Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
I Conformance Pack forniscono un framework di conformità generico progettato per consentire di creare controlli di governance relativi alla sicurezza, all'operatività o all'ottimizzazione dei costi utilizzando regole gestite o personalizzate e azioni correttive. AWS Config AWS Config I pacchetti di conformità, in quanto modelli di esempio, non sono pensati per garantire la piena conformità a uno specifico standard di governance o conformità. È tua responsabilità valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.
Di seguito viene fornito un esempio di mappatura tra Well-Architected Framework Security Pillar di Amazon Web Services e le regole di Config gestite. AWS Ogni regola Config si applica a una AWS risorsa specifica e si riferisce a uno o più principi di progettazione del pilastro. Una categoria del framework Well-Architected può essere correlata a più regole Config. Consulta la tabella seguente per maggiori dettagli e indicazioni relativi a queste mappature.
| ID controllo | Descrizione del controllo | AWS Regola di Config | Linea guida |
|---|---|---|---|
| SEC-1 | Come gestire un carico di lavoro in sicurezza? Per gestire il carico di lavoro in modo sicuro, è necessario applicare le best practice globali a ogni area di sicurezza. Segui i requisiti e i processi definiti in termini di eccellenza operativa a livello organizzativo e di carico di lavoro e applicali a tutte le aree. Rimanere aggiornati sulle raccomandazioni del settore AWS e sull'intelligence sulle minacce ti aiuta a far evolvere il tuo modello di minaccia e gli obiettivi di controllo. L'automazione dei processi di sicurezza, i test e la convalida permettono di dimensionare le operazioni di sicurezza. | La gestione centralizzata Account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. L'assenza di una governance centralizzata degli account può comportare configurazioni incoerenti di account, il che può mettere a rischio risorse e dati sensibili. | |
| SEC-1 | Come gestire un carico di lavoro in sicurezza? Per gestire il carico di lavoro in modo sicuro, è necessario applicare le best practice globali a ogni area di sicurezza. Segui i requisiti e i processi definiti in termini di eccellenza operativa a livello organizzativo e di carico di lavoro e applicali a tutte le aree. Rimanere aggiornati sulle raccomandazioni del settore AWS e sull'intelligence sulle minacce aiuta a far evolvere il modello di minaccia e gli obiettivi di controllo. L'automazione dei processi di sicurezza, i test e la convalida permettono di dimensionare le operazioni di sicurezza. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| SEC-1 | Come gestire un carico di lavoro in sicurezza? Per gestire il carico di lavoro in modo sicuro, è necessario applicare le best practice globali a ogni area di sicurezza. Segui i requisiti e i processi definiti in termini di eccellenza operativa a livello organizzativo e di carico di lavoro e applicali a tutte le aree. Rimanere aggiornati sulle raccomandazioni del settore AWS e sull'intelligence sulle minacce ti aiuta a far evolvere il tuo modello di minaccia e gli obiettivi di controllo. L'automazione dei processi di sicurezza, i test e la convalida permettono di dimensionare le operazioni di sicurezza. | Abilita questa regola per limitare l'accesso alle risorse nel AWS cloud. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Riduci gli incidenti dovuti alla compromissione degli account richiedendo l'autenticazione a più fattori per gli utenti. | |
| SEC-1 | Come gestire un carico di lavoro in sicurezza? Per gestire il carico di lavoro in modo sicuro, è necessario applicare le best practice globali a ogni area di sicurezza. Segui i requisiti e i processi definiti in termini di eccellenza operativa a livello organizzativo e di carico di lavoro e applicali a tutte le aree. Rimanere aggiornati sulle raccomandazioni del settore AWS e sull'intelligence sulle minacce ti aiuta a far evolvere il tuo modello di minaccia e gli obiettivi di controllo. L'automazione dei processi di sicurezza, i test e la convalida permettono di dimensionare le operazioni di sicurezza. | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| SEC-1 | Come gestire un carico di lavoro in sicurezza? Per gestire il carico di lavoro in modo sicuro, è necessario applicare le best practice globali a ogni area di sicurezza. Segui i requisiti e i processi definiti in termini di eccellenza operativa a livello organizzativo e di carico di lavoro e applicali a tutte le aree. Rimanere aggiornati sulle raccomandazioni del settore AWS e sull'intelligence sulle minacce vi aiuta a far evolvere il vostro modello di minaccia e gli obiettivi di controllo. L'automazione dei processi di sicurezza, i test e la convalida permettono di dimensionare le operazioni di sicurezza. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che la MFA hardware sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| SEC-1 | Come gestire un carico di lavoro in sicurezza? Per gestire il carico di lavoro in modo sicuro, è necessario applicare le best practice globali a ogni area di sicurezza. Segui i requisiti e i processi definiti in termini di eccellenza operativa a livello organizzativo e di carico di lavoro e applicali a tutte le aree. Rimanere aggiornati sulle raccomandazioni del settore AWS e sull'intelligence sulle minacce vi aiuta a far evolvere il vostro modello di minaccia e gli obiettivi di controllo. L'automazione dei processi di sicurezza, i test e la convalida permettono di dimensionare le operazioni di sicurezza. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| SEC-1 | Come gestire un carico di lavoro in sicurezza? Per gestire il carico di lavoro in modo sicuro, è necessario applicare le best practice globali a ogni area di sicurezza. Segui i requisiti e i processi definiti in termini di eccellenza operativa a livello organizzativo e di carico di lavoro e applicali a tutte le aree. Rimanere aggiornati sulle raccomandazioni del settore AWS e sull'intelligence sulle minacce vi aiuta a far evolvere il vostro modello di minaccia e gli obiettivi di controllo. L'automazione dei processi di sicurezza, i test e la convalida permettono di dimensionare le operazioni di sicurezza. | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| SEC-1 | Come gestire un carico di lavoro in sicurezza? Per gestire il carico di lavoro in modo sicuro, è necessario applicare le best practice globali a ogni area di sicurezza. Segui i requisiti e i processi definiti in termini di eccellenza operativa a livello organizzativo e di carico di lavoro e applicali a tutte le aree. Rimanere aggiornati sulle raccomandazioni del settore AWS e sull'intelligence sulle minacce aiuta a far evolvere il modello di minaccia e gli obiettivi di controllo. L'automazione dei processi di sicurezza, i test e la convalida permettono di dimensionare le operazioni di sicurezza. | ec2- -controlla managedinstance-association-compliance-status |
Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee di base dei livelli di patch del sistema operativo, delle installazioni software, delle configurazioni delle applicazioni e altri dettagli sull'ambiente. |
| SEC-1 | Come gestire un carico di lavoro in sicurezza? Per gestire il carico di lavoro in modo sicuro, è necessario applicare le best practice globali a ogni area di sicurezza. Segui i requisiti e i processi definiti in termini di eccellenza operativa a livello organizzativo e di carico di lavoro e applicali a tutte le aree. Rimanere aggiornati sulle raccomandazioni del settore AWS e sull'intelligence sulle minacce aiuta a far evolvere il modello di minaccia e gli obiettivi di controllo. L'automazione dei processi di sicurezza, i test e la convalida permettono di dimensionare le operazioni di sicurezza. | Abilita questa regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le patch delle EC2 istanze Amazon sono conformi in AWS Systems Manager, come richiesto dalle politiche e dalle procedure della tua organizzazione. | |
| SEC-1 | Come gestire un carico di lavoro in sicurezza? Per gestire il carico di lavoro in modo sicuro, è necessario applicare le best practice globali a ogni area di sicurezza. Segui i requisiti e i processi definiti in termini di eccellenza operativa a livello organizzativo e di carico di lavoro e applicali a tutte le aree. Rimanere aggiornati sulle raccomandazioni del settore AWS e sull'intelligence sulle minacce ti aiuta a far evolvere il tuo modello di minaccia e gli obiettivi di controllo. L'automazione dei processi di sicurezza, i test e la convalida permettono di dimensionare le operazioni di sicurezza. | Garantisce che le credenziali AWS_ACCESS_KEY_ID di autenticazione AWS_SECRET_ACCESS_KEY non esistano negli ambienti del progetto AWS Codebuild. Non archiviare queste variabili con testo in chiaro. L'archiviazione di queste variabili con testo in chiaro porta all'esposizione involontaria dei dati e all'accesso non autorizzato. | |
| SEC-2 | Come si gestiscono le identità per persone e macchine? Esistono due tipi di identità da gestire quando si tratta di gestire carichi di lavoro sicuri. AWS Comprendere il tipo di identità necessaria per gestire e concedere l'accesso ti aiuta a verificare che le identità corrette abbiano accesso alle risorse giuste nelle condizioni adeguate. Identità umane: gli amministratori, gli sviluppatori, gli operatori e gli utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni. AWS Si tratta di membri dell'organizzazione o utenti esterni con cui collabora e che interagiscono con AWS le risorse dell'utente tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità delle macchine: le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per effettuare richieste ai AWS servizi, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo AWS ambiente, come le EC2 istanze Amazon o le funzioni Lambda AWS . È inoltre possibile gestire le identità delle macchine per le parti esterne che devono accedervi. Inoltre, è possibile che esistano macchine esterne AWS che richiedono l'accesso al proprio AWS ambiente. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti dichiarati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica sulle password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| SEC-2 | Come si gestiscono le identità per persone e macchine? Esistono due tipi di identità da gestire quando si tratta di gestire carichi di lavoro sicuri AWS . Comprendere il tipo di identità necessaria per gestire e concedere l'accesso ti aiuta a verificare che le identità corrette abbiano accesso alle risorse giuste nelle condizioni adeguate. Identità umane: gli amministratori, gli sviluppatori, gli operatori e gli utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni. AWS Si tratta di membri dell'organizzazione o utenti esterni con cui collabora e che interagiscono con AWS le risorse dell'utente tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità delle macchine: le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per effettuare richieste ai AWS servizi, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo AWS ambiente, come le EC2 istanze Amazon o le funzioni Lambda AWS . È inoltre possibile gestire le identità delle macchine per le parti esterne che devono accedervi. Inoltre, è possibile che esistano macchine esterne AWS che richiedono l'accesso al proprio AWS ambiente. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che la MFA hardware sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| SEC-2 | Come si gestiscono le identità per persone e macchine? Esistono due tipi di identità da gestire quando si tratta di gestire carichi di lavoro sicuri. AWS Comprendere il tipo di identità necessaria per gestire e concedere l'accesso ti aiuta a verificare che le identità corrette abbiano accesso alle risorse giuste nelle condizioni adeguate. Identità umane: gli amministratori, gli sviluppatori, gli operatori e gli utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni. AWS Si tratta di membri dell'organizzazione o utenti esterni con cui collabora e che interagiscono con AWS le risorse dell'utente tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità delle macchine: le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per effettuare richieste ai AWS servizi, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo AWS ambiente, come le EC2 istanze Amazon o le funzioni Lambda AWS . È inoltre possibile gestire le identità delle macchine per le parti esterne che devono accedervi. Inoltre, è possibile che esistano macchine esterne AWS che richiedono l'accesso al proprio AWS ambiente. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| SEC-2 | Come si gestiscono le identità per persone e macchine? Esistono due tipi di identità da gestire quando si tratta di gestire carichi di lavoro sicuri. AWS Comprendere il tipo di identità necessaria per gestire e concedere l'accesso ti aiuta a verificare che le identità corrette abbiano accesso alle risorse giuste nelle condizioni adeguate. Identità umane: gli amministratori, gli sviluppatori, gli operatori e gli utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni. AWS Si tratta di membri dell'organizzazione o utenti esterni con cui collabora e che interagiscono con AWS le risorse dell'utente tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità delle macchine: le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per effettuare richieste ai AWS servizi, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo AWS ambiente, come le EC2 istanze Amazon o le funzioni Lambda AWS . È inoltre possibile gestire le identità delle macchine per le parti esterne che devono accedervi. Inoltre, è possibile che esistano macchine esterne AWS che richiedono l'accesso al proprio AWS ambiente. | Abilita questa regola per limitare l'accesso alle risorse nel AWS cloud. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Riduci gli incidenti dovuti alla compromissione degli account richiedendo l'autenticazione a più fattori per gli utenti. | |
| SEC-2 | Come si gestiscono le identità per persone e macchine? Esistono due tipi di identità da gestire quando si tratta di gestire carichi di lavoro sicuri AWS . Comprendere il tipo di identità necessaria per gestire e concedere l'accesso ti aiuta a verificare che le identità corrette abbiano accesso alle risorse giuste nelle condizioni adeguate. Identità umane: gli amministratori, gli sviluppatori, gli operatori e gli utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni. AWS Si tratta di membri dell'organizzazione o utenti esterni con cui collabora e che interagiscono con AWS le risorse dell'utente tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità delle macchine: le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per effettuare richieste ai AWS servizi, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo AWS ambiente, come le EC2 istanze Amazon o le funzioni Lambda AWS . È inoltre possibile gestire le identità delle macchine per le parti esterne che devono accedervi. Inoltre, è possibile che esistano macchine esterne AWS che richiedono l'accesso al proprio AWS ambiente. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| SEC-2 | Come si gestiscono le identità per persone e macchine? Esistono due tipi di identità da gestire quando si tratta di gestire carichi di lavoro sicuri. AWS Comprendere il tipo di identità necessaria per gestire e concedere l'accesso ti aiuta a verificare che le identità corrette abbiano accesso alle risorse giuste nelle condizioni adeguate. Identità umane: gli amministratori, gli sviluppatori, gli operatori e gli utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni. AWS Si tratta di membri dell'organizzazione o utenti esterni con cui collabora e che interagiscono con AWS le risorse dell'utente tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità delle macchine: le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per effettuare richieste ai AWS servizi, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo AWS ambiente, come le EC2 istanze Amazon o le funzioni Lambda AWS . È inoltre possibile gestire le identità delle macchine per le parti esterne che devono accedervi. Inoltre, è possibile che esistano macchine esterne AWS che richiedono l'accesso al proprio AWS ambiente. | Se una definizione di attività ha privilegi elevati, significa che il cliente ha scelto specificamente di accedere a tali configurazioni. Questo controllo verifica l'aumento imprevisto dei privilegi quando la rete host prevede una definizione di attività ma il cliente non ha scelto privilegi elevati. | |
| SEC-2 | Come si gestiscono le identità per persone e macchine? Esistono due tipi di identità da gestire quando si tratta di gestire carichi di lavoro sicuri AWS . Comprendere il tipo di identità necessaria per gestire e concedere l'accesso ti aiuta a verificare che le identità corrette abbiano accesso alle risorse giuste nelle condizioni adeguate. Identità umane: gli amministratori, gli sviluppatori, gli operatori e gli utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni. AWS Si tratta di membri dell'organizzazione o utenti esterni con cui collabora e che interagiscono con AWS le risorse dell'utente tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità delle macchine: le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per effettuare richieste ai AWS servizi, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo AWS ambiente, come le EC2 istanze Amazon o le funzioni Lambda AWS . È inoltre possibile gestire le identità delle macchine per le parti esterne che devono accedervi. Inoltre, è possibile che esistano macchine esterne AWS che richiedono l'accesso al proprio AWS ambiente. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base ai permessi associati o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| SEC-2 | Come si gestiscono le identità per persone e macchine? Esistono due tipi di identità da gestire quando si tratta di gestire carichi di lavoro sicuri. AWS Comprendere il tipo di identità necessaria per gestire e concedere l'accesso ti aiuta a verificare che le identità corrette abbiano accesso alle risorse giuste nelle condizioni adeguate. Identità umane: gli amministratori, gli sviluppatori, gli operatori e gli utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni. AWS Si tratta di membri dell'organizzazione o utenti esterni con cui collabora e che interagiscono con AWS le risorse dell'utente tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità delle macchine: le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per effettuare richieste ai AWS servizi, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo AWS ambiente, come le EC2 istanze Amazon o le funzioni Lambda AWS . È inoltre possibile gestire le identità delle macchine per le parti esterne che devono accedervi. Inoltre, è possibile che esistano macchine esterne AWS che richiedono l'accesso al proprio AWS ambiente. | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| SEC-2 | Come si gestiscono le identità per persone e macchine? Esistono due tipi di identità da gestire quando si tratta di gestire carichi di lavoro sicuri. AWS Comprendere il tipo di identità necessaria per gestire e concedere l'accesso ti aiuta a verificare che le identità corrette abbiano accesso alle risorse giuste nelle condizioni adeguate. Identità umane: gli amministratori, gli sviluppatori, gli operatori e gli utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni. AWS Si tratta di membri dell'organizzazione o utenti esterni con cui collabora e che interagiscono con AWS le risorse dell'utente tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità delle macchine: le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per effettuare richieste ai AWS servizi, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo AWS ambiente, come le EC2 istanze Amazon o le funzioni Lambda AWS . È inoltre possibile gestire le identità delle macchine per le parti esterne che devono accedervi. Inoltre, è possibile che esistano macchine esterne AWS che richiedono l'accesso al proprio AWS ambiente. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| SEC-2 | Come si gestiscono le identità per persone e macchine? Esistono due tipi di identità da gestire quando si tratta di gestire carichi di lavoro sicuri. AWS Comprendere il tipo di identità necessaria per gestire e concedere l'accesso ti aiuta a verificare che le identità corrette abbiano accesso alle risorse giuste nelle condizioni adeguate. Identità umane: gli amministratori, gli sviluppatori, gli operatori e gli utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni. AWS Si tratta di membri dell'organizzazione o utenti esterni con cui collabora e che interagiscono con AWS le risorse dell'utente tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità delle macchine: le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per effettuare richieste ai AWS servizi, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo AWS ambiente, come le EC2 istanze Amazon o le funzioni Lambda AWS . È inoltre possibile gestire le identità delle macchine per le parti esterne che devono accedervi. Inoltre, è possibile che esistano macchine esterne AWS che richiedono l'accesso al proprio AWS ambiente. | Assicurati che le azioni IAM siano limitate alle sole azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| SEC-2 | Come si gestiscono le identità per persone e macchine? Esistono due tipi di identità da gestire quando si tratta di gestire carichi di lavoro sicuri AWS . Comprendere il tipo di identità necessaria per gestire e concedere l'accesso ti aiuta a verificare che le identità corrette abbiano accesso alle risorse giuste nelle condizioni adeguate. Identità umane: gli amministratori, gli sviluppatori, gli operatori e gli utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni. AWS Si tratta di membri dell'organizzazione o utenti esterni con cui collabora e che interagiscono con AWS le risorse dell'utente tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità delle macchine: le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per effettuare richieste ai AWS servizi, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo AWS ambiente, come le EC2 istanze Amazon o le funzioni Lambda AWS . È inoltre possibile gestire le identità delle macchine per le parti esterne che devono accedervi. Inoltre, è possibile che esistano macchine esterne AWS che richiedono l'accesso al proprio AWS ambiente. | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| SEC-2 | Come si gestiscono le identità per persone e macchine? Esistono due tipi di identità da gestire quando si tratta di gestire carichi di lavoro sicuri. AWS Comprendere il tipo di identità necessaria per gestire e concedere l'accesso ti aiuta a verificare che le identità corrette abbiano accesso alle risorse giuste nelle condizioni adeguate. Identità umane: gli amministratori, gli sviluppatori, gli operatori e gli utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni. AWS Si tratta di membri dell'organizzazione o utenti esterni con cui collabora e che interagiscono con AWS le risorse dell'utente tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità delle macchine: le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per effettuare richieste ai AWS servizi, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo AWS ambiente, come le EC2 istanze Amazon o le funzioni Lambda AWS . È inoltre possibile gestire le identità delle macchine per le parti esterne che devono accedervi. Inoltre, è possibile che esistano macchine esterne AWS che richiedono l'accesso al proprio AWS ambiente. | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| SEC-2 | Come si gestiscono le identità per persone e macchine? Esistono due tipi di identità da gestire quando si tratta di gestire carichi di lavoro sicuri. AWS Comprendere il tipo di identità necessaria per gestire e concedere l'accesso ti aiuta a verificare che le identità corrette abbiano accesso alle risorse giuste nelle condizioni adeguate. Identità umane: gli amministratori, gli sviluppatori, gli operatori e gli utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni. AWS Si tratta di membri dell'organizzazione o utenti esterni con cui collabora e che interagiscono con AWS le risorse dell'utente tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità delle macchine: le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per effettuare richieste ai AWS servizi, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo AWS ambiente, come le EC2 istanze Amazon o le funzioni Lambda AWS . È inoltre possibile gestire le identità delle macchine per le parti esterne che devono accedervi. Inoltre, è possibile che esistano macchine esterne AWS che richiedono l'accesso al proprio AWS ambiente. | Questa regola garantisce che AWS i segreti di Secrets Manager abbiano la rotazione abilitata. La rotazione dei segreti secondo una pianificazione regolare può abbreviare il periodo di attività di un segreto e ridurre potenzialmente l'impatto aziendale in caso di compromissione del segreto. | |
| SEC-2 | Come si gestiscono le identità per persone e macchine? Esistono due tipi di identità da gestire quando si tratta di gestire carichi di lavoro sicuri AWS . Comprendere il tipo di identità necessaria per gestire e concedere l'accesso ti aiuta a verificare che le identità corrette abbiano accesso alle risorse giuste nelle condizioni adeguate. Identità umane: gli amministratori, gli sviluppatori, gli operatori e gli utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni. AWS Si tratta di membri dell'organizzazione o utenti esterni con cui collabora e che interagiscono con AWS le risorse dell'utente tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità delle macchine: le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per effettuare richieste ai AWS servizi, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo AWS ambiente, come le EC2 istanze Amazon o le funzioni Lambda AWS . È inoltre possibile gestire le identità delle macchine per le parti esterne che devono accedervi. Inoltre, è possibile che esistano macchine esterne AWS che richiedono l'accesso al proprio AWS ambiente. | Questa regola garantisce che AWS i segreti di Secrets Manager siano ruotati correttamente in base alla pianificazione di rotazione. La rotazione dei segreti secondo una pianificazione regolare può abbreviare il periodo di attività di un segreto e ridurre potenzialmente l'impatto aziendale in caso di compromissione. | |
| SEC-2 | Come si gestiscono le identità per persone e macchine? Esistono due tipi di identità da gestire quando si tratta di gestire carichi di lavoro sicuri. AWS Comprendere il tipo di identità necessaria per gestire e concedere l'accesso ti aiuta a verificare che le identità corrette abbiano accesso alle risorse giuste nelle condizioni adeguate. Identità umane: gli amministratori, gli sviluppatori, gli operatori e gli utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni. AWS Si tratta di membri dell'organizzazione o utenti esterni con cui collabora e che interagiscono con AWS le risorse dell'utente tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità delle macchine: le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per effettuare richieste ai AWS servizi, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo AWS ambiente, come le EC2 istanze Amazon o le funzioni Lambda AWS . È inoltre possibile gestire le identità delle macchine per le parti esterne che devono accedervi. Inoltre, è possibile che esistano macchine esterne AWS che richiedono l'accesso al proprio AWS ambiente. | Questa regola garantisce che AWS i segreti di Secrets Manager abbiano la rotazione periodica abilitata. La rotazione dei segreti secondo una pianificazione regolare può abbreviare il periodo di attività di un segreto e ridurre potenzialmente l'impatto aziendale in caso di compromissione del segreto. Il valore predefinito è 90 giorni. | |
| SEC-2 | Come si gestiscono le identità per persone e macchine? Esistono due tipi di identità da gestire quando si tratta di gestire carichi di lavoro sicuri. AWS Comprendere il tipo di identità necessaria per gestire e concedere l'accesso ti aiuta a verificare che le identità corrette abbiano accesso alle risorse giuste nelle condizioni adeguate. Identità umane: gli amministratori, gli sviluppatori, gli operatori e gli utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni. AWS Si tratta di membri dell'organizzazione o utenti esterni con cui collabora e che interagiscono con AWS le risorse dell'utente tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità delle macchine: le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per effettuare richieste ai AWS servizi, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo AWS ambiente, come le EC2 istanze Amazon o le funzioni Lambda AWS . È inoltre possibile gestire le identità delle macchine per le parti esterne che devono accedervi. Inoltre, è possibile che esistano macchine esterne AWS che richiedono l'accesso al proprio AWS ambiente. | Se in AWS Secrets Manager sono presenti credenziali inutilizzate, è necessario disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola consente di impostare un valore su unusedForDays (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| SEC-2 | Come si gestiscono le identità per persone e macchine? Esistono due tipi di identità da gestire quando si tratta di gestire carichi di lavoro sicuri. AWS Comprendere il tipo di identità necessaria per gestire e concedere l'accesso ti aiuta a verificare che le identità corrette abbiano accesso alle risorse giuste nelle condizioni adeguate. Identità umane: gli amministratori, gli sviluppatori, gli operatori e gli utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni. AWS Si tratta di membri dell'organizzazione o utenti esterni con cui collabora e che interagiscono con AWS le risorse dell'utente tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità delle macchine: le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per effettuare richieste ai AWS servizi, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo AWS ambiente, come le EC2 istanze Amazon o le funzioni Lambda AWS . È inoltre possibile gestire le identità delle macchine per le parti esterne che devono accedervi. Inoltre, è possibile che esistano macchine esterne AWS che richiedono l'accesso al proprio AWS ambiente. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per AWS i segreti di Secrets Manager. Data la possibile presenza di dati sensibili a riposo nei segreti di Secrets Manager, abilita la crittografia a riposo per proteggere tali dati. | |
| SEC-2 | Come si gestiscono le identità per persone e macchine? Esistono due tipi di identità da gestire quando si tratta di gestire carichi di lavoro sicuri. AWS Comprendere il tipo di identità necessaria per gestire e concedere l'accesso ti aiuta a verificare che le identità corrette abbiano accesso alle risorse giuste nelle condizioni adeguate. Identità umane: gli amministratori, gli sviluppatori, gli operatori e gli utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni. AWS Si tratta di membri dell'organizzazione o utenti esterni con cui collabora e che interagiscono con AWS le risorse dell'utente tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità delle macchine: le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per effettuare richieste ai AWS servizi, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo AWS ambiente, come le EC2 istanze Amazon o le funzioni Lambda AWS . È inoltre possibile gestire le identità delle macchine per le parti esterne che devono accedervi. Inoltre, è possibile che esistano macchine esterne AWS che richiedono l'accesso al proprio AWS ambiente. | Le credenziali vengono verificate per i dispositivi, gli utenti e i processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate come specificato dalla politica organizzativa. La modifica delle chiavi di accesso a intervalli regolari è una best practice di sicurezza. Riduce il periodo di attività di una chiave di accesso e l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione delle chiavi di accesso (valore di configurazione predefinito: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Ogni componente o risorsa del carico di lavoro deve essere accessibile da amministratori, utenti finali o altri componenti. Definisci chiaramente chi o cosa deve avere accesso a ciascun componente e scegli il tipo di identità e il metodo di autenticazione e autorizzazione appropriati. | Assicurati che il metodo Instance Metadata Service versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud EC2 (Amazon). Il IMDSv2 metodo utilizza controlli basati sulla sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Ogni componente o risorsa del carico di lavoro deve essere accessibile da amministratori, utenti finali o altri componenti. Definisci chiaramente chi o cosa deve avere accesso a ciascun componente e scegli il tipo di identità e il metodo di autenticazione e autorizzazione appropriati. | EC2 i profili di istanza passano un ruolo IAM a un' EC2 istanza. L'associazione di un profilo dell'istanza alle istanze può facilitare la gestione delle autorizzazioni e del privilegio minimo. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Ogni componente o risorsa del carico di lavoro deve essere accessibile da amministratori, utenti finali o altri componenti. Definisci chiaramente chi o cosa deve avere accesso a ciascun componente e scegli il tipo di identità e il metodo di autenticazione e autorizzazione appropriati. | Se una definizione di attività ha privilegi elevati, significa che il cliente ha scelto specificamente di accedere a tali configurazioni. Questo controllo verifica l'aumento imprevisto dei privilegi quando la rete host prevede una definizione di attività ma il cliente non ha scelto privilegi elevati. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Ogni componente o risorsa del carico di lavoro deve essere accessibile da amministratori, utenti finali o altri componenti. Definisci chiaramente chi o cosa deve avere accesso a ciascun componente e scegli il tipo di identità e il metodo di autenticazione e autorizzazione appropriati. | Per facilitare l'implementazione del principio del privilegio minimo, assicurati che un utente non root sia designato per l'accesso alle definizioni delle attività Amazon Elastic Container Service (Amazon ECS). | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Ogni componente o risorsa del carico di lavoro deve essere accessibile da amministratori, utenti finali o altri componenti. Definisci chiaramente chi o cosa deve avere accesso a ciascun componente e scegli il tipo di identità e il metodo di autenticazione e autorizzazione appropriati. | Per facilitare l'implementazione del principio del privilegio minimo, non devono essere abilitati privilegi elevati per le definizioni delle attività Amazon Elastic Container Service (Amazon ECS). Se il parametro è true, al container vengono assegnati privilegi elevati nell'istanza di container host (simile all'utente root). | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Ogni componente o risorsa del carico di lavoro deve essere accessibile da amministratori, utenti finali o altri componenti. Definisci chiaramente chi o cosa deve avere accesso a ciascun componente e scegli il tipo di identità e il metodo di autenticazione e autorizzazione appropriati. | L'abilitazione dell'accesso in sola lettura ai container Amazon Elastic Container Service (ECS) può aiutare a rispettare il principio del privilegio minimo. Questa opzione può ridurre i vettori di attacco poiché il file system dell'istanza di container non può essere modificato a meno che non disponga di autorizzazioni esplicite di lettura/scrittura. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Ogni componente o risorsa del carico di lavoro deve essere accessibile da amministratori, utenti finali o altri componenti. Definisci chiaramente chi o cosa deve avere accesso a ciascun componente e scegli il tipo di identità e il metodo di autenticazione e autorizzazione appropriati. | Per facilitare l'implementazione del principio del privilegio minimo, assicurati che l'applicazione degli utenti sia abilitata per Amazon Elastic File System (Amazon EFS). Quando abilitato, Amazon EFS sostituisce l'utente e il gruppo del client NFS IDs con l'identità configurata sul punto di accesso per tutte le operazioni del file system e concede l'accesso solo a questa identità utente forzata. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Ogni componente o risorsa del carico di lavoro deve essere accessibile da amministratori, utenti finali o altri componenti. Definisci chiaramente chi o cosa deve avere accesso a ciascun componente e scegli il tipo di identità e il metodo di autenticazione e autorizzazione appropriati. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Ogni componente o risorsa del carico di lavoro deve essere accessibile da amministratori, utenti finali o altri componenti. Definisci chiaramente chi o cosa deve avere accesso a ciascun componente e scegli il tipo di identità e il metodo di autenticazione e autorizzazione appropriati. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base ai permessi associati o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Ogni componente o risorsa del carico di lavoro deve essere accessibile da amministratori, utenti finali o altri componenti. Definisci chiaramente chi o cosa deve avere accesso a ciascun componente e scegli il tipo di identità e il metodo di autenticazione e autorizzazione appropriati. | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Ogni componente o risorsa del carico di lavoro deve essere accessibile da amministratori, utenti finali o altri componenti. Definisci chiaramente chi o cosa deve avere accesso a ciascun componente e scegli il tipo di identità e il metodo di autenticazione e autorizzazione appropriati. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Ogni componente o risorsa del carico di lavoro deve essere accessibile da amministratori, utenti finali o altri componenti. Definisci chiaramente chi o cosa deve avere accesso a ciascun componente e scegli il tipo di identità e il metodo di autenticazione e autorizzazione appropriati. | Assicurati che le azioni IAM siano limitate alle sole azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Ogni componente o risorsa del carico di lavoro deve essere accessibile da amministratori, utenti finali o altri componenti. Definisci chiaramente chi o cosa deve avere accesso a ciascun componente e scegli il tipo di identità e il metodo di autenticazione e autorizzazione appropriati. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle AWS migliori pratiche di sicurezza di base: kms: Decrypt,). kms: ReEncryptFrom I valori effettivi devono riflettere le policy dell'organizzazione. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Ogni componente o risorsa del carico di lavoro deve essere accessibile da amministratori, utenti finali o altri componenti. Definisci chiaramente chi o cosa deve avere accesso a ciascun componente e scegli il tipo di identità e il metodo di autenticazione e autorizzazione appropriati. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base ai permessi associati o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Ogni componente o risorsa del carico di lavoro deve essere accessibile da amministratori, utenti finali o altri componenti. Definisci chiaramente chi o cosa deve avere accesso a ciascun componente e scegli il tipo di identità e il metodo di autenticazione e autorizzazione appropriati. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Ogni componente o risorsa del carico di lavoro deve essere accessibile da amministratori, utenti finali o altri componenti. Definisci chiaramente chi o cosa deve avere accesso a ciascun componente e scegli il tipo di identità e il metodo di autenticazione e autorizzazione appropriati. | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Ogni componente o risorsa del carico di lavoro deve essere accessibile da amministratori, utenti finali o altri componenti. Definisci chiaramente chi o cosa deve avere accesso a ciascun componente e scegli il tipo di identità e il metodo di autenticazione e autorizzazione appropriati. | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Ogni componente o risorsa del carico di lavoro deve essere accessibile da amministratori, utenti finali o altri componenti. Definisci chiaramente chi o cosa deve avere accesso a ciascun componente e scegli il tipo di identità e il metodo di autenticazione e autorizzazione appropriati. | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Stabilisci controlli comuni che limitino l'accesso a tutte le identità della tua organizzazione. Ad esempio, puoi limitare l'accesso a AWS regioni specifiche o impedire agli operatori di eliminare risorse comuni, come un ruolo IAM utilizzato per il tuo team di sicurezza centrale | La gestione centralizzata Account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. L'assenza di una governance centralizzata degli account può comportare configurazioni incoerenti di account, il che può mettere a rischio risorse e dati sensibili. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e multi-account. Limita l'accesso pubblico e multi-account alle risorse che lo richiedono. | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e multi-account. Limita l'accesso pubblico e multi-account alle risorse che lo richiedono. | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e multi-account. Limita l'accesso pubblico e multi-account alle risorse che lo richiedono. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. EC2 Le istanze Amazon possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e multi-account. Limita l'accesso pubblico e multi-account alle risorse che lo richiedono. | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e multi-account. Limita l'accesso pubblico e multi-account alle risorse che lo richiedono. | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e multi-account. Limita l'accesso pubblico e multi-account alle risorse che lo richiedono. | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e multi-account. Limita l'accesso pubblico e multi-account alle risorse che lo richiedono. | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per consentire comunicazioni sicure tra un'istanza e altri servizi all'interno di Amazon VPC, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna EC2 le istanze Amazon a un Amazon VPC per gestire correttamente l'accesso. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e multi-account. Limita l'accesso pubblico e multi-account alle risorse che lo richiedono. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e multi-account. Limita l'accesso pubblico e multi-account alle risorse che lo richiedono. | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Questa configurazione non richiede un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e multi-account. Limita l'accesso pubblico e multi-account alle risorse che lo richiedono. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e multi-account. Limita l'accesso pubblico e multi-account alle risorse che lo richiedono. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e multi-account. Limita l'accesso pubblico e multi-account alle risorse che lo richiedono. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e multi-account. Limita l'accesso pubblico e multi-account alle risorse che lo richiedono. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e multi-account. Limita l'accesso pubblico e multi-account alle risorse che lo richiedono. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e multi-account. Limita l'accesso pubblico e multi-account alle risorse che lo richiedono. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e multi-account. Limita l'accesso pubblico e multi-account alle risorse che lo richiedono. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e multi-account. Limita l'accesso pubblico e multi-account alle risorse che lo richiedono. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e multi-account. Limita l'accesso pubblico e multi-account alle risorse che lo richiedono. | Se in AWS Secrets Manager sono presenti credenziali inutilizzate, è necessario disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola consente di impostare un valore su unusedForDays (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e multi-account. Limita l'accesso pubblico e multi-account alle risorse che lo richiedono. | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni su account, risorse e processi interni. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e multi-account. Limita l'accesso pubblico e multi-account alle risorse che lo richiedono. | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato alla loro interfaccia di rete principale. | |
| SEC-3 | Come si gestiscono le autorizzazioni per persone e macchine? Monitora continuamente i risultati che evidenziano l'accesso pubblico e multi-account. Limita l'accesso pubblico e multi-account alle risorse che lo richiedono. | Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. EC2 le risorse non devono essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso indesiderato alle applicazioni o ai server. | |
| SEC-4 | In che modo individui ed esamini gli eventi di sicurezza? Acquisisci e analizza gli eventi a partire da log e metriche per acquistare visibilità. Agisci su eventi di sicurezza e potenziali minacce per contribuire a rendere sicuro il carico di lavoro. | La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti. | |
| SEC-4 | In che modo individui ed esamini gli eventi di sicurezza? Acquisisci e analizza gli eventi a partire da log e metriche per acquistare visibilità. Agisci su eventi di sicurezza e potenziali minacce per contribuire a rendere sicuro il carico di lavoro. | Assicurati che la registrazione di controllo sia abilitata sui tuoi domini Amazon OpenSearch Service. La registrazione di controllo ti consente di tenere traccia delle attività degli utenti sui tuoi OpenSearch domini, compresi i successi e gli errori di autenticazione, le richieste, le modifiche all'indicizzazione e le query di OpenSearch ricerca in arrivo. | |
| SEC-4 | In che modo individui ed esamini gli eventi di sicurezza? Acquisisci e analizza gli eventi a partire da log e metriche per acquistare visibilità. Agisci su eventi di sicurezza e potenziali minacce per contribuire a rendere sicuro il carico di lavoro. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| SEC-4 | In che modo individui ed esamini gli eventi di sicurezza? Acquisisci e analizza gli eventi a partire da log e metriche per acquistare visibilità. Agisci su eventi di sicurezza e potenziali minacce per contribuire a rendere sicuro il carico di lavoro. | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono Account AWS le informazioni relative all'accesso a un oggetto in un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| SEC-4 | In che modo individui ed esamini gli eventi di sicurezza? Acquisisci e analizza gli eventi a partire da log e metriche per acquistare visibilità. Agisci su eventi di sicurezza e potenziali minacce per contribuire a rendere sicuro il carico di lavoro. | Assicurati che i dati dei log degli eventi vengano mantenuti per una durata minima per i gruppi di log in modo da agevolare la risoluzione dei problemi e le indagini forensi. La mancata disponibilità dei dati dei log degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. | |
| SEC-4 | In che modo individui ed esamini gli eventi di sicurezza? Acquisisci e analizza gli eventi a partire da log e metriche per acquistare visibilità. Agisci su eventi di sicurezza e potenziali minacce per contribuire a rendere sicuro il carico di lavoro. | Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e per diagnosticare i problemi di disponibilità. | |
| SEC-4 | In che modo individui ed esamini gli eventi di sicurezza? Acquisisci e analizza gli eventi a partire da log e metriche per acquistare visibilità. Agisci su eventi di sicurezza e potenziali minacce per contribuire a rendere sicuro il carico di lavoro. | Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| SEC-4 | In che modo individui ed esamini gli eventi di sicurezza? Acquisisci e analizza gli eventi a partire da log e metriche per acquistare visibilità. Agisci su eventi di sicurezza e potenziali minacce per contribuire a rendere sicuro il carico di lavoro. | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| SEC-4 | In che modo individui ed esamini gli eventi di sicurezza? Acquisisci e analizza gli eventi a partire da log e metriche per acquistare visibilità. Agisci su eventi di sicurezza e potenziali minacce per contribuire a rendere sicuro il carico di lavoro. | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| SEC-4 | In che modo individui ed esamini gli eventi di sicurezza? Acquisisci e analizza gli eventi a partire da log e metriche per acquistare visibilità. Agisci su eventi di sicurezza e potenziali minacce per contribuire a rendere sicuro il carico di lavoro. | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| SEC-4 | In che modo individui ed esamini gli eventi di sicurezza? Acquisisci e analizza gli eventi a partire da log e metriche per acquistare visibilità. Agisci su eventi di sicurezza e potenziali minacce per contribuire a rendere sicuro il carico di lavoro. | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| SEC-4 | In che modo individui ed esamini gli eventi di sicurezza? Acquisisci e analizza gli eventi a partire da log e metriche per acquistare visibilità. Agisci su eventi di sicurezza e potenziali minacce per contribuire a rendere sicuro il carico di lavoro. | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| SEC-4 | In che modo individui ed esamini gli eventi di sicurezza? Acquisisci e analizza gli eventi a partire da log e metriche per acquistare visibilità. Agisci su eventi di sicurezza e potenziali minacce per contribuire a rendere sicuro il carico di lavoro. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sul Web regionale e globale. ACLs AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| SEC-4 | In che modo individui ed esamini gli eventi di sicurezza? Acquisisci e analizza gli eventi a partire da log e metriche per acquistare visibilità. Agisci su eventi di sicurezza e potenziali minacce per contribuire a rendere sicuro il carico di lavoro. | Questa regola aiuta a garantire l'uso delle migliori pratiche di sicurezza AWS consigliate per AWS CloudTrail, verificando l'abilitazione di più impostazioni. Queste includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione AWS CloudTrail in più aree. | |
| SEC-4 | In che modo individui ed esamini gli eventi di sicurezza? Acquisisci e analizza gli eventi a partire da log e metriche per acquistare visibilità. Agisci su eventi di sicurezza e potenziali minacce per contribuire a rendere sicuro il carico di lavoro. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| SEC-4 | In che modo individui ed esamini gli eventi di sicurezza? Acquisisci e analizza gli eventi a partire da log e metriche per acquistare visibilità. Agisci su eventi di sicurezza e potenziali minacce per contribuire a rendere sicuro il carico di lavoro. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| SEC-4 | In che modo individui ed esamini gli eventi di sicurezza? Acquisisci e analizza gli eventi a partire da log e metriche per acquistare visibilità. Agisci su eventi di sicurezza e potenziali minacce per contribuire a rendere sicuro il carico di lavoro. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| SEC-4 | In che modo individui ed esamini gli eventi di sicurezza? Acquisisci e analizza gli eventi a partire da log e metriche per acquistare visibilità. Agisci su eventi di sicurezza e potenziali minacce per contribuire a rendere sicuro il carico di lavoro. | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| SEC-5 | In che modo proteggi le risorse di rete? Qualsiasi carico di lavoro che abbia una qualche forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete. | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| SEC-5 | In che modo proteggi le risorse di rete? Qualsiasi carico di lavoro che abbia una qualche forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete. | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| SEC-5 | In che modo proteggi le risorse di rete? Qualsiasi carico di lavoro che abbia una qualche forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete. | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per consentire comunicazioni sicure tra un'istanza e altri servizi all'interno di Amazon VPC, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna EC2 le istanze Amazon a un Amazon VPC per gestire correttamente l'accesso. | |
| SEC-5 | In che modo proteggi le risorse di rete? Qualsiasi carico di lavoro che abbia una qualche forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete. | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Questa configurazione non richiede un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| SEC-5 | In che modo proteggi le risorse di rete? Qualsiasi carico di lavoro che abbia una qualche forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete. | Il routing VPC avanzato forza tutto il traffico COPY e UNLOAD tra il cluster e i repository di dati a passare attraverso Amazon VPC. Puoi quindi utilizzare funzionalità VPC come gruppi di sicurezza e liste di controllo degli accessi alla rete per proteggere il traffico di rete. Puoi anche utilizzare i log di flusso VPC per monitorare il traffico di rete. | |
| SEC-5 | In che modo proteggi le risorse di rete? Qualsiasi carico di lavoro che abbia una qualche forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete. | Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni web. Un WAF aiuta a proteggere le tue applicazioni web o APIs dagli exploit web più comuni. Questi exploit Web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. | |
| SEC-5 | In che modo proteggi le risorse di rete? Qualsiasi carico di lavoro che abbia una qualche forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete. | AWS WAF consente di configurare un insieme di regole (chiamate elenco di controllo degli accessi Web (Web ACL)) che consentono, bloccano o contano le richieste Web in base a regole e condizioni di sicurezza Web personalizzabili definite dall'utente. La fase Gateway Amazon API deve essere associata a un ACL web WAF per garantire la protezione da attacchi dannosi. | |
| SEC-5 | In che modo proteggi le risorse di rete? Qualsiasi carico di lavoro che abbia una qualche forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete. | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| SEC-5 | In che modo proteggi le risorse di rete? Qualsiasi carico di lavoro che abbia una qualche forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete. | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| SEC-5 | In che modo proteggi le risorse di rete? Qualsiasi carico di lavoro che abbia una qualche forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete. | Questa regola verifica se le tue istanze Amazon Elastic Compute Cloud (Amazon EC2) ne hanno più. ENIs La presenza di più istanze ENIs può causare istanze dual-homed, ovvero istanze con più sottoreti. Ciò può aumentare la complessità della sicurezza della rete e introdurre percorsi e accessi di rete indesiderati. | |
| SEC-5 | In che modo proteggi le risorse di rete? Qualsiasi carico di lavoro che abbia una qualche forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. EC2 Le istanze Amazon possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| SEC-5 | In che modo proteggi le risorse di rete? Qualsiasi carico di lavoro che abbia una qualche forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete. | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| SEC-5 | In che modo proteggi le risorse di rete? Qualsiasi carico di lavoro che abbia una qualche forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| SEC-5 | In che modo proteggi le risorse di rete? Qualsiasi carico di lavoro che abbia una qualche forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete. | Assicurati che le tabelle di EC2 routing di Amazon non abbiano percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPCs può ridurre gli accessi involontari all'interno del tuo ambiente. | |
| SEC-5 | In che modo proteggi le risorse di rete? Qualsiasi carico di lavoro che abbia una qualche forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| SEC-5 | In che modo proteggi le risorse di rete? Qualsiasi carico di lavoro che abbia una qualche forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| SEC-5 | In che modo proteggi le risorse di rete? Qualsiasi carico di lavoro che abbia una qualche forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| SEC-5 | In che modo proteggi le risorse di rete? Qualsiasi carico di lavoro che abbia una qualche forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| SEC-5 | In che modo proteggi le risorse di rete? Qualsiasi carico di lavoro che abbia una qualche forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| SEC-5 | In che modo proteggi le risorse di rete? Qualsiasi carico di lavoro che abbia una qualche forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| SEC-5 | In che modo proteggi le risorse di rete? Qualsiasi carico di lavoro che abbia una qualche forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| SEC-5 | In che modo proteggi le risorse di rete? Qualsiasi carico di lavoro che abbia una qualche forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| SEC-5 | In che modo proteggi le risorse di rete? Qualsiasi carico di lavoro che abbia una qualche forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| SEC-5 | In che modo proteggi le risorse di rete? Qualsiasi carico di lavoro che abbia una qualche forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete. | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni su account, risorse e processi interni. | |
| SEC-5 | In che modo proteggi le risorse di rete? Qualsiasi carico di lavoro che abbia una qualche forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete. | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato alla loro interfaccia di rete principale. | |
| SEC-5 | In che modo proteggi le risorse di rete? Qualsiasi carico di lavoro che abbia una qualche forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| SEC-5 | In che modo proteggi le risorse di rete? Qualsiasi carico di lavoro che abbia una qualche forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete. | Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. EC2 le risorse non devono essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso indesiderato alle applicazioni o ai server. | |
| SEC-5 | In che modo proteggi le risorse di rete? Qualsiasi carico di lavoro che abbia una qualche forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| SEC-5 | In che modo proteggi le risorse di rete? Qualsiasi carico di lavoro che abbia una qualche forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni. | |
| SEC-5 | In che modo proteggi le risorse di calcolo? Le risorse di calcolo nel carico di lavoro richiedono più livelli di difesa per contribuire alla protezione da minacce esterne e interne. Le risorse di calcolo includono EC2 istanze, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora. | Assicurati che il tuo AWS WAF abbia una regola che non sia vuota. Una regola senza condizioni può comportare un comportamento non intenzionale. | |
| SEC-5 | In che modo proteggi le risorse di calcolo? Le risorse di calcolo nel carico di lavoro richiedono più livelli di difesa per contribuire alla protezione da minacce esterne e interne. Le risorse di calcolo includono EC2 istanze, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora. | Assicurati che il tuo AWS WAF abbia un gruppo di regole che non sia vuoto. Un gruppo di regole vuoto potrebbe causare un comportamento indesiderato. | |
| SEC-5 | In che modo proteggi le risorse di calcolo? Le risorse di calcolo nel carico di lavoro richiedono più livelli di difesa per contribuire alla protezione da minacce esterne e interne. Le risorse di calcolo includono EC2 istanze, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora. | Un ACL Web collegato a un AWS WAF può contenere una raccolta di regole e gruppi di regole per ispezionare e controllare le richieste Web. Se una ACL web è vuota, il traffico web passa senza essere rilevato o modificato dal WAF. | |
| SEC-5 | In che modo proteggi le risorse di calcolo? Le risorse di calcolo nel carico di lavoro richiedono più livelli di difesa per contribuire alla protezione da minacce esterne e interne. Le risorse di calcolo includono EC2 istanze, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora. | Questa regola garantisce che le liste di controllo degli accessi di rete del cloud privato virtuale (VPC) di Amazon siano in uso. Il monitoraggio delle liste di controllo degli accessi di rete non utilizzati può aiutare a effettuare un inventario e una gestione accurati del proprio ambiente. | |
| SEC-5 | In che modo proteggi le risorse di rete? Qualsiasi carico di lavoro che abbia una qualche forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| SEC-5 | In che modo proteggi le risorse di rete? Qualsiasi carico di lavoro che abbia una qualche forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete. | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| SEC-6 | In che modo proteggi le risorse di calcolo? Le risorse di calcolo nel carico di lavoro richiedono più livelli di difesa per contribuire alla protezione da minacce esterne e interne. Le risorse di calcolo includono EC2 istanze, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora. | L'abilitazione degli aggiornamenti automatici delle versioni minori sulle istanze Amazon Relational Database Service (RDS) garantisce l'installazione degli ultimi aggiornamenti delle versioni minori del sistema di gestione di database relazionale (RDBMS), che possono includere patch di sicurezza e correzioni di bug. | |
| SEC-6 | In che modo proteggi le risorse di calcolo? Le risorse di calcolo nel carico di lavoro richiedono più livelli di difesa per contribuire alla protezione da minacce esterne e interne. Le risorse di calcolo includono EC2 istanze, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora. | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei log. CloudTrail La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| SEC-6 | In che modo proteggi le risorse di calcolo? Le risorse di calcolo nel carico di lavoro richiedono più livelli di difesa per contribuire alla protezione da minacce esterne e interne. Le risorse di calcolo includono EC2 istanze, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora. | Questa regola aiuta a garantire l'uso delle migliori pratiche di sicurezza AWS consigliate per AWS CloudTrail, verificando l'abilitazione di più impostazioni. Queste includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione AWS CloudTrail in più aree. | |
| SEC-6 | In che modo proteggi le risorse di calcolo? Le risorse di calcolo nel carico di lavoro richiedono più livelli di difesa per contribuire alla protezione da minacce esterne e interne. Le risorse di calcolo includono EC2 istanze, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora. | L'abilitazione degli aggiornamenti della piattaforma gestiti per un ambiente Amazon Elastic Beanstalk garantisce l'installazione degli ultimi aggiornamenti, correzioni e funzionalità disponibili per l'ambiente. Rimanere costantemente al passo con l'installazione delle patch è una delle best practice per la sicurezza dei sistemi. | |
| SEC-6 | In che modo proteggi le risorse di calcolo? Le risorse di calcolo nel carico di lavoro richiedono più livelli di difesa per contribuire alla protezione da minacce esterne e interne. Le risorse di calcolo includono EC2 istanze, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora. | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Questa configurazione non richiede un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| SEC-6 | In che modo proteggi le risorse di calcolo? Le risorse di calcolo nel carico di lavoro richiedono più livelli di difesa per contribuire alla protezione da minacce esterne e interne. Le risorse di calcolo includono EC2 istanze, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora. | La scansione delle immagini di Amazon Elastic Container Repository (ECR) aiuta a identificare le vulnerabilità software nelle immagini dei container. L'abilitazione della scansione delle immagini sui repository ECR aggiunge un livello di verifica dell'integrità e della sicurezza delle immagini archiviate. | |
| SEC-6 | In che modo proteggi le risorse di calcolo? Le risorse di calcolo nel carico di lavoro richiedono più livelli di difesa per contribuire alla protezione da minacce esterne e interne. Le risorse di calcolo includono EC2 istanze, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora. | Il monitoraggio è una parte importante per mantenere l'affidabilità, la disponibilità e le prestazioni di Amazon Elastic Container Service (ECS) e delle tue AWS soluzioni. Container Insights fornisce inoltre informazioni diagnostiche, ad esempio errori di riavvio del container, che consentono di isolare i problemi e risolverli in modo rapido. | |
| SEC-6 | In che modo proteggi le risorse di calcolo? Le risorse di calcolo nel carico di lavoro richiedono più livelli di difesa per contribuire alla protezione da minacce esterne e interne. Le risorse di calcolo includono EC2 istanze, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora. | Gli aggiornamenti e le patch di sicurezza vengono distribuiti automaticamente per le attività di Fargate AWS . Se viene rilevato un problema di sicurezza che riguarda una versione della piattaforma AWS Fargate, AWS corregge la versione della piattaforma. Per aiutarti nella gestione delle patch delle attività di Amazon Elastic Container Service (ECS) che eseguono AWS Fargate, aggiorna le attività autonome dei servizi per utilizzare la versione più recente della piattaforma. | |
| SEC-6 | In che modo proteggi le risorse di calcolo? Le risorse di calcolo nel carico di lavoro richiedono più livelli di difesa per contribuire alla protezione da minacce esterne e interne. Le risorse di calcolo includono EC2 istanze, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora. | Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno finestre di manutenzione preferite e periodi di conservazione automatica degli snapshot per il database. Questa regola richiede l'impostazione di. allowVersionUpgrade Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sab: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| SEC-6 | In che modo proteggi le risorse di calcolo? Le risorse di calcolo nel carico di lavoro richiedono più livelli di difesa per contribuire alla protezione da minacce esterne e interne. Le risorse di calcolo includono EC2 istanze, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora. | Assicurati che il metodo Instance Metadata Service versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud EC2 (Amazon). Il IMDSv2 metodo utilizza controlli basati sulla sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| SEC-6 | In che modo proteggi le risorse di calcolo? Le risorse di calcolo nel carico di lavoro richiedono più livelli di difesa per contribuire alla protezione da minacce esterne e interne. Le risorse di calcolo includono EC2 istanze, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora. | Questa regola verifica se le tue istanze Amazon Elastic Compute Cloud (Amazon EC2) ne hanno più. ENIs La presenza di più istanze ENIs può causare istanze dual-homed, ovvero istanze con più sottoreti. Ciò può aumentare la complessità della sicurezza della rete e introdurre percorsi e accessi di rete indesiderati. | |
| SEC-6 | In che modo proteggi le risorse di calcolo? Le risorse di calcolo nel carico di lavoro richiedono più livelli di difesa per contribuire alla protezione da minacce esterne e interne. Le risorse di calcolo includono EC2 istanze, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. EC2 Le istanze Amazon possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| SEC-6 | In che modo proteggi le risorse di calcolo? Le risorse di calcolo nel carico di lavoro richiedono più livelli di difesa per contribuire alla protezione da minacce esterne e interne. Le risorse di calcolo includono EC2 istanze, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora. | EC2 i profili di istanza passano un ruolo IAM a un' EC2 istanza. L'associazione di un profilo dell'istanza alle istanze può facilitare la gestione delle autorizzazioni e del privilegio minimo. | |
| SEC-6 | In che modo proteggi le risorse di calcolo? Le risorse di calcolo nel carico di lavoro richiedono più livelli di difesa per contribuire alla protezione da minacce esterne e interne. Le risorse di calcolo includono EC2 istanze, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora. | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| SEC-6 | In che modo proteggi le risorse di calcolo? Le risorse di calcolo nel carico di lavoro richiedono più livelli di difesa per contribuire alla protezione da minacce esterne e interne. Le risorse di calcolo includono EC2 istanze, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora. | Questa regola garantisce che i gruppi di sicurezza siano collegati a un'istanza Amazon Elastic Compute Cloud (Amazon EC2) o a un ENI. Questa regola aiuta a monitorare i gruppi di sicurezza inutilizzati nell'inventario e nella gestione dell'ambiente. | |
| SEC-6 | In che modo proteggi le risorse di calcolo? Le risorse di calcolo nel carico di lavoro richiedono più livelli di difesa per contribuire alla protezione da minacce esterne e interne. Le risorse di calcolo includono EC2 istanze, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora. | Abilita questa regola per facilitare la configurazione di base delle istanze Amazon Elastic Compute Cloud EC2 (Amazon) controllando se le istanze Amazon EC2 sono state interrotte per più del numero di giorni consentito, in base agli standard della tua organizzazione. | |
| SEC-6 | In che modo proteggi le risorse di calcolo? Le risorse di calcolo nel carico di lavoro richiedono più livelli di difesa per contribuire alla protezione da minacce esterne e interne. Le risorse di calcolo includono EC2 istanze, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora. | Questa regola garantisce che i volumi di Amazon Elastic Block Store collegati alle istanze di Amazon Elastic Compute Cloud (Amazon EC2) siano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegato viene terminata, potrebbe violare il concetto di funzionalità minima. | |
| SEC-6 | In che modo proteggi le risorse di calcolo? Le risorse di calcolo nel carico di lavoro richiedono più livelli di difesa per contribuire alla protezione da minacce esterne e interne. Le risorse di calcolo includono EC2 istanze, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora. | ec2- -controlla managedinstance-association-compliance-status |
Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee di base dei livelli di patch del sistema operativo, delle installazioni software, delle configurazioni delle applicazioni e altri dettagli sull'ambiente. |
| SEC-6 | In che modo proteggi le risorse di calcolo? Le risorse di calcolo nel carico di lavoro richiedono più livelli di difesa per contribuire alla protezione da minacce esterne e interne. Le risorse di calcolo includono EC2 istanze, contenitori, funzioni AWS Lambda, servizi di database, dispositivi IoT e altro ancora. | Abilita questa regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le patch delle EC2 istanze Amazon sono conformi in AWS Systems Manager, come richiesto dalle politiche e dalle procedure della tua organizzazione. | |
| SEC-8 | Come proteggi i dati a riposo? Proteggi i dati a riposo implementando più controlli per ridurre il rischio di accessi non autorizzati o altri comportamenti impropri. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per la cache della fase Gateway API. Per proteggere i dati sensibili che possono essere acquisiti per il metodo API, è necessario attivare la crittografia a riposo. | |
| SEC-8 | Come proteggi i dati a riposo? Proteggi i dati a riposo implementando più controlli per ridurre il rischio di accessi non autorizzati o altri comportamenti impropri. | Assicurati che la crittografia sia abilitata per i punti AWS di ripristino del Backup. Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| SEC-8 | Come proteggi i dati a riposo? Proteggi i dati a riposo implementando più controlli per ridurre il rischio di accessi non autorizzati o altri comportamenti impropri. | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CodeBuild artefatti. | |
| SEC-8 | Come proteggi i dati a riposo? Proteggi i dati a riposo implementando più controlli per ridurre il rischio di accessi non autorizzati o altri comportamenti impropri. | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per AWS CodeBuild i log archiviati in Amazon S3. | |
| SEC-8 | Come proteggi i dati a riposo? Proteggi i dati a riposo implementando più controlli per ridurre il rischio di accessi non autorizzati o altri comportamenti impropri. | Per proteggere i dati archiviati, assicurati che non sia pianificata l'eliminazione delle chiavi master del cliente necessarie (CMKs) in AWS Key Management Service (AWS KMS). Poiché a volte l'eliminazione delle chiavi è necessaria, questa regola può aiutare a verificare tutte le chiavi per le quali è pianificata l'eliminazione, nel caso in cui una chiave sia stata pianificata in modo non intenzionale. | |
| SEC-8 | Come proteggi i dati a riposo? Proteggi i dati a riposo implementando più controlli per ridurre il rischio di accessi non autorizzati o altri comportamenti impropri. | Poiché possono esistere dati sensibili e per contribuire a proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CloudTrail percorsi. | |
| SEC-8 | Come proteggi i dati a riposo? Proteggi i dati a riposo implementando più controlli per ridurre il rischio di accessi non autorizzati o altri comportamenti impropri. | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi Amazon CloudWatch Log Groups. | |
| SEC-8 | Come proteggi i dati a riposo? Proteggi i dati a riposo implementando più controlli per ridurre il rischio di accessi non autorizzati o altri comportamenti impropri. | Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Data la possibile presenza di dati sensibili a riposo in queste tabelle, abilita la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con AWS una chiave master del cliente (CMK) di proprietà. | |
| SEC-8 | Come proteggi i dati a riposo? Proteggi i dati a riposo implementando più controlli per ridurre il rischio di accessi non autorizzati o altri comportamenti impropri. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| SEC-8 | Come proteggi i dati a riposo? Proteggi i dati a riposo implementando più controlli per ridurre il rischio di accessi non autorizzati o altri comportamenti impropri. | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| SEC-8 | Come proteggi i dati a riposo? Proteggi i dati a riposo implementando più controlli per ridurre il rischio di accessi non autorizzati o altri comportamenti impropri. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch OpenSearch Service (Service). | |
| SEC-8 | Come proteggi i dati a riposo? Proteggi i dati a riposo implementando più controlli per ridurre il rischio di accessi non autorizzati o altri comportamenti impropri. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service. | |
| SEC-8 | Come proteggi i dati a riposo? Proteggi i dati a riposo implementando più controlli per ridurre il rischio di accessi non autorizzati o altri comportamenti impropri. | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). | |
| SEC-8 | Come proteggi i dati a riposo? Proteggi i dati a riposo implementando più controlli per ridurre il rischio di accessi non autorizzati o altri comportamenti impropri. | Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| SEC-8 | Come proteggi i dati a riposo? Proteggi i dati a riposo implementando più controlli per ridurre il rischio di accessi non autorizzati o altri comportamenti impropri. | Per aiutare a proteggere i dati a riposo, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo nelle istanze Amazon RDS, abilita la crittografia a riposo per proteggere tali dati. | |
| SEC-8 | Come proteggi i dati a riposo? Proteggi i dati a riposo implementando più controlli per ridurre il rischio di accessi non autorizzati o altri comportamenti impropri. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| SEC-8 | Come proteggi i dati a riposo? Proteggi i dati a riposo implementando più controlli per ridurre il rischio di accessi non autorizzati o altri comportamenti impropri. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo cluster Amazon Redshift. Data la possibile presenza di dati sensibili a riposo nei cluster Redshift, abilita la crittografia a riposo per proteggere tali dati. | |
| SEC-8 | Come proteggi i dati a riposo? Proteggi i dati a riposo implementando più controlli per ridurre il rischio di accessi non autorizzati o altri comportamenti impropri. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| SEC-8 | Come proteggi i dati a riposo? Proteggi i dati a riposo implementando più controlli per ridurre il rischio di accessi non autorizzati o altri comportamenti impropri. | Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati. | |
| SEC-8 | Come proteggi i dati a riposo? Proteggi i dati a riposo implementando più controlli per ridurre il rischio di accessi non autorizzati o altri comportamenti impropri. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo endpoint. SageMaker Poiché nell' SageMaker endpoint possono esistere dati sensibili inattivi, abilita la crittografia a riposo per proteggere tali dati. | |
| SEC-8 | Come proteggi i dati a riposo? Proteggi i dati a riposo implementando più controlli per ridurre il rischio di accessi non autorizzati o altri comportamenti impropri. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo notebook. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| SEC-8 | Come proteggi i dati a riposo? Proteggi i dati a riposo implementando più controlli per ridurre il rischio di accessi non autorizzati o altri comportamenti impropri. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per AWS i segreti di Secrets Manager. Data la possibile presenza di dati sensibili a riposo nei segreti di Secrets Manager, abilita la crittografia a riposo per proteggere tali dati. | |
| SEC-8 | Come proteggi i dati a riposo? Proteggi i dati a riposo implementando più controlli per ridurre il rischio di accessi non autorizzati o altri comportamenti impropri. | Per proteggere i dati archiviati, assicurati che gli argomenti di Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia AWS tramite Key Management Service AWS (KMS). Data la possibile presenza di dati sensibili a riposo nei messaggi pubblicati, abilita la crittografia a riposo per proteggere tali dati. | |
| SEC-8 | Come proteggi i dati a riposo? Proteggi i dati a riposo implementando più controlli per ridurre il rischio di accessi non autorizzati o altri comportamenti impropri. | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti. | |
| SEC-8 | Come proteggi i dati a riposo? Proteggi i dati a riposo implementando più controlli per ridurre il rischio di accessi non autorizzati o altri comportamenti impropri. | La gestione centralizzata Account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. L'assenza di una governance centralizzata degli account può comportare configurazioni incoerenti di account, il che può mettere a rischio risorse e dati sensibili. | |
| SEC-8 | Come proteggi i dati a riposo? Proteggi i dati a riposo implementando più controlli per ridurre il rischio di accessi non autorizzati o altri comportamenti impropri. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| SEC-8 | Come proteggi i dati a riposo? Proteggi i dati a riposo implementando più controlli per ridurre il rischio di accessi non autorizzati o altri comportamenti impropri. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| SEC-8 | Come proteggi i dati a riposo? Proteggi i dati a riposo implementando più controlli per ridurre il rischio di accessi non autorizzati o altri comportamenti impropri. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| SEC-8 | Come proteggi i dati a riposo? Proteggi i dati a riposo implementando più controlli per ridurre il rischio di accessi non autorizzati o altri comportamenti impropri. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| SEC-9 | In che modo proteggi i dati in transito? Proteggi i dati in transito implementando più controlli per ridurre il rischio di accessi non autorizzati o perdita. | Garantisci la protezione dell'integrità della rete assicurando che i certificati X509 vengano emessi da ACM. AWS Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore per daysToExpiration (valore AWS Foundational Security Best Practices: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| SEC-9 | In che modo proteggi i dati in transito? Proteggi i dati in transito implementando più controlli per ridurre il rischio di accessi non autorizzati o perdita. | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| SEC-9 | In che modo proteggi i dati in transito? Proteggi i dati in transito implementando più controlli per ridurre il rischio di accessi non autorizzati o perdita. | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| SEC-9 | In che modo proteggi i dati in transito? Proteggi i dati in transito implementando più controlli per ridurre il rischio di accessi non autorizzati o perdita. | Assicurati che i tuoi Elastic Load Balancer (ELB) siano configurati per eliminare le intestazioni http. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SEC-9 | In che modo proteggi i dati in transito? Proteggi i dati in transito implementando più controlli per ridurre il rischio di accessi non autorizzati o perdita. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SEC-9 | In che modo proteggi i dati in transito? Proteggi i dati in transito implementando più controlli per ridurre il rischio di accessi non autorizzati o perdita. | Assicurati che le fasi REST API del Gateway Amazon API siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare la provenienza delle richieste dal Gateway API. | |
| SEC-9 | In che modo proteggi i dati in transito? Proteggi i dati in transito implementando più controlli per ridurre il rischio di accessi non autorizzati o perdita. | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. Node-to-nodela crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SEC-9 | In che modo proteggi i dati in transito? Proteggi i dati in transito implementando più controlli per ridurre il rischio di accessi non autorizzati o perdita. | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. Node-to-nodela crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SEC-9 | In che modo proteggi i dati in transito? Proteggi i dati in transito implementando più controlli per ridurre il rischio di accessi non autorizzati o perdita. | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon OpenSearch Service. | |
| SEC-9 | In che modo proteggi i dati in transito? Proteggi i dati in transito implementando più controlli per ridurre il rischio di accessi non autorizzati o perdita. | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SEC-9 | In che modo proteggi i dati in transito? Proteggi i dati in transito implementando più controlli per ridurre il rischio di accessi non autorizzati o perdita. | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SEC-9 | In che modo proteggi i dati in transito? Proteggi i dati in transito implementando più controlli per ridurre il rischio di accessi non autorizzati o perdita. | Assicurati che i tuoi Elastic Load Balancers (ELBs) siano configurati con listener SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SEC-9 | In che modo proteggi i dati in transito? Proteggi i dati in transito implementando più controlli per ridurre il rischio di accessi non autorizzati o perdita. | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| SEC-9 | In che modo proteggi i dati in transito? Proteggi i dati in transito implementando più controlli per ridurre il rischio di accessi non autorizzati o perdita. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. |
Modello
Il modello è disponibile su GitHub: Operational Best Practices for AWS Well-Architected Security
