettati per ricostruire operazioni finanziarie materiali sufficienti a sostenere le normali operazioni e gli obblighi dell'entità coperta; e (2) comprendono percorsi di audit progettati per rilevare e rispondere agli eventi di sicurezza informatica che hanno una ragionevole probabilità di danneggiare materialmente qualsiasi parte materiale delle normali operazioni dell'Entità coperta.

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
500.06 (a) a) Ciascun Entità coperto mantiene in modo sicuro sistemi che, nella misura applicabile e sulla base della sua valutazione del rischio: (1) sono progettati per ricostruire operazioni finanziarie materiali sufficienti a sostenere le normali operazioni e gli obblighi dell'entità coperta; e (2) comprendono percorsi di audit progettati per rilevare e rispondere agli eventi di sicurezza informatica che hanno una ragionevole probabilità di danneggiare materialmente qualsiasi parte materiale delle normali operazioni dell'Entità coperta.

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta da parte di dalle risorse AWS, le informazioni sulla richiesta e un'azione per la regola corrispondente a ogni richiesta.
500.06 (a) a) Ciascun Entità coperto mantiene in modo sicuro sistemi che, nella misura applicabile e sulla base della sua valutazione del rischio: (1) sono progettati per ricostruire operazioni finanziarie materiali sufficienti a sostenere le normali operazioni e gli obblighi dell'entità coperta; e (2) comprendono percorsi di audit progettati per rilevare e rispondere agli eventi di sicurezza informatica che hanno una ragionevole probabilità di danneggiare materialmente qualsiasi parte materiale delle normali operazioni dell'Entità coperta.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
500.06 (b) b) Ciascun Entità coperto conserva i registri richiesti dalla sezione 500.06 (a) (1) della presente parte per non meno di cinque anni e conserva i registri richiesti dalla sezione 500.06, lettera a), punto 2, della presente parte per non meno di tre anni.

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
500.06 (a) a) Ciascun Entità coperto mantiene in modo sicuro sistemi che, nella misura applicabile e sulla base della sua valutazione del rischio: (1) sono progettati per ricostruire operazioni finanziarie materiali sufficienti a sostenere le normali operazioni e gli obblighi dell'entità coperta; e (2) comprendono percorsi di audit progettati per rilevare e rispondere agli eventi di sicurezza informatica che hanno una ragionevole probabilità di danneggiare materialmente qualsiasi parte materiale delle normali operazioni dell'Entità coperta.

ricerca elastica - logs-to-cloud watch

Garantire AmazonOpenSearchI domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su AmazonCloudWatchRegistri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
500.07 Nell'ambito del suo programma di sicurezza informatica, basato sulla valutazione del rischio dell'Entità coperta, ogni Entità coperta limita i privilegi di accesso degli utenti ai sistemi informativi che forniscono l'accesso alle informazioni non pubbliche e rivedrà periodicamente tali privilegi di accesso.

access-keys-rotated

Le credenziali vengono controllate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo i criteri organizzativi. La modifica delle chiavi di accesso con una pianificazione regolare è una procedura consigliata per la sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
500.07 Nell'ambito del suo programma di sicurezza informatica, basato sulla valutazione del rischio dell'Entità coperta, ogni Entità coperta limita i privilegi di accesso degli utenti ai sistemi informativi che forniscono l'accesso alle informazioni non pubbliche e rivedrà periodicamente tali privilegi di accesso.

ecs-task-definition-user-per-host-mode check

Se una definizione di attività ha privilegi elevati, è perché il cliente ha specificamente optato per tali configurazioni. Questo controllo verifica la presenza di un'escalation imprevista dei privilegi quando una definizione di attività ha abilitato la rete host ma il cliente non ha optato per privilegi elevati.
500.07 Nell'ambito del suo programma di sicurezza informatica, basato sulla valutazione del rischio dell'Entità coperta, ogni Entità coperta limita i privilegi di accesso degli utenti ai sistemi informativi che forniscono l'accesso alle informazioni non pubbliche e rivedrà periodicamente tali privilegi di accesso.

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
500.07 Nell'ambito del suo programma di sicurezza informatica, basato sulla valutazione del rischio dell'Entità coperta, ogni Entità coperta limita i privilegi di accesso degli utenti ai sistemi informativi che forniscono l'accesso alle informazioni non pubbliche e rivedrà periodicamente tali privilegi di accesso.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette la possibilità di impostare laignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
500.07 Nell'ambito del suo programma di sicurezza informatica, basato sulla valutazione del rischio dell'Entità coperta, ogni Entità coperta limita i privilegi di accesso degli utenti ai sistemi informativi che forniscono l'accesso alle informazioni non pubbliche e rivedrà periodicamente tali privilegi di accesso.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
500.07 Nell'ambito del suo programma di sicurezza informatica, basato sulla valutazione del rischio dell'Entità coperta, ogni Entità coperta limita i privilegi di accesso degli utenti ai sistemi informativi che forniscono l'accesso alle informazioni non pubbliche e rivedrà periodicamente tali privilegi di accesso.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
500.07 Nell'ambito del suo programma di sicurezza informatica, basato sulla valutazione del rischio dell'Entità coperta, ogni Entità coperta limita i privilegi di accesso degli utenti ai sistemi informativi che forniscono l'accesso alle informazioni non pubbliche e rivedrà periodicamente tali privilegi di accesso.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
500.07 Nell'ambito del suo programma di sicurezza informatica, basato sulla valutazione del rischio dell'Entità coperta, ogni Entità coperta limita i privilegi di accesso degli utenti ai sistemi informativi che forniscono l'accesso alle informazioni non pubbliche e rivedrà periodicamente tali privilegi di accesso.

secretsmanager-rotation-enabled-check

Questa regola assicura che i segreti di AWS Secrets Manager abbiano abilitato la rotazione. La rotazione dei segreti in base a un programma regolare può ridurre il periodo di attività di un segreto e potenzialmente ridurre l'impatto aziendale se il segreto viene compromesso.
500.07 Nell'ambito del suo programma di sicurezza informatica, basato sulla valutazione del rischio dell'Entità coperta, ogni Entità coperta limita i privilegi di accesso degli utenti ai sistemi informativi che forniscono l'accesso alle informazioni non pubbliche e rivedrà periodicamente tali privilegi di accesso.

secretsmanager-scheduled-rotation-success-check

Questa regola garantisce che i segreti di AWS Secrets Manager siano stati ruotati correttamente in base al programma di rotazione. La rotazione dei segreti in base a un programma regolare può ridurre il periodo in cui un segreto è attivo e potenzialmente ridurre l'impatto aziendale se viene compromesso.
500.07 Nell'ambito del suo programma di sicurezza informatica, basato sulla valutazione del rischio dell'Entità coperta, ogni Entità coperta limita i privilegi di accesso degli utenti ai sistemi informativi che forniscono l'accesso alle informazioni non pubbliche e rivedrà periodicamente tali privilegi di accesso.

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono eseguire l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. L'autenticazione KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
500.07 Nell'ambito del suo programma di sicurezza informatica, basato sulla valutazione del rischio dell'Entità coperta, ogni Entità coperta limita i privilegi di accesso degli utenti ai sistemi informativi che forniscono l'accesso alle informazioni non pubbliche e rivedrà periodicamente tali privilegi di accesso.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
500.07 Nell'ambito del suo programma di sicurezza informatica, basato sulla valutazione del rischio dell'Entità coperta, ogni Entità coperta limita i privilegi di accesso degli utenti ai sistemi informativi che forniscono l'accesso alle informazioni non pubbliche e rivedrà periodicamente tali privilegi di accesso.

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(valore delle best practice AWS Foundational Security Best Practices: true),RequireNumbers(valore delle best practice AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
500.07 Nell'ambito del suo programma di sicurezza informatica, basato sulla valutazione del rischio dell'Entità coperta, ogni Entità coperta limita i privilegi di accesso degli utenti ai sistemi informativi che forniscono l'accesso alle informazioni non pubbliche e rivedrà periodicamente tali privilegi di accesso.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Operazione» :"*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
500.07 Nell'ambito del suo programma di sicurezza informatica, basato sulla valutazione del rischio dell'Entità coperta, ogni Entità coperta limita i privilegi di accesso degli utenti ai sistemi informativi che forniscono l'accesso alle informazioni non pubbliche e rivedrà periodicamente tali privilegi di accesso.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
500.07 Nell'ambito del suo programma di sicurezza informatica, basato sulla valutazione del rischio dell'Entità coperta, ogni Entità coperta limita i privilegi di accesso degli utenti ai sistemi informativi che forniscono l'accesso alle informazioni non pubbliche e rivedrà periodicamente tali privilegi di accesso.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
500.07 Nell'ambito del suo programma di sicurezza informatica, basato sulla valutazione del rischio dell'Entità coperta, ogni Entità coperta limita i privilegi di accesso degli utenti ai sistemi informativi che forniscono l'accesso alle informazioni non pubbliche e rivedrà periodicamente tali privilegi di accesso.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano associate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
500.07 Nell'ambito del suo programma di sicurezza informatica, basato sulla valutazione del rischio dell'Entità coperta, ogni Entità coperta limita i privilegi di accesso degli utenti ai sistemi informativi che forniscono l'accesso alle informazioni non pubbliche e rivedrà periodicamente tali privilegi di accesso.

s3-bucket-policy-grantee-check

Gestisci l'accesso al cloud AWS abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 è limitato da qualsiasi principale di AWS, dagli utenti federati, dai principali dei servizi, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti dall'utente.
500.07 Nell'ambito del suo programma di sicurezza informatica, basato sulla valutazione del rischio dell'Entità coperta, ogni Entità coperta limita i privilegi di accesso degli utenti ai sistemi informativi che forniscono l'accesso alle informazioni non pubbliche e rivedrà periodicamente tali privilegi di accesso.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
500.07 Nell'ambito del suo programma di sicurezza informatica, basato sulla valutazione del rischio dell'Entità coperta, ogni Entità coperta limita i privilegi di accesso degli utenti ai sistemi informativi che forniscono l'accesso alle informazioni non pubbliche e rivedrà periodicamente tali privilegi di accesso.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
500.07 Nell'ambito del suo programma di sicurezza informatica, basato sulla valutazione del rischio dell'Entità coperta, ogni Entità coperta limita i privilegi di accesso degli utenti ai sistemi informativi che forniscono l'accesso alle informazioni non pubbliche e rivedrà periodicamente tali privilegi di accesso.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
500.07 Nell'ambito del suo programma di sicurezza informatica, basato sulla valutazione del rischio dell'Entità coperta, ogni Entità coperta limita i privilegi di accesso degli utenti ai sistemi informativi che forniscono l'accesso alle informazioni non pubbliche e rivedrà periodicamente tali privilegi di accesso.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che non sia possibile accedere pubblicamente alle istanze Amazon Elastic Compute Cloud (Amazon EC2). Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
500.07 Nell'ambito del suo programma di sicurezza informatica, basato sulla valutazione del rischio dell'Entità coperta, ogni Entità coperta limita i privilegi di accesso degli utenti ai sistemi informativi che forniscono l'accesso alle informazioni non pubbliche e rivedrà periodicamente tali privilegi di accesso.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (Servizio)OpenSearchI domini Service) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizi e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
500.07 Nell'ambito del suo programma di sicurezza informatica, basato sulla valutazione del rischio dell'Entità coperta, ogni Entità coperta limita i privilegi di accesso degli utenti ai sistemi informativi che forniscono l'accesso alle informazioni non pubbliche e rivedrà periodicamente tali privilegi di accesso.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
500.07 Nell'ambito del suo programma di sicurezza informatica, basato sulla valutazione del rischio dell'Entità coperta, ogni Entità coperta limita i privilegi di accesso degli utenti ai sistemi informativi che forniscono l'accesso alle informazioni non pubbliche e rivedrà periodicamente tali privilegi di accesso.

ec2-instances-in-vpc

Utilizza istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nell'Amazon VPC, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
500.07 Nell'ambito del suo programma di sicurezza informatica, basato sulla valutazione del rischio dell'Entità coperta, ogni Entità coperta limita i privilegi di accesso degli utenti ai sistemi informativi che forniscono l'accesso alle informazioni non pubbliche e rivedrà periodicamente tali privilegi di accesso.

internet-gateway-authorized-vpc-only

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud autorizzato (Amazon VPC). I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC.
500.07 Nell'ambito del suo programma di sicurezza informatica, basato sulla valutazione del rischio dell'Entità coperta, ogni Entità coperta limita i privilegi di accesso degli utenti ai sistemi informativi che forniscono l'accesso alle informazioni non pubbliche e rivedrà periodicamente tali privilegi di accesso.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
500.07 Nell'ambito del suo programma di sicurezza informatica, basato sulla valutazione del rischio dell'Entità coperta, ogni Entità coperta limita i privilegi di accesso degli utenti ai sistemi informativi che forniscono l'accesso alle informazioni non pubbliche e rivedrà periodicamente tali privilegi di accesso.

lambda-inside-vpc

Utilizza le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi nell'Amazon VPC. Con questa configurazione, non è necessario disporre di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
500.07 Nell'ambito del suo programma di sicurezza informatica, basato sulla valutazione del rischio dell'Entità coperta, ogni Entità coperta limita i privilegi di accesso degli utenti ai sistemi informativi che forniscono l'accesso alle informazioni non pubbliche e rivedrà periodicamente tali privilegi di accesso.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
500.07 Nell'ambito del suo programma di sicurezza informatica, basato sulla valutazione del rischio dell'Entità coperta, ogni Entità coperta limita i privilegi di accesso degli utenti ai sistemi informativi che forniscono l'accesso alle informazioni non pubbliche e rivedrà periodicamente tali privilegi di accesso.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
500.07 Nell'ambito del suo programma di sicurezza informatica, basato sulla valutazione del rischio dell'Entità coperta, ogni Entità coperta limita i privilegi di accesso degli utenti ai sistemi informativi che forniscono l'accesso alle informazioni non pubbliche e rivedrà periodicamente tali privilegi di accesso.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
500.07 Nell'ambito del suo programma di sicurezza informatica, basato sulla valutazione del rischio dell'Entità coperta, ogni Entità coperta limita i privilegi di accesso degli utenti ai sistemi informativi che forniscono l'accesso alle informazioni non pubbliche e rivedrà periodicamente tali privilegi di accesso.

s3-bucket-public-read-prohibited

Gestisci l'accesso alle risorse nel cloud AWS consentendo solo agli utenti, ai processi e ai dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
500.07 Nell'ambito del suo programma di sicurezza informatica, basato sulla valutazione del rischio dell'Entità coperta, ogni Entità coperta limita i privilegi di accesso degli utenti ai sistemi informativi che forniscono l'accesso alle informazioni non pubbliche e rivedrà periodicamente tali privilegi di accesso.

s3-bucket-public-write-prohibited

Gestisci l'accesso alle risorse nel cloud AWS consentendo solo agli utenti, ai processi e ai dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
500.07 Nell'ambito del suo programma di sicurezza informatica, basato sulla valutazione del rischio dell'Entità coperta, ogni Entità coperta limita i privilegi di accesso degli utenti ai sistemi informativi che forniscono l'accesso alle informazioni non pubbliche e rivedrà periodicamente tali privilegi di accesso.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
500.08 (a) (a) Il programma di sicurezza informatica di ogni Entità coperta include procedure scritte, linee guida e standard progettati per garantire l'uso di pratiche di sviluppo sicure per applicazioni sviluppate interne utilizzate dall'Entità coperta e procedure per valutare, valutare o testare la sicurezza di esternamente applicazioni sviluppate utilizzate dall'Entità coperta nel contesto dell'ambiente tecnologico dell'Entità coperta.

codebuild-project-envvar-awscred-check

Assicurati che le credenziali di autenticazione AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY non esistano negli ambienti di progetto AWS Codebuild. Non memorizzare queste variabili in testo chiaro. L'archiviazione di queste variabili in testo non crittografato comporta l'esposizione involontaria dei dati e l'accesso non autorizzato.
500.08 (a) (a) Il programma di sicurezza informatica di ogni Entità coperta include procedure scritte, linee guida e standard progettati per garantire l'uso di pratiche di sviluppo sicure per applicazioni sviluppate interne utilizzate dall'Entità coperta e procedure per valutare, valutare o testare la sicurezza di esternamente applicazioni sviluppate utilizzate dall'Entità coperta nel contesto dell'ambiente tecnologico dell'Entità coperta.

codebuild-project-source-repo-url-check

Garantire laGitHubo l'URL del repository di origine Bitbucket non contiene token di accesso personali, nome utente e password negli ambienti di progetto AWS Codebuild. Utilizzare OAuth anziché token di accesso personali o un nome utente e una password per concedere l'autorizzazione per l'accessoGitHubo repository Bitbucket.
500.09 a) Ogni entità interessata conduce una valutazione periodica del rischio dei sistemi informativi dell'entità interessata sufficiente a informare la progettazione del programma di sicurezza informatica come richiesto dalla presente parte. Tale valutazione del rischio è aggiornata se ragionevolmente necessario per affrontare le modifiche ai sistemi informativi dell'entità interessata, alle informazioni non pubbliche o alle operazioni commerciali. La valutazione del rischio dell'entità interessata consente la revisione dei controlli per rispondere agli sviluppi tecnologici e alle minacce in evoluzione e prende in considerazione i rischi particolari delle operazioni commerciali dell'entità interessata relative alla sicurezza informatica, alle informazioni non pubbliche raccolte o archiviate, ai sistemi informativi utilizzato e la disponibilità e l'efficacia dei controlli per proteggere le informazioni e i sistemi informativi non pubblici. annual-risk-assessment-eseguito (controllo del processo) > Esegui una valutazione annuale del rischio sulla tua organizzazione. Le valutazioni dei rischi possono aiutare a determinare la probabilità e l'impatto dei rischi e/o delle vulnerabilità identificati che interessano un'organizzazione.
500.12 (a) Autenticazione a più fattori Sulla base della sua valutazione del rischio, ogni Entità coperta utilizza controlli efficaci, che possono includere l'autenticazione a più fattori o l'autenticazione basata sul rischio, per proteggere da accessi non autorizzati a informazioni o sistemi informativi non pubblici. b) L'autenticazione multi-fattore deve essere utilizzata per chiunque acceda alle reti interne dell'Entità coperta da una rete esterna, a meno che il CISO dell'Entità coperta non abbia approvato per iscritto l'uso di controlli di accesso ragionevolmente equivalenti o più sicuri.

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce l'attivazione dell'autenticazione a più fattori (MFA) per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
500.12 (a) Autenticazione a più fattori Sulla base della sua valutazione del rischio, ogni Entità coperta utilizza controlli efficaci, che possono includere l'autenticazione a più fattori o l'autenticazione basata sul rischio, per proteggere da accessi non autorizzati a informazioni o sistemi informativi non pubblici. b) L'autenticazione multi-fattore deve essere utilizzata per chiunque acceda alle reti interne dell'Entità coperta da una rete esterna, a meno che il CISO dell'Entità coperta non abbia approvato per iscritto l'uso di controlli di accesso ragionevolmente equivalenti o più sicuri.

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
500.12 (a) Autenticazione a più fattori Sulla base della sua valutazione del rischio, ogni Entità coperta utilizza controlli efficaci, che possono includere l'autenticazione a più fattori o l'autenticazione basata sul rischio, per proteggere da accessi non autorizzati a informazioni o sistemi informativi non pubblici. b) L'autenticazione multi-fattore deve essere utilizzata per chiunque acceda alle reti interne dell'Entità coperta da una rete esterna, a meno che il CISO dell'Entità coperta non abbia approvato per iscritto l'uso di controlli di accesso ragionevolmente equivalenti o più sicuri.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
500.12 (a) Autenticazione a più fattori Sulla base della sua valutazione del rischio, ogni Entità coperta utilizza controlli efficaci, che possono includere l'autenticazione a più fattori o l'autenticazione basata sul rischio, per proteggere da accessi non autorizzati a informazioni o sistemi informativi non pubblici. b) L'autenticazione multi-fattore deve essere utilizzata per chiunque acceda alle reti interne dell'Entità coperta da una rete esterna, a meno che il CISO dell'Entità coperta non abbia approvato per iscritto l'uso di controlli di accesso ragionevolmente equivalenti o più sicuri.

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
500.12 (a) Autenticazione a più fattori Sulla base della sua valutazione del rischio, ogni Entità coperta utilizza controlli efficaci, che possono includere l'autenticazione a più fattori o l'autenticazione basata sul rischio, per proteggere da accessi non autorizzati a informazioni o sistemi informativi non pubblici. b) L'autenticazione multi-fattore deve essere utilizzata per chiunque acceda alle reti interne dell'Entità coperta da una rete esterna, a meno che il CISO dell'Entità coperta non abbia approvato per iscritto l'uso di controlli di accesso ragionevolmente equivalenti o più sicuri.

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
500.14 (a) (a) implementare politiche, procedure e controlli basati sul rischio progettati per monitorare l'attività degli Utenti autorizzati e rilevare l'accesso non autorizzato o l'uso o la manomissione di Informazioni non pubbliche da parte di tali Utenti autorizzati.

cloudwatch-alarm-action-check

AmazonCloudWatchavvisa gli allarmi quando una metrica supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionRichiesto (Config predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
500.14 (a) (a) implementare politiche, procedure e controlli basati sul rischio progettati per monitorare l'attività degli Utenti autorizzati e rilevare l'accesso non autorizzato o l'uso o la manomissione di Informazioni non pubbliche da parte di tali Utenti autorizzati.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
500.14 (a) (a) implementare politiche, procedure e controlli basati sul rischio progettati per monitorare l'attività degli Utenti autorizzati e rilevare l'accesso non autorizzato o l'uso o la manomissione di Informazioni non pubbliche da parte di tali Utenti autorizzati.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati forniscono dettagli sull'attività delle chiamate API nell'account AWS.
500.14 (a) (a) implementare politiche, procedure e controlli basati sul rischio progettati per monitorare l'attività degli Utenti autorizzati e rilevare l'accesso non autorizzato o l'uso o la manomissione di Informazioni non pubbliche da parte di tali Utenti autorizzati.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
500.14 (a) (a) implementare politiche, procedure e controlli basati sul rischio progettati per monitorare l'attività degli Utenti autorizzati e rilevare l'accesso non autorizzato o l'uso o la manomissione di Informazioni non pubbliche da parte di tali Utenti autorizzati.

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
500.14 (a) (a) implementare politiche, procedure e controlli basati sul rischio progettati per monitorare l'attività degli Utenti autorizzati e rilevare l'accesso non autorizzato o l'uso o la manomissione di Informazioni non pubbliche da parte di tali Utenti autorizzati.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
500.14 (a) (a) implementare politiche, procedure e controlli basati sul rischio progettati per monitorare l'attività degli Utenti autorizzati e rilevare l'accesso non autorizzato o l'uso o la manomissione di Informazioni non pubbliche da parte di tali Utenti autorizzati.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
500.14 (a) (a) implementare politiche, procedure e controlli basati sul rischio progettati per monitorare l'attività degli Utenti autorizzati e rilevare l'accesso non autorizzato o l'uso o la manomissione di Informazioni non pubbliche da parte di tali Utenti autorizzati.

s3-bucket-logging-enabled

La registrazione accessi al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della richiesta, lo stato della risposta e un codice di errore, se pertinente.
500.14 (a) (a) implementare politiche, procedure e controlli basati sul rischio progettati per monitorare l'attività degli Utenti autorizzati e rilevare l'accesso non autorizzato o l'uso o la manomissione di Informazioni non pubbliche da parte di tali Utenti autorizzati.

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP da e verso le interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
500.14 (a) (a) implementare politiche, procedure e controlli basati sul rischio progettati per monitorare l'attività degli Utenti autorizzati e rilevare l'accesso non autorizzato o l'uso o la manomissione di Informazioni non pubbliche da parte di tali Utenti autorizzati.

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
500.14 (a) (a) implementare politiche, procedure e controlli basati sul rischio progettati per monitorare l'attività degli Utenti autorizzati e rilevare l'accesso non autorizzato o l'uso o la manomissione di Informazioni non pubbliche da parte di tali Utenti autorizzati.

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
500.14 (a) (a) implementare politiche, procedure e controlli basati sul rischio progettati per monitorare l'attività degli Utenti autorizzati e rilevare l'accesso non autorizzato o l'uso o la manomissione di Informazioni non pubbliche da parte di tali Utenti autorizzati.

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta da parte di dalle risorse AWS, le informazioni sulla richiesta e un'azione per la regola corrispondente a ogni richiesta.
500.14 (a) (a) implementare politiche, procedure e controlli basati sul rischio progettati per monitorare l'attività degli Utenti autorizzati e rilevare l'accesso non autorizzato o l'uso o la manomissione di Informazioni non pubbliche da parte di tali Utenti autorizzati.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
500.14 (a) (a) implementare politiche, procedure e controlli basati sul rischio progettati per monitorare l'attività degli Utenti autorizzati e rilevare l'accesso non autorizzato o l'uso o la manomissione di Informazioni non pubbliche da parte di tali Utenti autorizzati.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
500.14 (a) (a) implementare politiche, procedure e controlli basati sul rischio progettati per monitorare l'attività degli Utenti autorizzati e rilevare l'accesso non autorizzato o l'uso o la manomissione di Informazioni non pubbliche da parte di tali Utenti autorizzati.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
500.14 (a) (a) implementare politiche, procedure e controlli basati sul rischio progettati per monitorare l'attività degli Utenti autorizzati e rilevare l'accesso non autorizzato o l'uso o la manomissione di Informazioni non pubbliche da parte di tali Utenti autorizzati.

ricerca elastica - logs-to-cloud watch

Garantire AmazonOpenSearchI domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su AmazonCloudWatchRegistri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
500.14 (b) Nell'ambito del suo programma di sicurezza informatica, ogni entità interessata deve: b) fornire una formazione regolare di sensibilizzazione sulla sicurezza informatica per tutto il personale aggiornato per riflettere i rischi identificati dall'entità interessata nella sua valutazione del rischio. security-awareness-program-exists (verifica del processo) Stabilisci e gestisci un programma di sensibilizzazione sulla sicurezza per la tua organizzazione I programmi di sensibilizzazione sulla sicurezza educano i dipendenti su come proteggere la propria organizzazione da varie violazioni o incidenti della sicurezza.
500.15 (a) (a) Nell'ambito del suo programma di sicurezza informatica, basato sulla sua valutazione del rischio, ogni Entità coperta deve attuare controlli, compresa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'Entità coperta sia in transito su reti esterne che a riposo.

acm-certificate-expiration-check

Assicurati che l'integrità della rete sia protetta assicurando che i certificati X509 vengano emessi da AWS ACM. Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore perdaysToExpiration(Valore delle Best Practices AWS Foundational Security Best Practices: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
500.15 (a) (a) Nell'ambito del suo programma di sicurezza informatica, basato sulla sua valutazione del rischio, ogni Entità coperta deve attuare controlli, compresa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'Entità coperta sia in transito su reti esterne che a riposo.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
500.15 (a) (a) Nell'ambito del suo programma di sicurezza informatica, basato sulla sua valutazione del rischio, ogni Entità coperta deve attuare controlli, compresa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'Entità coperta sia in transito su reti esterne che a riposo.

api-gw-cache-enabled-and-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per la cache della fase API Gateway. Poiché i dati sensibili possono essere acquisiti per il metodo API, abilitare la crittografia a riposo per proteggere tali dati.
500.15 (a) (a) Nell'ambito del suo programma di sicurezza informatica, basato sulla sua valutazione del rischio, ogni Entità coperta deve attuare controlli, compresa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'Entità coperta sia in transito su reti esterne che a riposo.

cloud-trail-encryption-enabled

Poiché potrebbero esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo AWSCloudTrailsentieri.
500.15 (a) (a) Nell'ambito del suo programma di sicurezza informatica, basato sulla sua valutazione del rischio, ogni Entità coperta deve attuare controlli, compresa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'Entità coperta sia in transito su reti esterne che a riposo.

cloudwatch-log-group-encrypted

Per proteggere i dati sensibili a riposo, assicurati che la crittografia sia abilitata per il tuo AmazonCloudWatchGruppi di log di.
500.15 (a) (a) Nell'ambito del suo programma di sicurezza informatica, basato sulla sua valutazione del rischio, ogni Entità coperta deve attuare controlli, compresa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'Entità coperta sia in transito su reti esterne che a riposo.

efs-encrypted-check

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo Amazon Elastic File System (EFS).
500.15 (a) (a) Nell'ambito del suo programma di sicurezza informatica, basato sulla sua valutazione del rischio, ogni Entità coperta deve attuare controlli, compresa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'Entità coperta sia in transito su reti esterne che a riposo.

elasticsearch-encrypted-at-rest

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per AmazonOpenSearchService (Servizio)OpenSearchDomini Service).
500.15 (a) (a) Nell'ambito del suo programma di sicurezza informatica, basato sulla sua valutazione del rischio, ogni Entità coperta deve attuare controlli, compresa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'Entità coperta sia in transito su reti esterne che a riposo.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
500.15 (a) (a) Nell'ambito del suo programma di sicurezza informatica, basato sulla sua valutazione del rischio, ogni Entità coperta deve attuare controlli, compresa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'Entità coperta sia in transito su reti esterne che a riposo.

encrypted-volumes

Poiché possono esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS).
500.15 (a) (a) Nell'ambito del suo programma di sicurezza informatica, basato sulla sua valutazione del rischio, ogni Entità coperta deve attuare controlli, compresa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'Entità coperta sia in transito su reti esterne che a riposo.

rds-storage-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati.
500.15 (a) (a) Nell'ambito del suo programma di sicurezza informatica, basato sulla sua valutazione del rischio, ogni Entità coperta deve attuare controlli, compresa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'Entità coperta sia in transito su reti esterne che a riposo.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
500.15 (a) (a) Nell'ambito del suo programma di sicurezza informatica, basato sulla sua valutazione del rischio, ogni Entità coperta deve attuare controlli, compresa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'Entità coperta sia in transito su reti esterne che a riposo.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
500.15 (a) (a) Nell'ambito del suo programma di sicurezza informatica, basato sulla sua valutazione del rischio, ogni Entità coperta deve attuare controlli, compresa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'Entità coperta sia in transito su reti esterne che a riposo.

S3-bucket-server-side-encryption-enabled

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati.
500.15 (a) (a) Nell'ambito del suo programma di sicurezza informatica, basato sulla sua valutazione del rischio, ogni Entità coperta deve attuare controlli, compresa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'Entità coperta sia in transito su reti esterne che a riposo.

s3-bucket-ssl-requests-only

Per proteggere i dati durante il transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
500.15 (a) (a) Nell'ambito del suo programma di sicurezza informatica, basato sulla sua valutazione del rischio, ogni Entità coperta deve attuare controlli, compresa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'Entità coperta sia in transito su reti esterne che a riposo.

sagemaker-endpoint-configuration-kms-key-configured

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuoSageMakerEndpoint. Perché i dati sensibili possono esistere a riposoSageMakerendpoint, abilita la crittografia a riposo per proteggere tali dati.
500.15 (a) (a) Nell'ambito del suo programma di sicurezza informatica, basato sulla sua valutazione del rischio, ogni Entità coperta deve attuare controlli, compresa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'Entità coperta sia in transito su reti esterne che a riposo.

sagemaker-notebook-instance-kms-key-configurato

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuoSageMakernotebook. Perché i dati sensibili possono esistere a riposoSageMakernotebook, abilita la crittografia a riposo per proteggere tali dati.
500.15 (a) (a) Nell'ambito del suo programma di sicurezza informatica, basato sulla sua valutazione del rischio, ogni Entità coperta deve attuare controlli, compresa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'Entità coperta sia in transito su reti esterne che a riposo.

sns-encrypted-kms

Per proteggere i dati a riposo, assicurati che gli argomenti Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Poiché i dati sensibili possono esistere a riposo nei messaggi pubblicati, abilitare la crittografia a riposo per proteggere tali dati.
500.15 (a) (a) Nell'ambito del suo programma di sicurezza informatica, basato sulla sua valutazione del rischio, ogni Entità coperta deve attuare controlli, compresa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'Entità coperta sia in transito su reti esterne che a riposo.

ec2-ebs-encryption-by-default

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati.
500.15 (a) (a) Nell'ambito del suo programma di sicurezza informatica, basato sulla sua valutazione del rischio, ogni Entità coperta deve attuare controlli, compresa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'Entità coperta sia in transito su reti esterne che a riposo.

rds-snapshot-encrypted

Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
500.15 (a) (a) Nell'ambito del suo programma di sicurezza informatica, basato sulla sua valutazione del rischio, ogni Entità coperta deve attuare controlli, compresa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'Entità coperta sia in transito su reti esterne che a riposo.

alb-http-drop-invalid-header-enabled

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati per eliminare le intestazioni http. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
500.15 (a) (a) Nell'ambito del suo programma di sicurezza informatica, basato sulla sua valutazione del rischio, ogni Entità coperta deve attuare controlli, compresa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'Entità coperta sia in transito su reti esterne che a riposo.

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantirenode-to-nodecrittografia per AmazonOpenSearchIl servizio è abilitato. Node-to-nodeconsente la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
500.15 (a) (a) Nell'ambito del suo programma di sicurezza informatica, basato sulla sua valutazione del rischio, ogni Entità coperta deve attuare controlli, compresa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'Entità coperta sia in transito su reti esterne che a riposo.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
500.15 (a) (a) Nell'ambito del suo programma di sicurezza informatica, basato sulla sua valutazione del rischio, ogni Entità coperta deve attuare controlli, compresa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'Entità coperta sia in transito su reti esterne che a riposo.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
500.15 (a) (a) Nell'ambito del suo programma di sicurezza informatica, basato sulla sua valutazione del rischio, ogni Entità coperta deve attuare controlli, compresa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'Entità coperta sia in transito su reti esterne che a riposo.

dynamodb-table-encrypted-kms

Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Poiché i dati sensibili possono esistere a riposo in queste tabelle, abilitare la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con una chiave master cliente di proprietà AWS (CMK).
500.15 (a) (a) Nell'ambito del suo programma di sicurezza informatica, basato sulla sua valutazione del rischio, ogni Entità coperta deve attuare controlli, compresa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'Entità coperta sia in transito su reti esterne che a riposo.

elbv2-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
500.15 (a) (a) Nell'ambito del suo programma di sicurezza informatica, basato sulla sua valutazione del rischio, ogni Entità coperta deve attuare controlli, compresa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'Entità coperta sia in transito su reti esterne che a riposo.

redshift-cluster-kms-enabled

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il cluster Amazon Redshift. Poiché i dati sensibili possono esistere a riposo nei cluster Redshift, abilitare la crittografia a riposo per proteggere tali dati.
500.15 (a) (a) Nell'ambito del suo programma di sicurezza informatica, basato sulla sua valutazione del rischio, ogni Entità coperta deve attuare controlli, compresa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'Entità coperta sia in transito su reti esterne che a riposo.

s3-default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo in un bucket Amazon S3, abilitare la crittografia a riposo per proteggere tali dati.
500.15 (a) (a) Nell'ambito del suo programma di sicurezza informatica, basato sulla sua valutazione del rischio, ogni Entità coperta deve attuare controlli, compresa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'Entità coperta sia in transito su reti esterne che a riposo.

secretsmanager-using-cmk

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per i segreti AWS Secrets Manager. Poiché i dati sensibili possono esistere a riposo nei segreti di Secrets Manager, abilitare la crittografia a riposo per proteggere tali dati.
500.16 (a) Nell'ambito del suo programma di sicurezza informatica, ogni entità interessata stabilisce un piano scritto di risposta agli incidenti progettato per rispondere tempestivamente e recuperare da qualsiasi evento di sicurezza informatica che influisca sostanzialmente sulla riservatezza, l'integrità o la disponibilità dei sistemi informativi dell'entità interessata o funzionalità continua di qualsiasi aspetto dell'attività o delle operazioni dell'entità interessata. response-plan-exists-mantenuto (controllo del processo) Assicurarsi che i piani di risposta agli incidenti siano stabiliti, mantenuti e distribuiti al personale responsabile.

Modello

Il modello è disponibile suGitHub: Best practice operative per NYDFS 23.