Best practice operative perAWSPilastro della sicurezza Well-Architected - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice operative perAWSPilastro della sicurezza Well-Architected

I pacchetti di conformità forniscono un framework di conformità generico progettato per consentire di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando gestiti o personalizzatiAWS Configregole eAWS Configazioni di bonifica. I Conformance Pack, come modelli di esempio, non sono progettati per garantire la conformità a uno standard di governance o di conformità specifici. L'utente è responsabile di valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.

Di seguito viene fornito un esempio di mappatura tra Well-Architected Framework Security Pillar di Amazon Web Services eAWSRegole Config gestite. Ciascuna regola di Config si applica a uno specificoAWSrisorsa e si riferisce a uno o più principi di progettazione del pilastro. Una categoria Well-Architected Framework può essere correlata a più regole di Config. Fare riferimento alla tabella sottostante per ulteriori dettagli e indicazioni relative a queste mappature.

Questo Conformance Pack è stato convalidato daAWSSecurity Assurance Services LLC (AWSSAS), che è un team di Payment Card Industry Qualified Security Assessors (QSA), HITRUST Certified Common Security Framework Practitioners (CCSFP) e professionisti della conformità certificati per fornire indicazioni e valutazioni per vari quadri di settore.AWS I professionisti SAS hanno progettato questo Conformance Pack per consentire a un cliente di allinearsi a un sottoinsieme dei principi di progettazione del Well-Architected Framework Security Pillar.

Regione AWS:Tutto supportatoRegioni AWStranne Medio Oriente (Bahrain)

ID controllo Descrizione del controllo Regola AWS Config Linee guida di
SEC-1.2 Come gestisci in modo sicuro il tuo carico di lavoro? Per gestire il carico di lavoro in modo sicuro, è necessario applicare le best practice generali a ogni area di sicurezza. Prendi i requisiti e i processi definiti in eccellenza operativa a livello organizzativo e di carico di lavoro e applicali a tutte le aree. Rimanere aggiornato con AWS e le raccomandazioni del settore e l'intelligence sulle minacce ti aiuta a evolvere il tuo modello di minaccia e gli obiettivi di controllo. L'automazione dei processi di sicurezza, i test e la convalida consentono di scalare le operazioni di sicurezza.

account-parte delle organizzazioni

La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata dell'account può portare a configurazioni di account incoerenti, che possono esporre risorse e dati sensibili.
SEC-1.3 Come gestisci in modo sicuro il tuo carico di lavoro? Per gestire il carico di lavoro in modo sicuro, è necessario applicare le best practice generali a ogni area di sicurezza. Prendi i requisiti e i processi definiti in eccellenza operativa a livello organizzativo e di carico di lavoro e applicali a tutte le aree. Rimanere aggiornato con AWS e le raccomandazioni del settore e l'intelligence sulle minacce ti aiuta a evolvere il tuo modello di minaccia e gli obiettivi di controllo. L'automazione dei processi di sicurezza, i test e la convalida consentono di scalare le operazioni di sicurezza.

account-parte delle organizzazioni

La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata dell'account può portare a configurazioni di account incoerenti, che possono esporre risorse e dati sensibili.
SEC-1.3 Come gestisci in modo sicuro il tuo carico di lavoro? Per gestire il carico di lavoro in modo sicuro, è necessario applicare le best practice generali a ogni area di sicurezza. Prendi i requisiti e i processi definiti in eccellenza operativa a livello organizzativo e di carico di lavoro e applicali a tutte le aree. Rimanere aggiornato con AWS e le raccomandazioni del settore e l'intelligence sulle minacce ti aiuta a evolvere il tuo modello di minaccia e gli obiettivi di controllo. L'automazione dei processi di sicurezza, i test e la convalida consentono di scalare le operazioni di sicurezza.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
SEC-1.3 Come gestisci in modo sicuro il tuo carico di lavoro? Per gestire il carico di lavoro in modo sicuro, è necessario applicare le best practice generali a ogni area di sicurezza. Prendi i requisiti e i processi definiti in eccellenza operativa a livello organizzativo e di carico di lavoro e applicali a tutte le aree. Rimanere aggiornato con AWS e le raccomandazioni del settore e l'intelligence sulle minacce ti aiuta a evolvere il tuo modello di minaccia e gli obiettivi di controllo. L'automazione dei processi di sicurezza, i test e la convalida consentono di scalare le operazioni di sicurezza.

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'account AWS con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
SEC-1.3 Come gestisci in modo sicuro il tuo carico di lavoro? Per gestire il carico di lavoro in modo sicuro, è necessario applicare le best practice generali a ogni area di sicurezza. Prendi i requisiti e i processi definiti in eccellenza operativa a livello organizzativo e di carico di lavoro e applicali a tutte le aree. Rimanere aggiornato con AWS e le raccomandazioni del settore e l'intelligence sulle minacce ti aiuta a evolvere il tuo modello di minaccia e gli obiettivi di controllo. L'automazione dei processi di sicurezza, i test e la convalida consentono di scalare le operazioni di sicurezza.

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'account AWS con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
SEC-1.9 Come gestisci in modo sicuro il tuo carico di lavoro? Per gestire il carico di lavoro in modo sicuro, è necessario applicare le best practice generali a ogni area di sicurezza. Prendi i requisiti e i processi definiti in eccellenza operativa a livello organizzativo e di carico di lavoro e applicali a tutte le aree. Rimanere aggiornato con AWS e le raccomandazioni del settore e l'intelligence sulle minacce ti aiuta a evolvere il tuo modello di minaccia e gli obiettivi di controllo. L'automazione dei processi di sicurezza, i test e la convalida consentono di scalare le operazioni di sicurezza.

ec2-instance-managed-by-systems-manager

Un inventario delle piattaforme software e delle applicazioni nell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
SEC-1.9 Come gestisci in modo sicuro il tuo carico di lavoro? Per gestire il carico di lavoro in modo sicuro, è necessario applicare le best practice generali a ogni area di sicurezza. Prendi i requisiti e i processi definiti in eccellenza operativa a livello organizzativo e di carico di lavoro e applicali a tutte le aree. Rimanere aggiornato con AWS e le raccomandazioni del settore e l'intelligence sulle minacce ti aiuta a evolvere il tuo modello di minaccia e gli obiettivi di controllo. L'automazione dei processi di sicurezza, i test e la convalida consentono di scalare le operazioni di sicurezza.

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
SEC-1.9 Come gestisci in modo sicuro il tuo carico di lavoro? Per gestire il carico di lavoro in modo sicuro, è necessario applicare le best practice generali a ogni area di sicurezza. Prendi i requisiti e i processi definiti in eccellenza operativa a livello organizzativo e di carico di lavoro e applicali a tutte le aree. Rimanere aggiornato con AWS e le raccomandazioni del settore e l'intelligence sulle minacce ti aiuta a evolvere il tuo modello di minaccia e gli obiettivi di controllo. L'automazione dei processi di sicurezza, i test e la convalida consentono di scalare le operazioni di sicurezza.

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutare con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
SEC-1.9 Come gestisci in modo sicuro il tuo carico di lavoro? Per gestire il carico di lavoro in modo sicuro, è necessario applicare le best practice generali a ogni area di sicurezza. Prendi i requisiti e i processi definiti in eccellenza operativa a livello organizzativo e di carico di lavoro e applicali a tutte le aree. Rimanere aggiornato con AWS e le raccomandazioni del settore e l'intelligence sulle minacce ti aiuta a evolvere il tuo modello di minaccia e gli obiettivi di controllo. L'automazione dei processi di sicurezza, i test e la convalida consentono di scalare le operazioni di sicurezza.

codebuild-project-envvar-awscred-check

Assicurati che le credenziali di autenticazione AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY non esistano negli ambienti di progetto AWS Codebuild. Non memorizzare queste variabili in testo chiaro. La memorizzazione di queste variabili in testo non crittografato comporta l'esposizione non intenzionale dei dati e l'accesso non autorizzato.
SEC-2.2 Come gestisci le identità per persone e macchine? Esistono due tipi di identità da gestire quando si avvicina a carichi di lavoro AWS sicuri. Comprendere il tipo di identità che devi gestire e concedere l'accesso ti aiuta a garantire che le identità giuste abbiano accesso alle risorse giuste nelle giuste condizioni. Identità umane: Amministratori, sviluppatori, operatori e utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni AWS. Si tratta di membri della tua organizzazione o utenti esterni con cui collabori e che interagiscono con le risorse AWS tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità delle macchine: Le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per inviare richieste ai servizi AWS, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo ambiente AWS come le istanze Amazon EC2 o le funzioni AWS Lambda. È inoltre possibile gestire le identità della macchina per parti esterne che hanno bisogno di accesso. Inoltre, potresti avere anche macchine esterne ad AWS che richiedono l'accesso al tuo ambiente AWS.

access-keys-rotated

Le credenziali vengono controllate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo i criteri organizzativi. La modifica delle chiavi di accesso in base a un programma regolare è una procedura consigliata per la sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
SEC-2.2 Come gestisci le identità per persone e macchine? Esistono due tipi di identità da gestire quando si avvicina a carichi di lavoro AWS sicuri. Comprendere il tipo di identità che devi gestire e concedere l'accesso ti aiuta a garantire che le identità giuste abbiano accesso alle risorse giuste nelle giuste condizioni. Identità umane: Amministratori, sviluppatori, operatori e utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni AWS. Si tratta di membri della tua organizzazione o utenti esterni con cui collabori e che interagiscono con le risorse AWS tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità delle macchine: Le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per inviare richieste ai servizi AWS, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo ambiente AWS come le istanze Amazon EC2 o le funzioni AWS Lambda. È inoltre possibile gestire le identità della macchina per parti esterne che hanno bisogno di accesso. Inoltre, potresti avere anche macchine esterne ad AWS che necessitano di accesso al tuo ambiente AWS.

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativa RequireUppercaseCharacters (Valore delle Best Practices AWS Foundational Security Best Practices: true), RequireLowercaseCharacters (valore AWS Foundational Security Best Practices: true), RequireSymbols (valore AWS Foundational Security Best Practices: true), RequireNumbers (valore AWS Foundational Security Best Practices: true), MinimumPasswordLength (Valore delle best practice AWS Foundational Security Best Practices: 14), PasswordReusePrevention (valore delle best practice per la sicurezza di AWS Foundational: 24) e MaxPasswordAge (Valore Best Practices di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
SEC-2.2 Come gestisci le identità per persone e macchine? Esistono due tipi di identità da gestire quando si avvicina a carichi di lavoro AWS sicuri. Comprendere il tipo di identità che devi gestire e concedere l'accesso ti aiuta a garantire che le identità giuste abbiano accesso alle risorse giuste nelle giuste condizioni. Identità umane: Amministratori, sviluppatori, operatori e utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni AWS. Si tratta di membri della tua organizzazione o utenti esterni con cui collabori e che interagiscono con le risorse AWS tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità delle macchine: Le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per inviare richieste ai servizi AWS, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo ambiente AWS come le istanze Amazon EC2 o le funzioni AWS Lambda. È inoltre possibile gestire le identità della macchina per parti esterne che hanno bisogno di accesso. Inoltre, potresti avere anche macchine esterne ad AWS che necessitano di accesso al tuo ambiente AWS.

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce l'attivazione dell'autenticazione a più fattori (MFA) per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
SEC-2.2 Come gestisci le identità per persone e macchine? Esistono due tipi di identità da gestire quando si avvicina a carichi di lavoro AWS sicuri. Comprendere il tipo di identità che devi gestire e concedere l'accesso ti aiuta a garantire che le identità giuste abbiano accesso alle risorse giuste nelle giuste condizioni. Identità umane: Amministratori, sviluppatori, operatori e utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni AWS. Si tratta di membri della tua organizzazione o utenti esterni con cui collabori e che interagiscono con le risorse AWS tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità della macchina: Le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per inviare richieste ai servizi AWS, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo ambiente AWS come le istanze Amazon EC2 o le funzioni AWS Lambda. È inoltre possibile gestire le identità della macchina per parti esterne che hanno bisogno di accesso. Inoltre, potresti avere anche macchine esterne ad AWS che richiedono l'accesso al tuo ambiente AWS.

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
SEC-2.3 Come gestisci le identità per persone e macchine? Esistono due tipi di identità da gestire quando si avvicina a carichi di lavoro AWS sicuri. Comprendere il tipo di identità che devi gestire e concedere l'accesso ti aiuta a garantire che le identità giuste abbiano accesso alle risorse giuste nelle giuste condizioni. Identità umane: Amministratori, sviluppatori, operatori e utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni AWS. Si tratta di membri della tua organizzazione o utenti esterni con cui collabori e che interagiscono con le risorse AWS tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità della macchina: Le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per inviare richieste ai servizi AWS, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo ambiente AWS come le istanze Amazon EC2 o le funzioni AWS Lambda. È inoltre possibile gestire le identità della macchina per parti esterne che hanno bisogno di accesso. Inoltre, potresti avere anche macchine esterne ad AWS che richiedono l'accesso al tuo ambiente AWS.

ecs-task-definition-user-per-host-mode check

Se una definizione di attività ha privilegi elevati, è perché il cliente ha specificamente optato per tali configurazioni. Questo controllo verifica la presenza di un'escalation imprevista dei privilegi quando una definizione di attività ha abilitato la rete host, ma il cliente non ha optato per privilegi elevati.
SEC-2.3 Come gestisci le identità per persone e macchine? Esistono due tipi di identità da gestire quando si avvicina a carichi di lavoro AWS sicuri. Comprendere il tipo di identità che devi gestire e concedere l'accesso ti aiuta a garantire che le identità giuste abbiano accesso alle risorse giuste nelle giuste condizioni. Identità umane: Amministratori, sviluppatori, operatori e utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni AWS. Si tratta di membri della tua organizzazione o utenti esterni con cui collabori e che interagiscono con le risorse AWS tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità della macchina: Le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per inviare richieste ai servizi AWS, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo ambiente AWS come le istanze Amazon EC2 o le funzioni AWS Lambda. È inoltre possibile gestire le identità della macchina per parti esterne che hanno bisogno di accesso. Inoltre, potresti avere anche macchine esterne ad AWS che richiedono l'accesso al tuo ambiente AWS.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
SEC-2.3 Come gestisci le identità per persone e macchine? Esistono due tipi di identità da gestire quando si avvicina a carichi di lavoro AWS sicuri. Comprendere il tipo di identità che devi gestire e concedere l'accesso ti aiuta a garantire che le identità giuste abbiano accesso alle risorse giuste nelle giuste condizioni. Identità umane: Amministratori, sviluppatori, operatori e utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni AWS. Si tratta di membri della tua organizzazione o utenti esterni con cui collabori e che interagiscono con le risorse AWS tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità della macchina: Le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per inviare richieste ai servizi AWS, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo ambiente AWS come le istanze Amazon EC2 o le funzioni AWS Lambda. È inoltre possibile gestire le identità della macchina per parti esterne che hanno bisogno di accesso. Inoltre, potresti avere anche macchine esterne ad AWS che richiedono l'accesso al tuo ambiente AWS.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
SEC-2.3 Come gestisci le identità per persone e macchine? Esistono due tipi di identità da gestire quando si avvicina a carichi di lavoro AWS sicuri. Comprendere il tipo di identità che devi gestire e concedere l'accesso ti aiuta a garantire che le identità giuste abbiano accesso alle risorse giuste nelle giuste condizioni. Identità umane: Amministratori, sviluppatori, operatori e utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni AWS. Si tratta di membri della tua organizzazione o utenti esterni con cui collabori e che interagiscono con le risorse AWS tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità della macchina: Le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per inviare richieste ai servizi AWS, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo ambiente AWS come le istanze Amazon EC2 o le funzioni AWS Lambda. È inoltre possibile gestire le identità della macchina per parti esterne che hanno bisogno di accesso. Inoltre, potresti avere anche macchine esterne ad AWS che richiedono l'accesso al tuo ambiente AWS.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Azione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
SEC-2.3 Come gestisci le identità per persone e macchine? Esistono due tipi di identità da gestire quando si avvicina a carichi di lavoro AWS sicuri. Comprendere il tipo di identità che devi gestire e concedere l'accesso ti aiuta a garantire che le identità giuste abbiano accesso alle risorse giuste nelle giuste condizioni. Identità umane: Amministratori, sviluppatori, operatori e utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni AWS. Si tratta di membri della tua organizzazione o utenti esterni con cui collabori e che interagiscono con le risorse AWS tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità della macchina: Le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per inviare richieste ai servizi AWS, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo ambiente AWS come le istanze Amazon EC2 o le funzioni AWS Lambda. È inoltre possibile gestire le identità della macchina per parti esterne che hanno bisogno di accesso. Inoltre, potresti avere anche macchine esterne ad AWS che richiedono l'accesso al tuo ambiente AWS.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
SEC-2.3 Come gestisci le identità per persone e macchine? Esistono due tipi di identità da gestire quando si avvicina a carichi di lavoro AWS sicuri. Comprendere il tipo di identità che devi gestire e concedere l'accesso ti aiuta a garantire che le identità giuste abbiano accesso alle risorse giuste nelle giuste condizioni. Identità umane: Amministratori, sviluppatori, operatori e utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni AWS. Si tratta di membri della tua organizzazione o utenti esterni con cui collabori e che interagiscono con le risorse AWS tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità della macchina: Le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per inviare richieste ai servizi AWS, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo ambiente AWS come le istanze Amazon EC2 o le funzioni AWS Lambda. È inoltre possibile gestire le identità della macchina per parti esterne che hanno bisogno di accesso. Inoltre, potresti avere anche macchine esterne ad AWS che richiedono l'accesso al tuo ambiente AWS.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
SEC-2.3 Come gestisci le identità per persone e macchine? Esistono due tipi di identità da gestire quando si avvicina a carichi di lavoro AWS sicuri. Comprendere il tipo di identità che devi gestire e concedere l'accesso ti aiuta a garantire che le identità giuste abbiano accesso alle risorse giuste nelle giuste condizioni. Identità umane: Amministratori, sviluppatori, operatori e utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni AWS. Si tratta di membri della tua organizzazione o utenti esterni con cui collabori e che interagiscono con le risorse AWS tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità della macchina: Le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per inviare richieste ai servizi AWS, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo ambiente AWS come le istanze Amazon EC2 o le funzioni AWS Lambda. È inoltre possibile gestire le identità della macchina per parti esterne che hanno bisogno di accesso. Inoltre, potresti avere anche macchine esterne ad AWS che richiedono l'accesso al tuo ambiente AWS.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsageAge (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
SEC-2.4 Come gestisci le identità per persone e macchine? Esistono due tipi di identità da gestire quando si avvicina a carichi di lavoro AWS sicuri. Comprendere il tipo di identità che devi gestire e concedere l'accesso ti aiuta a garantire che le identità giuste abbiano accesso alle risorse giuste nelle giuste condizioni. Identità umane: Amministratori, sviluppatori, operatori e utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni AWS. Si tratta di membri della tua organizzazione o utenti esterni con cui collabori e che interagiscono con le risorse AWS tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità della macchina: Le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per inviare richieste ai servizi AWS, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo ambiente AWS come le istanze Amazon EC2 o le funzioni AWS Lambda. È inoltre possibile gestire le identità della macchina per parti esterne che hanno bisogno di accesso. Inoltre, potresti avere anche macchine esterne ad AWS che richiedono l'accesso al tuo ambiente AWS.

secretsmanager-rotation-enabled-check

Questa regola assicura che i segreti di AWS Secrets Manager abbiano abilitato la rotazione. La rotazione dei segreti in base a un programma regolare può ridurre il periodo di attività di un segreto e potenzialmente ridurre l'impatto aziendale se il segreto viene compromesso.
SEC-2.4 Come gestisci le identità per persone e macchine? Esistono due tipi di identità da gestire quando si avvicina a carichi di lavoro AWS sicuri. Comprendere il tipo di identità che devi gestire e concedere l'accesso ti aiuta a garantire che le identità giuste abbiano accesso alle risorse giuste nelle giuste condizioni. Identità umane: Amministratori, sviluppatori, operatori e utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni AWS. Si tratta di membri della tua organizzazione o utenti esterni con cui collabori e che interagiscono con le risorse AWS tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità della macchina: Le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per inviare richieste ai servizi AWS, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo ambiente AWS come le istanze Amazon EC2 o le funzioni AWS Lambda. È inoltre possibile gestire le identità della macchina per parti esterne che hanno bisogno di accesso. Inoltre, potresti avere anche macchine esterne ad AWS che richiedono l'accesso al tuo ambiente AWS.

secretsmanager-scheduled-rotation-success-check

Questa regola garantisce che i segreti di AWS Secrets Manager siano stati ruotati correttamente in base al programma di rotazione. La rotazione dei segreti in base a un programma regolare può ridurre il periodo in cui un segreto è attivo e potenzialmente ridurre l'impatto aziendale in caso di compromissione.
SEC-2.4 Come gestisci le identità per persone e macchine? Esistono due tipi di identità da gestire quando si avvicina a carichi di lavoro AWS sicuri. Comprendere il tipo di identità che devi gestire e concedere l'accesso ti aiuta a garantire che le identità giuste abbiano accesso alle risorse giuste nelle giuste condizioni. Identità umane: Amministratori, sviluppatori, operatori e utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni AWS. Si tratta di membri della tua organizzazione o utenti esterni con cui collabori e che interagiscono con le risorse AWS tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità della macchina: Le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per inviare richieste ai servizi AWS, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo ambiente AWS come le istanze Amazon EC2 o le funzioni AWS Lambda. È inoltre possibile gestire le identità della macchina per parti esterne che hanno bisogno di accesso. Inoltre, potresti avere anche macchine esterne ad AWS che richiedono l'accesso al tuo ambiente AWS.

secretsmanager-segreto-rotazione periodica

Questa regola garantisce che i segreti di AWS Secrets Manager siano stati ruotati nel numero di giorni specificato negli ultimi giorni. Cambiare segreti in base a un programma regolare è una best practice per la sicurezza. Riduce il periodo di attività di un segreto e riduce l'impatto aziendale in caso di compromissione di un segreto. (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
SEC-2.4 Come gestisci le identità per persone e macchine? Esistono due tipi di identità da gestire quando si avvicina a carichi di lavoro AWS sicuri. Comprendere il tipo di identità che devi gestire e concedere l'accesso ti aiuta a garantire che le identità giuste abbiano accesso alle risorse giuste nelle giuste condizioni. Identità umane: Amministratori, sviluppatori, operatori e utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni AWS. Si tratta di membri della tua organizzazione o utenti esterni con cui collabori e che interagiscono con le risorse AWS tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità della macchina: Le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per inviare richieste ai servizi AWS, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo ambiente AWS come le istanze Amazon EC2 o le funzioni AWS Lambda. È inoltre possibile gestire le identità della macchina per parti esterne che hanno bisogno di accesso. Inoltre, potresti avere anche macchine esterne ad AWS che richiedono l'accesso al tuo ambiente AWS.

secretsmanager-segreto-inutilizzato

Questa regola garantisce l'accesso ai segreti di AWS Secrets Manager entro un determinato numero di giorni. Se vengono identificati questi segreti inutilizzati, è necessario disattivarli e/o rimuoverli, poiché ciò potrebbe violare il principio del privilegio minimo. (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
SEC-2.4 Come gestisci le identità per persone e macchine? Esistono due tipi di identità da gestire quando si avvicina a carichi di lavoro AWS sicuri. Comprendere il tipo di identità che devi gestire e concedere l'accesso ti aiuta a garantire che le identità giuste abbiano accesso alle risorse giuste nelle giuste condizioni. Identità umane: Amministratori, sviluppatori, operatori e utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni AWS. Si tratta di membri della tua organizzazione o utenti esterni con cui collabori e che interagiscono con le risorse AWS tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità della macchina: Le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per inviare richieste ai servizi AWS, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo ambiente AWS come le istanze Amazon EC2 o le funzioni AWS Lambda. È inoltre possibile gestire le identità della macchina per parti esterne che hanno bisogno di accesso. Inoltre, potresti avere anche macchine esterne ad AWS che richiedono l'accesso al tuo ambiente AWS.

secretsmanager-using-cmk

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per i segreti di AWS Secrets Manager. Poiché i dati sensibili possono esistere a riposo nei segreti di Secrets Manager, abilitare la crittografia a riposo per proteggere tali dati.
SEC-2.6 Come gestisci le identità per persone e macchine? Esistono due tipi di identità da gestire quando si avvicina a carichi di lavoro AWS sicuri. Comprendere il tipo di identità che devi gestire e concedere l'accesso ti aiuta a garantire che le identità giuste abbiano accesso alle risorse giuste nelle giuste condizioni. Identità umane: Amministratori, sviluppatori, operatori e utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni AWS. Si tratta di membri della tua organizzazione o utenti esterni con cui collabori e che interagiscono con le risorse AWS tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità della macchina: Le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per inviare richieste ai servizi AWS, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo ambiente AWS come le istanze Amazon EC2 o le funzioni AWS Lambda. È inoltre possibile gestire le identità della macchina per parti esterne che hanno bisogno di accesso. Inoltre, potresti avere anche macchine esterne ad AWS che richiedono l'accesso al tuo ambiente AWS.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
SEC-2.6 Come gestisci le identità per persone e macchine? Esistono due tipi di identità da gestire quando si avvicina a carichi di lavoro AWS sicuri. Comprendere il tipo di identità che devi gestire e concedere l'accesso ti aiuta a garantire che le identità giuste abbiano accesso alle risorse giuste nelle giuste condizioni. Identità umane: Amministratori, sviluppatori, operatori e utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni AWS. Si tratta di membri della tua organizzazione o utenti esterni con cui collabori e che interagiscono con le risorse AWS tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità della macchina: Le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per inviare richieste ai servizi AWS, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo ambiente AWS come le istanze Amazon EC2 o le funzioni AWS Lambda. È inoltre possibile gestire le identità della macchina per parti esterne che hanno bisogno di accesso. Inoltre, potresti avere anche macchine esterne ad AWS che richiedono l'accesso al tuo ambiente AWS.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
SEC-2.7 Come gestisci le identità per persone e macchine? Esistono due tipi di identità da gestire quando si avvicina a carichi di lavoro AWS sicuri. Comprendere il tipo di identità che devi gestire e concedere l'accesso ti aiuta a garantire che le identità giuste abbiano accesso alle risorse giuste nelle giuste condizioni. Identità umane: Amministratori, sviluppatori, operatori e utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni AWS. Si tratta di membri della tua organizzazione o utenti esterni con cui collabori e che interagiscono con le risorse AWS tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità della macchina: Le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per inviare richieste ai servizi AWS, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo ambiente AWS come le istanze Amazon EC2 o le funzioni AWS Lambda. È inoltre possibile gestire le identità della macchina per parti esterne che hanno bisogno di accesso. Inoltre, potresti avere anche macchine esterne ad AWS che richiedono l'accesso al tuo ambiente AWS.

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativa RequireUppercaseCharacters (valore AWS Foundational Security Best Practices: true), RequireLowercaseCharacters (valore AWS Foundational Security Best Practices: true), RequireSymbols (valore AWS Foundational Security Best Practices: true), RequireNumbers (valore AWS Foundational Security Best Practices: true), MinimumPasswordLength (Valore delle best practice AWS Foundational Security Best Practices: 14), PasswordReusePrevention (valore delle best practice per la sicurezza di AWS Foundational: 24) e MaxPasswordAge (Valore Best Practices di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
SEC-2.7 Come gestisci le identità per persone e macchine? Esistono due tipi di identità da gestire quando si avvicina a carichi di lavoro AWS sicuri. Comprendere il tipo di identità che devi gestire e concedere l'accesso ti aiuta a garantire che le identità giuste abbiano accesso alle risorse giuste nelle giuste condizioni. Identità umane: Amministratori, sviluppatori, operatori e utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni AWS. Si tratta di membri della tua organizzazione o utenti esterni con cui collabori e che interagiscono con le risorse AWS tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità della macchina: Le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per inviare richieste ai servizi AWS, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo ambiente AWS come le istanze Amazon EC2 o le funzioni AWS Lambda. È inoltre possibile gestire le identità della macchina per parti esterne che hanno bisogno di accesso. Inoltre, potresti avere anche macchine esterne ad AWS che richiedono l'accesso al tuo ambiente AWS.

access-keys-rotated

Le credenziali vengono controllate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo i criteri organizzativi. La modifica delle chiavi di accesso in base a un programma regolare è una procedura consigliata per la sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
SEC-3.2 Come gestisci le autorizzazioni per persone e macchine? Ogni componente o risorsa del carico di lavoro deve essere accessibile da amministratori, utenti finali o altri componenti. Avere una chiara definizione di chi o cosa dovrebbe avere accesso a ciascun componente, scegliere il tipo di identità e il metodo di autenticazione e autorizzazione appropriati.

ec2-imdsv2 - controllo

Assicurati che il metodo IMDSv2 (Instance Metadata Service Version 2) sia abilitato per proteggere l'accesso e il controllo dei metadati dell'istanza Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati su sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze.
SEC-3.2 Come gestisci le autorizzazioni per persone e macchine? Ogni componente o risorsa del carico di lavoro deve essere accessibile da amministratori, utenti finali o altri componenti. Avere una chiara definizione di chi o cosa dovrebbe avere accesso a ciascun componente, scegliere il tipo di identità e il metodo di autenticazione e autorizzazione appropriati.

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può aiutare nella gestione dei privilegi e delle autorizzazioni minimi.
SEC-3.2 Come gestisci le autorizzazioni per persone e macchine? Ogni componente o risorsa del carico di lavoro deve essere accessibile da amministratori, utenti finali o altri componenti. Avere una chiara definizione di chi o cosa dovrebbe avere accesso a ciascun componente, scegliere il tipo di identità e il metodo di autenticazione e autorizzazione appropriati.

ecs-task-definition-user-per-host-mode check

Se una definizione di attività ha privilegi elevati, è perché il cliente ha specificamente optato per tali configurazioni. Questo controllo verifica la presenza di un'escalation imprevista dei privilegi quando una definizione di attività ha abilitato la rete host, ma il cliente non ha optato per privilegi elevati.
SEC-3.2 Come gestisci le autorizzazioni per persone e macchine? Ogni componente o risorsa del carico di lavoro deve essere accessibile da amministratori, utenti finali o altri componenti. Avere una chiara definizione di chi o cosa dovrebbe avere accesso a ciascun componente, scegliere il tipo di identità e il metodo di autenticazione e autorizzazione appropriati.

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC si autentica emettendo dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
SEC-3.2 Come gestisci le autorizzazioni per persone e macchine? Ogni componente o risorsa del carico di lavoro deve essere accessibile da amministratori, utenti finali o altri componenti. Avere una chiara definizione di chi o cosa dovrebbe avere accesso a ciascun componente, scegliere il tipo di identità e il metodo di autenticazione e autorizzazione appropriati.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
SEC-3.2 Come gestisci le autorizzazioni per persone e macchine? Ogni componente o risorsa del carico di lavoro deve essere accessibile da amministratori, utenti finali o altri componenti. Avere una chiara definizione di chi o cosa dovrebbe avere accesso a ciascun componente, scegliere il tipo di identità e il metodo di autenticazione e autorizzazione appropriati.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
SEC-3.2 Come gestisci le autorizzazioni per persone e macchine? Ogni componente o risorsa del carico di lavoro deve essere accessibile da amministratori, utenti finali o altri componenti. Avere una chiara definizione di chi o cosa dovrebbe avere accesso a ciascun componente, scegliere il tipo di identità e il metodo di autenticazione e autorizzazione appropriati.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Azione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
SEC-3.2 Come gestisci le autorizzazioni per persone e macchine? Ogni componente o risorsa del carico di lavoro deve essere accessibile da amministratori, utenti finali o altri componenti. Avere una chiara definizione di chi o cosa dovrebbe avere accesso a ciascun componente, scegliere il tipo di identità e il metodo di autenticazione e autorizzazione appropriati.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
SEC-3.2 Come gestisci le autorizzazioni per persone e macchine? Ogni componente o risorsa del carico di lavoro deve essere accessibile da amministratori, utenti finali o altri componenti. Avere una chiara definizione di chi o cosa dovrebbe avere accesso a ciascun componente, scegliere il tipo di identità e il metodo di autenticazione e autorizzazione appropriati.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
SEC-3.2 Come gestisci le autorizzazioni per persone e macchine? Ogni componente o risorsa del carico di lavoro deve essere accessibile da amministratori, utenti finali o altri componenti. Avere una chiara definizione di chi o cosa dovrebbe avere accesso a ciascun componente, scegliere il tipo di identità e il metodo di autenticazione e autorizzazione appropriati.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
SEC-3.2 Come gestisci le autorizzazioni per persone e macchine? Ogni componente o risorsa del carico di lavoro deve essere accessibile da amministratori, utenti finali o altri componenti. Avere una chiara definizione di chi o cosa dovrebbe avere accesso a ciascun componente, scegliere il tipo di identità e il metodo di autenticazione e autorizzazione appropriati.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsageAge (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
SEC-3.3 Come gestisci le autorizzazioni per persone e macchine? Stabilisci controlli comuni che limitano l'accesso a tutte le identità dell'organizzazione. Ad esempio, puoi limitare l'accesso a specifiche regioni AWS o impedire ai tuoi operatori di eliminare risorse comuni, ad esempio un ruolo IAM utilizzato per il team di sicurezza centrale

account-parte delle organizzazioni

La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata dell'account può portare a configurazioni di account incoerenti, che possono esporre risorse e dati sensibili.
SEC-3.4 Come gestisci le autorizzazioni per persone e macchine? Concedi solo l'accesso richiesto dalle identità consentendo l'accesso a azioni specifiche su risorse AWS specifiche in condizioni specifiche. Affidati a gruppi e attributi di identità per impostare dinamicamente le autorizzazioni su larga scala, anziché definire le autorizzazioni per i singoli utenti. Ad esempio, è possibile consentire a un gruppo di sviluppatori di accedere a gestire solo le risorse per il proprio progetto. In questo modo, quando uno sviluppatore viene rimosso dal gruppo, l'accesso per lo sviluppatore viene revocato ovunque il gruppo sia stato utilizzato per il controllo degli accessi, senza richiedere modifiche alle policy di accesso.

ec2-imdsv2 - controllo

Assicurati che il metodo IMDSv2 (Instance Metadata Service Version 2) sia abilitato per proteggere l'accesso e il controllo dei metadati dell'istanza Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati su sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze.
SEC-3.4 Come gestisci le autorizzazioni per persone e macchine? Concedi solo l'accesso richiesto dalle identità consentendo l'accesso a azioni specifiche su risorse AWS specifiche in condizioni specifiche. Affidati a gruppi e attributi di identità per impostare dinamicamente le autorizzazioni su larga scala, anziché definire le autorizzazioni per i singoli utenti. Ad esempio, è possibile consentire a un gruppo di sviluppatori di accedere a gestire solo le risorse per il proprio progetto. In questo modo, quando uno sviluppatore viene rimosso dal gruppo, l'accesso per lo sviluppatore viene revocato ovunque il gruppo sia stato utilizzato per il controllo degli accessi, senza richiedere modifiche alle policy di accesso.

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può aiutare nella gestione dei privilegi e delle autorizzazioni minimi.
SEC-3.4 Come gestisci le autorizzazioni per persone e macchine? Concedi solo l'accesso richiesto dalle identità consentendo l'accesso a azioni specifiche su risorse AWS specifiche in condizioni specifiche. Affidati a gruppi e attributi di identità per impostare dinamicamente le autorizzazioni su larga scala, anziché definire le autorizzazioni per i singoli utenti. Ad esempio, è possibile consentire a un gruppo di sviluppatori di accedere a gestire solo le risorse per il proprio progetto. In questo modo, quando uno sviluppatore viene rimosso dal gruppo, l'accesso per lo sviluppatore viene revocato ovunque il gruppo sia stato utilizzato per il controllo degli accessi, senza richiedere modifiche alle policy di accesso.

ecs-task-definition-user-per-host-mode check

Se una definizione di attività ha privilegi elevati, è perché il cliente ha specificamente optato per tali configurazioni. Questo controllo verifica la presenza di un'escalation imprevista dei privilegi quando una definizione di attività ha abilitato la rete host, ma il cliente non ha optato per privilegi elevati.
SEC-3.4 Come gestisci le autorizzazioni per persone e macchine? Concedi solo l'accesso richiesto dalle identità consentendo l'accesso a azioni specifiche su risorse AWS specifiche in condizioni specifiche. Affidati a gruppi e attributi di identità per impostare dinamicamente le autorizzazioni su larga scala, anziché definire le autorizzazioni per i singoli utenti. Ad esempio, è possibile consentire a un gruppo di sviluppatori di accedere a gestire solo le risorse per il proprio progetto. In questo modo, quando uno sviluppatore viene rimosso dal gruppo, l'accesso per lo sviluppatore viene revocato ovunque il gruppo sia stato utilizzato per il controllo degli accessi, senza richiedere modifiche alle policy di accesso.

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC si autentica emettendo dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
SEC-3.4 Come gestisci le autorizzazioni per persone e macchine? Concedi solo l'accesso richiesto dalle identità consentendo l'accesso a azioni specifiche su risorse AWS specifiche in condizioni specifiche. Affidati a gruppi e attributi di identità per impostare dinamicamente le autorizzazioni su larga scala, anziché definire le autorizzazioni per i singoli utenti. Ad esempio, è possibile consentire a un gruppo di sviluppatori di accedere a gestire solo le risorse per il proprio progetto. In questo modo, quando uno sviluppatore viene rimosso dal gruppo, l'accesso per lo sviluppatore viene revocato ovunque il gruppo sia stato utilizzato per il controllo degli accessi, senza richiedere modifiche alle policy di accesso.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
SEC-3.4 Come gestisci le autorizzazioni per persone e macchine? Concedi solo l'accesso richiesto dalle identità consentendo l'accesso a azioni specifiche su risorse AWS specifiche in condizioni specifiche. Affidati a gruppi e attributi di identità per impostare dinamicamente le autorizzazioni su larga scala, anziché definire le autorizzazioni per i singoli utenti. Ad esempio, è possibile consentire a un gruppo di sviluppatori di accedere a gestire solo le risorse per il proprio progetto. In questo modo, quando uno sviluppatore viene rimosso dal gruppo, l'accesso per lo sviluppatore viene revocato ovunque il gruppo sia stato utilizzato per il controllo degli accessi, senza richiedere modifiche alle policy di accesso.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
SEC-3.4 Come gestisci le autorizzazioni per persone e macchine? Concedi solo l'accesso richiesto dalle identità consentendo l'accesso a azioni specifiche su risorse AWS specifiche in condizioni specifiche. Affidati a gruppi e attributi di identità per impostare dinamicamente le autorizzazioni su larga scala, anziché definire le autorizzazioni per i singoli utenti. Ad esempio, è possibile consentire a un gruppo di sviluppatori di accedere a gestire solo le risorse per il proprio progetto. In questo modo, quando uno sviluppatore viene rimosso dal gruppo, l'accesso per lo sviluppatore viene revocato ovunque il gruppo sia stato utilizzato per il controllo degli accessi, senza richiedere modifiche alle policy di accesso.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Azione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
SEC-3.4 Come gestisci le autorizzazioni per persone e macchine? Concedi solo l'accesso richiesto dalle identità consentendo l'accesso a azioni specifiche su risorse AWS specifiche in condizioni specifiche. Affidati a gruppi e attributi di identità per impostare dinamicamente le autorizzazioni su larga scala, anziché definire le autorizzazioni per i singoli utenti. Ad esempio, è possibile consentire a un gruppo di sviluppatori di accedere a gestire solo le risorse per il proprio progetto. In questo modo, quando uno sviluppatore viene rimosso dal gruppo, l'accesso per lo sviluppatore viene revocato ovunque il gruppo sia stato utilizzato per il controllo degli accessi, senza richiedere modifiche alle policy di accesso.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
SEC-3.4 Come gestisci le autorizzazioni per persone e macchine? Concedi solo l'accesso richiesto dalle identità consentendo l'accesso a azioni specifiche su risorse AWS specifiche in condizioni specifiche. Affidati a gruppi e attributi di identità per impostare dinamicamente le autorizzazioni su larga scala, anziché definire le autorizzazioni per i singoli utenti. Ad esempio, è possibile consentire a un gruppo di sviluppatori di accedere a gestire solo le risorse per il proprio progetto. In questo modo, quando uno sviluppatore viene rimosso dal gruppo, l'accesso per lo sviluppatore viene revocato ovunque il gruppo sia stato utilizzato per il controllo degli accessi, senza richiedere modifiche alle policy di accesso.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
SEC-3.4 Come gestisci le autorizzazioni per persone e macchine? Concedi solo l'accesso richiesto dalle identità consentendo l'accesso a azioni specifiche su risorse AWS specifiche in condizioni specifiche. Affidati a gruppi e attributi di identità per impostare dinamicamente le autorizzazioni su larga scala, anziché definire le autorizzazioni per i singoli utenti. Ad esempio, è possibile consentire a un gruppo di sviluppatori di accedere a gestire solo le risorse per il proprio progetto. In questo modo, quando uno sviluppatore viene rimosso dal gruppo, l'accesso per lo sviluppatore viene revocato ovunque il gruppo sia stato utilizzato per il controllo degli accessi, senza richiedere modifiche alle policy di accesso.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
SEC-3.4 Come gestisci le autorizzazioni per persone e macchine? Concedi solo l'accesso richiesto dalle identità consentendo l'accesso a azioni specifiche su risorse AWS specifiche in condizioni specifiche. Affidati a gruppi e attributi di identità per impostare dinamicamente le autorizzazioni su larga scala, anziché definire le autorizzazioni per i singoli utenti. Ad esempio, è possibile consentire a un gruppo di sviluppatori di accedere a gestire solo le risorse per il proprio progetto. In questo modo, quando uno sviluppatore viene rimosso dal gruppo, l'accesso per lo sviluppatore viene revocato ovunque il gruppo sia stato utilizzato per il controllo degli accessi, senza richiedere modifiche alle policy di accesso.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsageAge (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
SEC-3.5 Come gestisci le autorizzazioni per persone e macchine? Integra i controlli di accesso con il ciclo di vita dell'operatore e dell'applicazione e il tuo provider federativo centralizzato. Ad esempio, rimuovi un accesso utente quando esce dall'organizzazione o cambiano ruoli.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsageAge (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
SEC-3.7 Come gestisci le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e incrociato. Riduci l'accesso pubblico e l'accesso tra account solo alle risorse che richiedono questo tipo di accesso.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
SEC-3.7 Come gestisci le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e incrociato. Riduci l'accesso pubblico e l'accesso tra account solo alle risorse che richiedono questo tipo di accesso.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS Cloud assicurando che gli snapshot EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
SEC-3.7 Come gestisci le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e incrociato. Riduci l'accesso pubblico e l'accesso tra account solo alle risorse che richiedono questo tipo di accesso.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
SEC-3.7 Come gestisci le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e incrociato. Riduci l'accesso pubblico e l'accesso tra account solo alle risorse che richiedono questo tipo di accesso.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando Amazon OpenSearch I domini Service (OpenSearch Service) sono all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un record OpenSearch Il dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
SEC-3.7 Come gestisci le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e incrociato. Riduci l'accesso pubblico e l'accesso tra account solo alle risorse che richiedono questo tipo di accesso.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
SEC-3.7 Come gestisci le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e incrociato. Riduci l'accesso pubblico e l'accesso tra account solo alle risorse che richiedono questo tipo di accesso.

ec2-instances-in-vpc

Distribuisci istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
SEC-3.7 Come gestisci le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e incrociato. Riduci l'accesso pubblico e l'accesso tra account solo alle risorse che richiedono questo tipo di accesso.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
SEC-3.7 Come gestisci le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e incrociato. Riduci l'accesso pubblico e l'accesso tra account solo alle risorse che richiedono questo tipo di accesso.

lambda-inside-vpc

Distribuisci le funzioni AWS Lambda all'interno di Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi nel VPC Amazon. Con questa configurazione, non sono necessari gateway Internet, dispositivo NAT o connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
SEC-3.7 Come gestisci le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e incrociato. Riduci l'accesso pubblico e l'accesso tra account solo alle risorse che richiedono questo tipo di accesso.

rds-instance-public-access-check

Gestisci l'accesso a risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
SEC-3.7 Come gestisci le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e incrociato. Riduci l'accesso pubblico e l'accesso tra account solo alle risorse che richiedono questo tipo di accesso.

rds-snapshots-public-prohibited

Gestisci l'accesso a risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
SEC-3.7 Come gestisci le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e incrociato. Riduci l'accesso pubblico e l'accesso tra account solo alle risorse che richiedono questo tipo di accesso.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
SEC-3.7 Come gestisci le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e incrociato. Riduci l'accesso pubblico e l'accesso tra account solo alle risorse che richiedono questo tipo di accesso.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso a risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativa ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
SEC-3.7 Come gestisci le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e incrociato. Riduci l'accesso pubblico e l'accesso tra account solo alle risorse che richiedono questo tipo di accesso.

s3-bucket-level-public-access-vietato

Gestisci l'accesso a risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
SEC-3.7 Come gestisci le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e incrociato. Riduci l'accesso pubblico e l'accesso tra account solo alle risorse che richiedono questo tipo di accesso.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
SEC-3.7 Come gestisci le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e incrociato. Riduci l'accesso pubblico e l'accesso tra account solo alle risorse che richiedono questo tipo di accesso.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
SEC-3.7 Come gestisci le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e incrociato. Riduci l'accesso pubblico e l'accesso tra account solo alle risorse che richiedono questo tipo di accesso.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che Amazon SageMaker i notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
SEC-3.7 Come gestisci le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e incrociato. Riduci l'accesso pubblico e l'accesso tra account solo alle risorse che richiedono questo tipo di accesso.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
SEC-3.7 Come gestisci le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e incrociato. Riduci l'accesso pubblico e l'accesso tra account solo alle risorse che richiedono questo tipo di accesso.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
SEC-3.7 Come gestisci le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e incrociato. Riduci l'accesso pubblico e l'accesso tra account solo alle risorse che richiedono questo tipo di accesso.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
SEC-4.2 Come si rilevano e indagano gli eventi di sicurezza? Acquisisci e analizza eventi da registri e metriche per ottenere visibilità. Agisci su eventi di sicurezza e potenziali minacce per proteggere il tuo carico di lavoro.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
SEC-4.2 Come si rilevano e indagano gli eventi di sicurezza? Acquisisci e analizza eventi da registri e metriche per ottenere visibilità. Agisci su eventi di sicurezza e potenziali minacce per proteggere il tuo carico di lavoro.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWS CloudTrail i dati forniscono dettagli sull'attività delle chiamate API all'interno dell'account AWS.
SEC-4.2 Come si rilevano e indagano gli eventi di sicurezza? Acquisisci e analizza eventi da registri e metriche per ottenere visibilità. Agisci su eventi di sicurezza e potenziali minacce per proteggere il tuo carico di lavoro.

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
SEC-4.2 Come si rilevano e indagano gli eventi di sicurezza? Acquisisci e analizza eventi da registri e metriche per ottenere visibilità. Agisci su eventi di sicurezza e potenziali minacce per proteggere il tuo carico di lavoro.

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
SEC-4.2 Come si rilevano e indagano gli eventi di sicurezza? Acquisisci e analizza eventi da registri e metriche per ottenere visibilità. Agisci su eventi di sicurezza e potenziali minacce per proteggere il tuo carico di lavoro.

ricerca elastica - logs-to-cloud watch

Assicurati di Amazon OpenSearch I domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su Amazon CloudWatch Registri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
SEC-4.2 Come si rilevano e indagano gli eventi di sicurezza? Acquisisci e analizza eventi da registri e metriche per ottenere visibilità. Agisci su eventi di sicurezza e potenziali minacce per proteggere il tuo carico di lavoro.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
SEC-4.2 Come si rilevano e indagano gli eventi di sicurezza? Acquisisci e analizza eventi da registri e metriche per ottenere visibilità. Agisci su eventi di sicurezza e potenziali minacce per proteggere il tuo carico di lavoro.

abilitato per il cloudtrail basato su più regioni

AWS CloudTrail registra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTrail distribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione, CloudTrail creerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
SEC-4.2 Come si rilevano e indagano gli eventi di sicurezza? Acquisisci e analizza eventi da registri e metriche per ottenere visibilità. Agisci su eventi di sicurezza e potenziali minacce per proteggere il tuo carico di lavoro.

rds-logging-enabled

Per agevolare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
SEC-4.2 Come si rilevano e indagano gli eventi di sicurezza? Acquisisci e analizza eventi da registri e metriche per ottenere visibilità. Agisci su eventi di sicurezza e potenziali minacce per proteggere il tuo carico di lavoro.

s3-bucket-logging-enabled

La registrazione degli accessi al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che vengono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
SEC-4.2 Come si rilevano e indagano gli eventi di sicurezza? Acquisisci e analizza eventi da registri e metriche per ottenere visibilità. Agisci su eventi di sicurezza e potenziali minacce per proteggere il tuo carico di lavoro.

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
SEC-4.2 Come si rilevano e indagano gli eventi di sicurezza? Acquisisci e analizza eventi da registri e metriche per ottenere visibilità. Agisci su eventi di sicurezza e potenziali minacce per proteggere il tuo carico di lavoro.

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta.
SEC-4.2 Come si rilevano e indagano gli eventi di sicurezza? Acquisisci e analizza eventi da registri e metriche per ottenere visibilità. Agisci su eventi di sicurezza e potenziali minacce per proteggere il tuo carico di lavoro.

cloudtrail-security trail abilitato

Questa regola aiuta a garantire l'utilizzo delle best practice di sicurezza consigliate da AWS per AWS CloudTrail, verificando l'attivazione di più impostazioni. Questi includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione di AWS CloudTrail in più regioni.
SEC-4.2 Come si rilevano e indagano gli eventi di sicurezza? Acquisisci e analizza eventi da registri e metriche per ottenere visibilità. Agisci su eventi di sicurezza e potenziali minacce per proteggere il tuo carico di lavoro.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore per clusterDbEncrypted (Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
SEC-4.2 Come si rilevano e indagano gli eventi di sicurezza? Acquisisci e analizza eventi da registri e metriche per ottenere visibilità. Agisci su eventi di sicurezza e potenziali minacce per proteggere il tuo carico di lavoro.

guardduty-enabled-centralized

Amazon GuardDuty può aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
SEC-4.2 Come si rilevano e indagano gli eventi di sicurezza? Acquisisci e analizza eventi da registri e metriche per ottenere visibilità. Agisci su eventi di sicurezza e potenziali minacce per proteggere il tuo carico di lavoro.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi di sicurezza o ai risultati ottenuti da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
SEC-4.4 Come si rilevano e indagano gli eventi di sicurezza? Acquisisci e analizza eventi da registri e metriche per ottenere visibilità. Agisci su eventi di sicurezza e potenziali minacce per proteggere il tuo carico di lavoro.

cloudwatch-alarm-action-check

Amazon CloudWatch avvisa quando una metrica supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Predefinito: True), insufficientDataActionRequired (Config Default: True), okActionRequired (Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
SEC-4.5 Come si rilevano e indagano gli eventi di sicurezza? Acquisisci e analizza eventi da registri e metriche per ottenere visibilità. Agisci su eventi di sicurezza e potenziali minacce per proteggere il tuo carico di lavoro.

guardduty-enabled-centralized

Amazon GuardDuty può aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
SEC-5.2 Come si proteggono le risorse di rete? Qualsiasi carico di lavoro che abbia una certa forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando Amazon OpenSearch I domini Service (OpenSearch Service) sono all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un record OpenSearch Il dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
SEC-5.2 Come si proteggono le risorse di rete? Qualsiasi carico di lavoro che abbia una certa forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

ec2-instances-in-vpc

Distribuisci istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
SEC-5.2 Come si proteggono le risorse di rete? Qualsiasi carico di lavoro che abbia una certa forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

lambda-inside-vpc

Distribuisci le funzioni AWS Lambda all'interno di Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi nel VPC Amazon. Con questa configurazione, non sono necessari gateway Internet, dispositivo NAT o connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
SEC-5.2 Come si proteggono le risorse di rete? Qualsiasi carico di lavoro che abbia una certa forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

redshift-enhanced-vpc-routing-enabled

Il routing VPC avanzato forza il passaggio di tutto il traffico dei comandi COPY e UNLOAD tra il cluster e i repository di dati attraverso Amazon VPC. È quindi possibile utilizzare funzionalità VPC come gruppi di sicurezza e elenchi di controllo dell'accesso alla rete per proteggere il traffico di rete. È inoltre possibile utilizzare i registri di flusso VPC per monitorare il traffico di rete.
SEC-5.3 Come si proteggono le risorse di rete? Qualsiasi carico di lavoro che abbia una certa forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive nell'ambiente.
SEC-5.3 Come si proteggono le risorse di rete? Qualsiasi carico di lavoro che abbia una certa forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

api-gw-associato-con-waf

AWS WAF consente di configurare un set di regole (denominato lista di controllo accessi Web (Web ACL)) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi
SEC-5.3 Come si proteggono le risorse di rete? Qualsiasi carico di lavoro che abbia una certa forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
SEC-5.3 Come si proteggono le risorse di rete? Qualsiasi carico di lavoro che abbia una certa forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS Cloud assicurando che gli snapshot EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
SEC-5.3 Come si proteggono le risorse di rete? Qualsiasi carico di lavoro che abbia una certa forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

ec2-istanza-multiple-eni-check

Più ENI possono far sì che le istanze Amazon Elastic Compute Cloud (EC2) abbiano più subnet. Assicurati che le istanze EC2 non dispongano di più ENI, in quanto ciò può aggiungere complessità di sicurezza di rete e introdurre percorsi di rete e accesso non intenzionali.
SEC-5.3 Come si proteggono le risorse di rete? Qualsiasi carico di lavoro che abbia una certa forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
SEC-5.3 Come si proteggono le risorse di rete? Qualsiasi carico di lavoro che abbia una certa forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando Amazon OpenSearch I domini Service (OpenSearch Service) sono all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un record OpenSearch Il dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
SEC-5.3 Come si proteggono le risorse di rete? Qualsiasi carico di lavoro che abbia una certa forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
SEC-5.3 Come si proteggono le risorse di rete? Qualsiasi carico di lavoro che abbia una certa forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

ec2-instances-in-vpc

Distribuisci istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
SEC-5.3 Come si proteggono le risorse di rete? Qualsiasi carico di lavoro che abbia una certa forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
SEC-5.3 Come si proteggono le risorse di rete? Qualsiasi carico di lavoro che abbia una certa forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

lambda-inside-vpc

Distribuisci le funzioni AWS Lambda all'interno di Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi nel VPC Amazon. Con questa configurazione, non sono necessari gateway Internet, dispositivo NAT o connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
SEC-5.3 Come si proteggono le risorse di rete? Qualsiasi carico di lavoro che abbia una certa forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
SEC-5.3 Come si proteggono le risorse di rete? Qualsiasi carico di lavoro che abbia una certa forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

rds-instance-public-access-check

Gestisci l'accesso a risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
SEC-5.3 Come si proteggono le risorse di rete? Qualsiasi carico di lavoro che abbia una certa forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

rds-snapshots-public-prohibited

Gestisci l'accesso a risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
SEC-5.3 Come si proteggono le risorse di rete? Qualsiasi carico di lavoro che abbia una certa forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
SEC-5.3 Come si proteggono le risorse di rete? Qualsiasi carico di lavoro che abbia una certa forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non permettendo l'ingresso (o remoto) del traffico tra 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto.
SEC-5.3 Come si proteggono le risorse di rete? Qualsiasi carico di lavoro che abbia una certa forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso a risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativa ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
SEC-5.3 Come si proteggono le risorse di rete? Qualsiasi carico di lavoro che abbia una certa forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

s3-bucket-level-public-access-vietato

Gestisci l'accesso a risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
SEC-5.3 Come si proteggono le risorse di rete? Qualsiasi carico di lavoro che abbia una certa forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
SEC-5.3 Come si proteggono le risorse di rete? Qualsiasi carico di lavoro che abbia una certa forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
SEC-5.3 Come si proteggono le risorse di rete? Qualsiasi carico di lavoro che abbia una certa forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che Amazon SageMaker i notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
SEC-5.3 Come si proteggono le risorse di rete? Qualsiasi carico di lavoro che abbia una certa forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
SEC-5.3 Come si proteggono le risorse di rete? Qualsiasi carico di lavoro che abbia una certa forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
SEC-5.3 Come si proteggono le risorse di rete? Qualsiasi carico di lavoro che abbia una certa forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
SEC-5.3 Come si proteggono le risorse di rete? Qualsiasi carico di lavoro che abbia una certa forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
SEC-5.3 Come si proteggono le risorse di rete? Qualsiasi carico di lavoro che abbia una certa forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

redshift-enhanced-vpc-routing-enabled

Il routing VPC avanzato forza il passaggio di tutto il traffico dei comandi COPY e UNLOAD tra il cluster e i repository di dati attraverso Amazon VPC. È quindi possibile utilizzare funzionalità VPC come gruppi di sicurezza e elenchi di controllo dell'accesso alla rete per proteggere il traffico di rete. È inoltre possibile utilizzare i registri di flusso VPC per monitorare il traffico di rete.
SEC-5.3 Come si proteggono le risorse di rete? Qualsiasi carico di lavoro che abbia una certa forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

restricted-common-ports

Gestisci l'accesso a risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
SEC-5.3 Come si proteggono le risorse di rete? Qualsiasi carico di lavoro che abbia una certa forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso a risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso a risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato a sistemi interni.
SEC-5.4 Come si proteggono le risorse di rete? Qualsiasi carico di lavoro che abbia una certa forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

guardduty-enabled-centralized

Amazon GuardDuty può aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
SEC-5.4 Come si proteggono le risorse di rete? Qualsiasi carico di lavoro che abbia una certa forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
SEC-5.5 Come si proteggono le risorse di rete? Qualsiasi carico di lavoro che abbia una certa forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive nell'ambiente.
SEC-5.5 Come si proteggono le risorse di rete? Qualsiasi carico di lavoro che abbia una certa forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.

api-gw-associato-con-waf

AWS WAF consente di configurare un set di regole (denominato lista di controllo accessi Web (Web ACL)) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi
SEC-6.2 Come si proteggono le risorse di elaborazione? Le risorse di calcolo nel tuo carico di lavoro richiedono più livelli di difesa per proteggerti dalle minacce esterne e interne. Le risorse di elaborazione includono istanze EC2, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora.

rds-automatic-minor-version-upgrade abilitato

Abilita gli aggiornamenti automatici delle versioni secondarie sulle istanze di Amazon Relational Database Service (RDS) per garantire che siano installati gli ultimi aggiornamenti della versione secondaria del Relational Database Management System (RDBMS), che possono includere patch di sicurezza e correzioni di bug.
SEC-6.3 Come si proteggono le risorse di elaborazione? Le risorse di calcolo nel tuo carico di lavoro richiedono più livelli di difesa per proteggerti dalle minacce esterne e interne. Le risorse di elaborazione includono istanze EC2, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora.

cloud-trail-log-file-validation-enabled

Utilizzo di AWS CloudTrail convalida del file di log per verificare l'integrità di CloudTrail registri. La convalida del file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o invariato dopo CloudTrail l'ha consegnata. Questa funzione è costruita utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende impossibile, a livello di programmazione, qualsiasi operazione di modifica, eliminazione o contraffazione. CloudTrail file di log senza rilevamento.
SEC-6.3 Come si proteggono le risorse di elaborazione? Le risorse di calcolo nel tuo carico di lavoro richiedono più livelli di difesa per proteggerti dalle minacce esterne e interne. Le risorse di elaborazione includono istanze EC2, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora.

cloudtrail-security trail abilitato

Questa regola aiuta a garantire l'utilizzo delle best practice di sicurezza consigliate da AWS per AWS CloudTrail, verificando l'attivazione di più impostazioni. Questi includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione di AWS CloudTrail in più regioni.
SEC-6.3 Come si proteggono le risorse di elaborazione? Le risorse di calcolo nel tuo carico di lavoro richiedono più livelli di difesa per proteggerti dalle minacce esterne e interne. Le risorse di elaborazione includono istanze EC2, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora.

elastic-beanstalk-managed-updates-enabled

L'abilitazione degli aggiornamenti della piattaforma gestita per un ambiente Amazon Elastic Beanstalk garantisce l'installazione delle più recenti correzioni, aggiornamenti e funzionalità della piattaforma disponibili per l'ambiente. Mantenersi aggiornati con l'installazione delle patch è una buona pratica nella protezione dei sistemi.
SEC-6.3 Come si proteggono le risorse di elaborazione? Le risorse di calcolo nel tuo carico di lavoro richiedono più livelli di difesa per proteggerti dalle minacce esterne e interne. Le risorse di elaborazione includono istanze EC2, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora.

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. Nello specifico, hanno finestre di manutenzione preferite e periodi di conservazione automatica delle istantanee per il database. Questa regola richiede di impostare allowVersionUpgrade. Il valore predefinito è true. Consente inoltre di impostare facoltativamente il preferredMaintenanceWindow (il valore predefinito è sat: 16:00 -sat: 16:30) e automatedSnapshotRetentionPeriod (il valore predefinito è 1). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
SEC-6.3 Come si proteggono le risorse di elaborazione? Le risorse di calcolo nel tuo carico di lavoro richiedono più livelli di difesa per proteggerti dalle minacce esterne e interne. Le risorse di elaborazione includono istanze EC2, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora.

ec2-imdsv2 - controllo

Assicurati che il metodo IMDSv2 (Instance Metadata Service Version 2) sia abilitato per proteggere l'accesso e il controllo dei metadati dell'istanza Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati su sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze.
SEC-6.3 Come si proteggono le risorse di elaborazione? Le risorse di calcolo nel tuo carico di lavoro richiedono più livelli di difesa per proteggerti dalle minacce esterne e interne. Le risorse di elaborazione includono istanze EC2, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora.

ec2-istanza-multiple-eni-check

Più ENI possono far sì che le istanze Amazon Elastic Compute Cloud (EC2) abbiano più subnet. Assicurati che le istanze EC2 non dispongano di più ENI, in quanto ciò può aggiungere complessità di sicurezza di rete e introdurre percorsi di rete e accesso non intenzionali.
SEC-6.3 Come si proteggono le risorse di elaborazione? Le risorse di calcolo nel tuo carico di lavoro richiedono più livelli di difesa per proteggerti dalle minacce esterne e interne. Le risorse di elaborazione includono istanze EC2, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
SEC-6.3 Come si proteggono le risorse di elaborazione? Le risorse di calcolo nel tuo carico di lavoro richiedono più livelli di difesa per proteggerti dalle minacce esterne e interne. Le risorse di elaborazione includono istanze EC2, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora.

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può aiutare nella gestione dei privilegi e delle autorizzazioni minimi.
SEC-6.3 Come si proteggono le risorse di elaborazione? Le risorse di calcolo nel tuo carico di lavoro richiedono più livelli di difesa per proteggerti dalle minacce esterne e interne. Le risorse di elaborazione includono istanze EC2, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora.

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
SEC-6.3 Come si proteggono le risorse di elaborazione? Le risorse di calcolo nel tuo carico di lavoro richiedono più livelli di difesa per proteggerti dalle minacce esterne e interne. Le risorse di elaborazione includono istanze EC2, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora.

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutare con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
SEC-6.3 Come si proteggono le risorse di elaborazione? Le risorse di calcolo nel tuo carico di lavoro richiedono più livelli di difesa per proteggerti dalle minacce esterne e interne. Le risorse di elaborazione includono istanze EC2, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora.

ec2-security-group-attached-to-eni-periodico

Questa regola garantisce che i gruppi di sicurezza siano collegati a un'istanza Amazon Elastic Compute Cloud (Amazon EC2) o a un'ENI. Questa regola aiuta a monitorare i gruppi di sicurezza inutilizzati nell'inventario e la gestione dell'ambiente.
SEC-6.3 Come si proteggono le risorse di elaborazione? Le risorse di calcolo nel tuo carico di lavoro richiedono più livelli di difesa per proteggerti dalle minacce esterne e interne. Le risorse di elaborazione includono istanze EC2, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora.

ec2-stopped-instance

Attiva questa regola per aiutare con la configurazione di base delle istanze Amazon Elastic Compute Cloud (Amazon EC2) verificando se le istanze Amazon EC2 sono state arrestate per più del numero consentito di giorni, in base agli standard dell'organizzazione.
SEC-6.3 Come si proteggono le risorse di elaborazione? Le risorse di calcolo nel tuo carico di lavoro richiedono più livelli di difesa per proteggerti dalle minacce esterne e interne. Le risorse di elaborazione includono istanze EC2, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora.

ec2-volume-inuse-check

Questa regola garantisce che i volumi Amazon Elastic Block Store collegati alle istanze Amazon Elastic Compute Cloud (Amazon EC2) siano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegata è terminata, potrebbe violare il concetto di funzionalità minima.
SEC-6.7 Come si proteggono le risorse di elaborazione? Le risorse di calcolo nel tuo carico di lavoro richiedono più livelli di difesa per proteggerti dalle minacce esterne e interne. Le risorse di elaborazione includono istanze EC2, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora.

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
SEC-6.7 Come si proteggono le risorse di elaborazione? Le risorse di calcolo nel tuo carico di lavoro richiedono più livelli di difesa per proteggerti dalle minacce esterne e interne. Le risorse di elaborazione includono istanze EC2, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora.

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutare con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
SEC-8.2 Come proteggi i tuoi dati a riposo? Proteggi i tuoi dati a riposo implementando controlli multipli, per ridurre il rischio di accesso non autorizzato o gestione errata.

kms-cmk-not-scheduled-for-deletion

Per aiutare a proteggere i dati inattivi, assicurarsi che le chiavi master cliente (CMK) necessarie non siano pianificate per l'eliminazione in AWS Key Management Service (AWS KMS). Poiché a volte è necessaria l'eliminazione della chiave, questa regola può aiutare a controllare tutte le chiavi pianificate per l'eliminazione, nel caso in cui una chiave sia stata pianificata involontariamente.
SEC-8.3 Come proteggi i tuoi dati a riposo? Proteggi i tuoi dati a riposo implementando controlli multipli, per ridurre il rischio di accesso non autorizzato o gestione errata.

cloud-trail-encryption-enabled

Poiché potrebbero esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo AWS CloudTrail sentieri.
SEC-8.3 Come proteggi i tuoi dati a riposo? Proteggi i tuoi dati a riposo implementando controlli multipli, per ridurre il rischio di accesso non autorizzato o gestione errata.

cloudwatch-log-group-encrypted

Per proteggere i dati sensibili a riposo, assicurati che la crittografia sia abilitata per il tuo Amazon CloudWatch Gruppi di log di.
SEC-8.3 Come proteggi i tuoi dati a riposo? Proteggi i tuoi dati a riposo implementando controlli multipli, per ridurre il rischio di accesso non autorizzato o gestione errata.

dynamodb-table-encrypted-kms

Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Poiché i dati sensibili possono esistere a riposo in queste tabelle, abilitare la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con una chiave master cliente di proprietà AWS (CMK).
SEC-8.3 Come proteggi i tuoi dati a riposo? Proteggi i tuoi dati a riposo implementando controlli multipli, per ridurre il rischio di accesso non autorizzato o gestione errata.

ec2-ebs-encryption-by-default

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati.
SEC-8.3 Come proteggi i tuoi dati a riposo? Proteggi i tuoi dati a riposo implementando controlli multipli, per ridurre il rischio di accesso non autorizzato o gestione errata.

efs-encrypted-check

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo Amazon Elastic File System (EFS).
SEC-8.3 Come proteggi i tuoi dati a riposo? Proteggi i tuoi dati a riposo implementando controlli multipli, per ridurre il rischio di accesso non autorizzato o gestione errata.

elasticsearch-encrypted-at-rest

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per Amazon OpenSearch Domini di servizio (OpenSearch Service).
SEC-8.3 Come proteggi i tuoi dati a riposo? Proteggi i tuoi dati a riposo implementando controlli multipli, per ridurre il rischio di accesso non autorizzato o gestione errata.

encrypted-volumes

Poiché possono esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS).
SEC-8.3 Come proteggi i tuoi dati a riposo? Proteggi i tuoi dati a riposo implementando controlli multipli, per ridurre il rischio di accesso non autorizzato o gestione errata.

rds-snapshot-encrypted

Verifica che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
SEC-8.3 Come proteggi i tuoi dati a riposo? Proteggi i tuoi dati a riposo implementando controlli multipli, per ridurre il rischio di accesso non autorizzato o gestione errata.

rds-storage-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati.
SEC-8.3 Come proteggi i tuoi dati a riposo? Proteggi i tuoi dati a riposo implementando controlli multipli, per ridurre il rischio di accesso non autorizzato o gestione errata.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore per clusterDbEncrypted (Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
SEC-8.3 Come proteggi i tuoi dati a riposo? Proteggi i tuoi dati a riposo implementando controlli multipli, per ridurre il rischio di accesso non autorizzato o gestione errata.

redshift-cluster-kms-enabled

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il cluster Amazon Redshift. Poiché i dati sensibili possono esistere a riposo nei cluster Redshift, abilitare la crittografia a riposo per proteggere tali dati.
SEC-8.3 Come proteggi i tuoi dati a riposo? Proteggi i tuoi dati a riposo implementando controlli multipli, per ridurre il rischio di accesso non autorizzato o gestione errata.

S3-bucket-server-side-encryption-enabled

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati.
SEC-8.3 Come proteggi i tuoi dati a riposo? Proteggi i tuoi dati a riposo implementando controlli multipli, per ridurre il rischio di accesso non autorizzato o gestione errata.

s3-default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo in un bucket Amazon S3, abilitare la crittografia a riposo per proteggere tali dati.
SEC-8.3 Come proteggi i tuoi dati a riposo? Proteggi i tuoi dati a riposo implementando controlli multipli, per ridurre il rischio di accesso non autorizzato o gestione errata.

sagemaker-endpoint-configuration-kms-key-configured

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo SageMaker endpoint. Perché i dati sensibili possono esistere a riposo SageMaker endpoint, abilita la crittografia a riposo per proteggere tali dati.
SEC-8.3 Come proteggi i tuoi dati a riposo? Proteggi i tuoi dati a riposo implementando controlli multipli, per ridurre il rischio di accesso non autorizzato o gestione errata.

sagemaker-notebook-instance-kms-key-configurato

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo SageMaker notebook. Perché i dati sensibili possono esistere a riposo SageMaker notebook, abilita la crittografia a riposo per proteggere tali dati.
SEC-8.3 Come proteggi i tuoi dati a riposo? Proteggi i tuoi dati a riposo implementando controlli multipli, per ridurre il rischio di accesso non autorizzato o gestione errata.

secretsmanager-using-cmk

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per i segreti di AWS Secrets Manager. Poiché i dati sensibili possono esistere a riposo nei segreti di Secrets Manager, abilitare la crittografia a riposo per proteggere tali dati.
SEC-8.3 Come proteggi i tuoi dati a riposo? Proteggi i tuoi dati a riposo implementando controlli multipli, per ridurre il rischio di accesso non autorizzato o gestione errata.

sns-encrypted-kms

Per proteggere i dati a riposo, assicurati che gli argomenti Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Poiché i dati sensibili possono esistere a riposo nei messaggi pubblicati, abilitare la crittografia a riposo per proteggere tali dati.
SEC-8.4 Come proteggi i tuoi dati a riposo? Proteggi i tuoi dati a riposo implementando controlli multipli, per ridurre il rischio di accesso non autorizzato o gestione errata.

s3-bucket-versioning-enabled

Il controllo delle versioni bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni consente il semplice recupero da azioni involontarie dell'utente e guasti dell'applicazione.
SEC-8.4 Come proteggi i tuoi dati a riposo? Proteggi i tuoi dati a riposo implementando controlli multipli, per ridurre il rischio di accesso non autorizzato o gestione errata.

account-parte delle organizzazioni

La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata dell'account può portare a configurazioni di account incoerenti, che possono esporre risorse e dati sensibili.
SEC-8.4 Come proteggi i tuoi dati a riposo? Proteggi i tuoi dati a riposo implementando controlli multipli, per ridurre il rischio di accesso non autorizzato o gestione errata.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso a risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativa ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
SEC-8.4 Come proteggi i tuoi dati a riposo? Proteggi i tuoi dati a riposo implementando controlli multipli, per ridurre il rischio di accesso non autorizzato o gestione errata.

s3-bucket-level-public-access-vietato

Gestisci l'accesso a risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
SEC-8.4 Come proteggi i tuoi dati a riposo? Proteggi i tuoi dati a riposo implementando controlli multipli, per ridurre il rischio di accesso non autorizzato o gestione errata.

s3-bucket-public-read-prohibited

Gestisci l'accesso alle risorse nel cloud AWS permettendo solo a utenti autorizzati, processi e dispositivi l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
SEC-8.4 Come proteggi i tuoi dati a riposo? Proteggi i tuoi dati a riposo implementando controlli multipli, per ridurre il rischio di accesso non autorizzato o gestione errata.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
SEC-9.2 Come si assicurano i dati in transito? Proteggi i tuoi dati in transito implementando controlli multipli per ridurre il rischio di accesso o perdita non autorizzati.

acm-certificate-expiration-check

Assicurati che l'integrità della rete sia protetta assicurando che i certificati X509 vengano emessi da AWS ACM. Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore per daysToExpiration (Valore delle best practice AWS Foundational Security Best Practices: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
SEC-9.2 Come si assicurano i dati in transito? Proteggi i tuoi dati in transito implementando controlli multipli per ridurre il rischio di accesso o perdita non autorizzati.

elbv2-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
SEC-9.2 Come si assicurano i dati in transito? Proteggi i tuoi dati in transito implementando controlli multipli per ridurre il rischio di accesso o perdita non autorizzati.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
SEC-9.3 Come si assicurano i dati in transito? Proteggi i tuoi dati in transito implementando controlli multipli per ridurre il rischio di accesso o perdita non autorizzati.

alb-http-drop-invalid-header-enabled

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati per eliminare le intestazioni http. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SEC-9.3 Come si assicurano i dati in transito? Proteggi i tuoi dati in transito implementando controlli multipli per ridurre il rischio di accesso o perdita non autorizzati.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SEC-9.3 Come si assicurano i dati in transito? Proteggi i tuoi dati in transito implementando controlli multipli per ridurre il rischio di accesso o perdita non autorizzati.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
SEC-9.3 Come si assicurano i dati in transito? Proteggi i tuoi dati in transito implementando controlli multipli per ridurre il rischio di accesso o perdita non autorizzati.

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantire node-to-node crittografia per Amazon OpenSearch Il servizio è abilitato. La crittografia da nodo a nodo abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SEC-9.3 Come si assicurano i dati in transito? Proteggi i tuoi dati in transito implementando controlli multipli per ridurre il rischio di accesso o perdita non autorizzati.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
SEC-9.3 Come si assicurano i dati in transito? Proteggi i tuoi dati in transito implementando controlli multipli per ridurre il rischio di accesso o perdita non autorizzati.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SEC-9.3 Come si assicurano i dati in transito? Proteggi i tuoi dati in transito implementando controlli multipli per ridurre il rischio di accesso o perdita non autorizzati.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SEC-9.3 Come si assicurano i dati in transito? Proteggi i tuoi dati in transito implementando controlli multipli per ridurre il rischio di accesso o perdita non autorizzati.

s3-bucket-ssl-requests-only

Per proteggere i dati durante il transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SEC-9.4 Come si assicurano i dati in transito? Proteggi i tuoi dati in transito implementando controlli multipli per ridurre il rischio di accesso o perdita non autorizzati.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
SEC-9.4 Come si assicurano i dati in transito? Proteggi i tuoi dati in transito implementando controlli multipli per ridurre il rischio di accesso o perdita non autorizzati.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SEC-9.4 Come si assicurano i dati in transito? Proteggi i tuoi dati in transito implementando controlli multipli per ridurre il rischio di accesso o perdita non autorizzati.

s3-bucket-ssl-requests-only

Per proteggere i dati durante il transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SEC-9.4 Come si assicurano i dati in transito? Proteggi i tuoi dati in transito implementando controlli multipli per ridurre il rischio di accesso o perdita non autorizzati.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
SEC-9.5 Come si assicurano i dati in transito? Proteggi i tuoi dati in transito implementando controlli multipli per ridurre il rischio di accesso o perdita non autorizzati.

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
SEC-9.5 Come si assicurano i dati in transito? Proteggi i tuoi dati in transito implementando controlli multipli per ridurre il rischio di accesso o perdita non autorizzati.

guardduty-enabled-centralized

Amazon GuardDuty può aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.

Modello

Il modello è disponibile su GitHub: Best Practices operative per AWS Well-Architected Security Practices.