Limita i privilegi amministrativi

Controllo Essential Eight	Guida all'implementazione	AWS risorse	AWS Guida Well-Architected
Le richieste di accesso privilegiato a sistemi e applicazioni vengono convalidate alla prima richiesta.	Tema 4: Gestire le identità: implementa la federazione delle identità	Richiedi agli utenti umani di effettuare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee	SEC02-BP04 Fai affidamento su un gestore dell'identità digitale centralizzato SEC03-BP01 Definizione dei requisiti di accesso
L'accesso privilegiato a sistemi e applicazioni viene disattivato automaticamente dopo 12 mesi, a meno che non venga riconvalidato.	Tema 4: Gestire le identità: implementa la federazione delle identità	Richiedi agli utenti umani di effettuare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee	SEC02-BP04 Fai affidamento su un gestore dell'identità digitale centralizzato
	Tema 4: Gestire le identità: ruota le credenziali	Richiedi ai carichi di lavoro di utilizzare i ruoli IAM per accedere AWS Automatizza l'eliminazione dei ruoli IAM non utilizzati Ruota regolarmente le chiavi di accesso per i casi d'uso che richiedono credenziali a lungo termine AWS Summit ANZ 2023: il tuo percorso verso le credenziali temporanee nel cloud (YouTube video)	SEC02-BP05 Verifica e rotazione periodica delle credenziali
L'accesso privilegiato a sistemi e applicazioni viene automaticamente disabilitato dopo 45 giorni di inattività.	Tema 4: Gestire le identità: implementa la federazione delle identità Tema 4: Gestire le identità: Ruota le credenziali	Richiedi agli utenti umani di unirsi a un provider di identità per accedere AWS utilizzando credenziali temporanee Richiedi ai carichi di lavoro di utilizzare i ruoli IAM per accedere AWS Automatizza l'eliminazione dei ruoli IAM non utilizzati Ruota regolarmente le chiavi di accesso per i casi d'uso che richiedono credenziali a lungo termine AWS Summit ANZ 2023: il tuo percorso verso le credenziali temporanee nel cloud (YouTube video)	SEC02-BP04 Fai affidamento su un gestore dell'identità digitale centralizzato SEC02-BP05 Verifica e rotazione periodica delle credenziali
L'accesso privilegiato ai sistemi e alle applicazioni è limitato solo a ciò che è necessario agli utenti e ai servizi per svolgere i propri compiti.	Tema 4: Gestire le identità: Applica le autorizzazioni con privilegi minimi	Proteggi le credenziali dell'utente root e non utilizzarle per le attività quotidiane Utilizza IAM Access Analyzer per generare politiche con privilegi minimi basate sull'attività di accesso Verifica l'accesso pubblico e tra account alle risorse con IAM Access Analyzer Utilizza IAM Access Analyzer per convalidare le tue policy IAM per autorizzazioni sicure e funzionali Stabilisci barriere di autorizzazione su più account Utilizza i limiti delle autorizzazioni per impostare le autorizzazioni massime che una politica basata sull'identità può concedere Utilizza le condizioni nelle policy IAM per limitare ulteriormente l'accesso Esamina e rimuovi regolarmente utenti, ruoli, autorizzazioni, politiche e credenziali non utilizzati Inizia con le politiche AWS gestite e passa alle autorizzazioni con privilegi minimi Utilizza la funzionalità dei set di autorizzazioni in IAM Identity Center	SEC01-BP02 Utente root e proprietà dell'account sicuro SEC03-BP02 Concessione dell'accesso con privilegio minimo
Agli account privilegiati viene impedito l'accesso a Internet, alla posta elettronica e ai servizi Web.	Vedi Esempio tecnico: limitazione dei privilegi amministrativi (sito web ACSC)	Prendi in considerazione l'implementazione di un SCP che impedisca a qualsiasi VPC che non disponga già di accesso a Internet di accedervi	Non applicabile
Gli utenti privilegiati utilizzano ambienti operativi separati, privilegiati e non privilegiati.	Tema 5: Stabilire un perimetro di dati	Stabilisci un perimetro di dati. Prendi in considerazione l'implementazione di perimetri di dati tra ambienti con diverse classificazioni dei dati, ad esempio `OFFICIAL:SENSITIVE` o`PROTECTED`, o diversi livelli di rischio, come sviluppo, test o produzione.	SEC06-BP03 Riduzione della gestione manuale e dell'accesso interattivo
Gli ambienti operativi privilegiati non sono virtualizzati all'interno di ambienti operativi non privilegiati.
Gli account non privilegiati non possono accedere ad ambienti operativi privilegiati.
Gli account privilegiati (esclusi gli account di amministratore locale) non possono accedere ad ambienti operativi non privilegiati.
Just-in-time l'amministrazione viene utilizzata per amministrare sistemi e applicazioni.	Tema 4: Gestire le identità: implementa la federazione delle identità	Richiedi agli utenti umani di effettuare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee Implementa un accesso temporaneo elevato ai tuoi AWS ambienti (AWS post sul blog)	SEC02-BP04 Fai affidamento su un gestore dell'identità digitale centralizzato
Le attività amministrative vengono condotte tramite jump server.	Tema 1: Utilizzare i servizi gestiti Tema 3: Gestisci l'infrastruttura mutabile con l'automazione: Utilizza l'automazione anziché i processi manuali	Utilizza Session Manager o Run Command anziché l'accesso diretto SSH o RDP	SEC01-BP05 Riduci l'ambito di gestione della sicurezza SEC06-BP03 Riduzione della gestione manuale e dell'accesso interattivo
Le credenziali per gli account degli amministratori locali e gli account di servizio sono uniche, imprevedibili e gestite.	Vedi Esempio tecnico: Limita i privilegi amministrativi (sito web ACSC)	Non applicabile	Non applicabile
Windows Defender Credential Guard e Windows Defender Remote Credential Guard sono abilitati.		Non applicabile	Non applicabile
L'uso dell'accesso privilegiato viene registrato centralmente e protetto da modifiche ed eliminazioni non autorizzate, monitorato per rilevare eventuali segni di compromissione e intervenuto quando vengono rilevati eventi di sicurezza informatica.	Tema 7: Centralizzare la registrazione e il monitoraggio: Abilita la registrazione Tema 7: Centralizzare la registrazione e il monitoraggio: Centralizza i log	Usa CloudWatch Agent per pubblicare i log a livello di sistema operativo nei registri CloudWatch Abilita per la tua organizzazione CloudTrail Centralizza CloudWatch i log in un account per il controllo e l'analisi (post sul blog)AWS Gestione centralizzata di Amazon Inspector Gestione centralizzata del Security Hub Crea un aggregatore a livello di organizzazione in (post del blog) AWS ConfigAWS Centralizza la gestione di GuardDuty Prendi in considerazione l'utilizzo di Amazon Security Lake Ricevi CloudTrail i log da più account Invia i registri a un account di archiviazione dei registri	SEC04-BP01 Configurazione dei log di servizi e applicazioni SEC04-BP02 Acquisisci registri, risultati e metriche in posizioni standardizzate
Le modifiche agli account e ai gruppi privilegiati vengono registrate centralmente e protette da modifiche ed eliminazioni non autorizzate, monitorate per rilevare eventuali segni di compromissione e intervenute quando vengono rilevati eventi di sicurezza informatica.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Rafforzamento delle applicazioni utente

Patch i sistemi operativi