AWS Elenco di controllo delle migliori pratiche SRA - AWS Guida prescrittiva
AWS OrganizationsAWS CloudTrailAWS Security Hub CSPMAWS ConfigAmazon GuardDutyIAMSistema di analisi degli accessi IAMAmazon DetectiveAWS Firewall ManagerAmazon InspectorAmazon MacieAmazon Security LakeAWS WAFAWS Shield AdvancedAWS Risposta agli incidenti di sicurezzaAWS Audit Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Elenco di controllo delle migliori pratiche SRA

Influenza il futuro della AWS Security Reference Architecture (AWS SRA) rispondendo a un breve sondaggio.

Questa sezione riassume le migliori pratiche AWS SRA descritte in questa guida in una lista di controllo da seguire quando si crea la propria versione dell'architettura di sicurezza. AWS Utilizzate questo elenco come punto di riferimento e non come sostituto della revisione della guida. La lista di controllo è raggruppata per. Servizio AWSSe desideri convalidare a livello di codice AWS l'ambiente esistente rispetto alla checklist delle migliori pratiche AWS SRA, puoi utilizzare SRA Verify.

SRA Verify è uno strumento di valutazione della sicurezza che consente di valutare l'allineamento dell'organizzazione all'SRA in più regioni. AWS Account AWS Si basa direttamente sulle raccomandazioni AWS SRA fornendo controlli automatici che convalidano l'implementazione rispetto alle linee guida SRA. AWS Lo strumento consente di verificare che i servizi di sicurezza siano configurati correttamente in base all'architettura di riferimento. Fornisce risultati dettagliati e misure correttive attuabili per garantire che l' AWS ambiente segua le migliori pratiche di sicurezza. SRA Verify è progettato per essere eseguito AWS CodeBuild nell'account di controllo dell'organizzazione (Security Tooling). Puoi anche eseguirlo localmente o estenderlo utilizzando la libreria SRA Verify.

Nota

SRA Verify contiene controlli per diversi servizi, ma potrebbe non contenere un controllo per ogni aspetto dell' AWS SRA. Per ulteriori informazioni, consulta le guide nella libreria AWS SRA.

AWS Organizations

  • AWS Organizations è abilitato con tutte le funzionalità.

  • Le policy di controllo dei servizi (SCPs) vengono utilizzate per definire le linee guida per il controllo degli accessi per i responsabili IAM.

  • Le politiche di controllo delle risorse (RCPs) vengono utilizzate per definire le linee guida per il controllo degli accessi alle AWS risorse.

  • Le politiche dichiarative vengono utilizzate per dichiarare e applicare centralmente la configurazione desiderata per un determinato periodo su larga scala Servizio AWS all'interno dell'organizzazione.

  • OUs Vengono creati tre account di base (Sicurezza, Infrastruttura e Carico di lavoro) per raggruppare gli account dei membri che forniscono servizi di base.

  • L'account Security Tooling viene creato nell'unità organizzativa di sicurezza. Questo account fornisce la gestione centralizzata dei servizi di AWS sicurezza e di altri strumenti di sicurezza di terze parti.

  • L'account Log Archive viene creato nell'unità organizzativa di sicurezza. Questo account fornisce un archivio centrale di registri Servizi AWS e registri delle applicazioni strettamente controllato.

  • L'account di rete viene creato nell'unità organizzativa dell'infrastruttura. Questo account gestisce il gateway tra l'applicazione e Internet in generale. Isola i servizi di rete, la configurazione e il funzionamento dai carichi di lavoro delle singole applicazioni, dalla sicurezza e da altre infrastrutture.

  • L'account Shared Service viene creato nell'unità organizzativa dell'infrastruttura. Questo account supporta i servizi utilizzati da più applicazioni e team per fornire i propri risultati.

  • L'account dell'applicazione viene creato nell'unità organizzativa Workloads. Questo account ospita l'infrastruttura e i servizi principali per l'esecuzione e la manutenzione di un'applicazione aziendale. Questa guida fornisce una rappresentazione, ma nel mondo reale ci saranno account multipli OUs e membri separati per applicazioni, ambienti di sviluppo e altre considerazioni sulla sicurezza.

  • Sono configurate informazioni di contatto alternative per la fatturazione, le operazioni e la sicurezza per tutti gli account dei membri.

AWS CloudTrail

  • È configurato un percorso organizzativo che consente la distribuzione degli eventi di CloudTrail gestione nell'account di gestione e in tutti gli account dei membri di un' AWS organizzazione.

  • L'itinerario organizzativo è configurato come percorso multiregionale.

  • L'organigramma è configurato per acquisire eventi da risorse globali.

  • Se necessario, vengono configurati percorsi aggiuntivi per l'acquisizione di eventi relativi ai dati specifici per monitorare le attività relative alle AWS risorse sensibili.

  • L'account Security Tooling è impostato come amministratore delegato dell'organigramma.

  • L'organigramma è configurato per essere abilitato automaticamente per tutti i nuovi account membro.

  • L'organigramma è configurato per pubblicare i log in un bucket S3 centralizzato ospitato nell'account Log Archive.

  • L'organigramma ha abilitato la convalida dei file di registro per verificare l'integrità dei file di registro.

  • L'organigramma è integrato con CloudWatch Logs per la conservazione dei log.

  • L'organigramma è crittografato utilizzando una chiave gestita dal cliente.

  • Il bucket S3 centrale utilizzato per l'archivio dei log nell'account Log Archive è crittografato con una chiave gestita dal cliente.

  • Il bucket S3 centrale utilizzato per l'archivio dei log nell'account Log Archive è configurato con S3 Object Lock per l'immutabilità.

  • Il controllo delle versioni è abilitato per il bucket S3 centrale utilizzato per l'archivio dei log nell'account Log Archive.

  • Il bucket S3 centrale utilizzato per l'archivio dei log nell'account Log Archive ha una politica delle risorse definita che limita il caricamento degli oggetti solo tramite il percorso organizzativo attraverso la risorsa Amazon Resource Name (ARN).

AWS Security Hub CSPM

  • Security Hub CSPM è abilitato per tutti gli account dei membri e per l'account di gestione.

  • AWS Config è abilitato per tutti gli account dei membri come prerequisito per Security Hub CSPM.

  • L'account Security Tooling è impostato come amministratore delegato di Security Hub CSPM.

  • Amazon GuardDuty e Amazon Detective hanno lo stesso account amministratore delegato del Security Hub CSPM per una perfetta integrazione dei servizi.

  • La configurazione centrale viene utilizzata per configurare e gestire Security Hub CSPM su più Account AWS e. Regioni AWS

  • Tutte le unità organizzative e gli account dei membri sono designati come gestiti centralmente dall'amministratore delegato di Security Hub CSPM.

  • Security Hub CSPM è abilitato automaticamente per tutti gli account dei nuovi membri.

  • Security Hub CSPM è abilitato automaticamente per la configurazione di nuovi standard.

  • I risultati CSPM di Security Hub di tutte le regioni vengono aggregati in un'unica area geografica.

  • I risultati CSPM di Security Hub di tutti gli account dei membri vengono aggregati all'interno dell'account Security Tooling.

  • Lo standard AWS Foundational Best Practices (FSBP) in Security Hub CSPM è abilitato per tutti gli account dei membri.

  • Lo standard CIS AWS Foundation Benchmark in Security Hub CSPM è abilitato per tutti gli account dei membri.

  • Se applicabile, sono abilitati altri standard CSPM di Security Hub.

  • Una regola di automazione CSPM di Security Hub viene utilizzata per arricchire i risultati con il contesto delle risorse.

  • La funzionalità di risposta e correzione automatizzata Security Hub CSPM viene utilizzata per creare EventBridge regole personalizzate per intraprendere azioni automatiche in base a risultati specifici.

AWS Config

  • Il AWS Config registratore è abilitato per tutti gli account dei membri e per l'account di gestione.

  • Il AWS Config registratore è abilitato per tutte le regioni.

  • Il bucket S3 del canale di AWS Config distribuzione è centralizzato nell'account Log Archive.

  • L'account amministratore AWS Config delegato è impostato sull'account Security Tooling.

  • AWS Config ha un aggregatore di organizzazioni configurato. L'aggregatore include tutte le regioni.

  • AWS Config i pacchetti di conformità vengono distribuiti in modo uniforme su tutti gli account dei membri a partire dall'account amministratore delegato.

  • AWS Config i risultati delle regole vengono inviati automaticamente a Security Hub CSPM.

Amazon GuardDuty

  • GuardDuty il rilevatore è abilitato per tutti gli account dei membri e per l'account di gestione.

  • GuardDuty il rilevatore è abilitato per tutte le regioni.

  • GuardDuty il rilevatore è abilitato automaticamente per tutti gli account dei nuovi membri.

  • GuardDuty l'amministrazione delegata è impostata sull'account Security Tooling.

  • GuardDuty sono abilitate fonti di dati fondamentali come eventi di CloudTrail gestione, log di flusso VPC e log di query DNS di Route 53 Resolver.

  • GuardDuty La protezione S3 è abilitata.

  • GuardDuty La protezione da malware per i volumi EBS è abilitata.

  • GuardDuty La protezione da malware per S3 è abilitata.

  • GuardDuty La protezione RDS è abilitata.

  • GuardDuty La protezione Lambda è abilitata.

  • GuardDuty La protezione EKS è abilitata.

  • GuardDuty EKS Runtime Monitoring è abilitato.

  • GuardDuty Il rilevamento esteso delle minacce è abilitato.

  • GuardDuty i risultati vengono esportati in un bucket S3 centrale nell'account Log Archive per essere conservati.

IAM

  • Gli utenti IAM non vengono utilizzati.

  • Viene applicata la gestione centralizzata dell'accesso root per gli account dei membri.

  • L'attività centralizzata dell'utente root privilegiato per l'account di gestione viene applicata dall'amministratore delegato.

  • La gestione centralizzata degli accessi root è delegata all'account Security Tooling.

  • Tutte le credenziali root dell'account membro vengono rimosse.

  • Tutte le politiche relative alle Account AWS password dei membri e dei gestori sono impostate in base allo standard di sicurezza dell'organizzazione. 

  • IAM access advisor viene utilizzato per esaminare le ultime informazioni utilizzate per gruppi, utenti, ruoli e politiche IAM.

  • I limiti di autorizzazione vengono utilizzati per limitare il numero massimo di autorizzazioni possibili per i ruoli IAM.

Sistema di analisi degli accessi IAM

  • IAM Access Analyzer è abilitato per tutti gli account dei membri e per l'account di gestione.

  • L'amministratore delegato di IAM Access Analyzer è impostato sull'account Security Tooling.

  • L'analizzatore di accesso esterno IAM Access Analyzer è configurato con la zona di fiducia dell'organizzazione in ogni regione.

  • L'analizzatore di accesso esterno IAM Access Analyzer è configurato con la zona di fiducia dell'account in ogni regione.

  • L'analizzatore di accesso interno IAM Access Analyzer è configurato con la zona di fiducia dell'organizzazione in ogni regione.

  • L'analizzatore di accesso interno IAM Access Analyzer è configurato con la zona di fiducia dell'account in ogni regione.

  • Viene creato lo strumento di analisi degli accessi inutilizzati di IAM Access Analyzer per l'account corrente.

  • Viene creato l'analizzatore di accessi inutilizzati IAM Access Analyzer per l'organizzazione corrente.

Amazon Detective

  • Detective è abilitato per tutti gli account dei membri.

  • Detective è abilitato automaticamente per tutti gli account dei nuovi membri.

  • Detective è abilitato per tutte le regioni.

  • L'amministratore delegato di Detective è impostato sull'account Security Tooling.

  • L'amministratore delegato CSPM di Detective and Security Hub è impostato sullo stesso account Security Tooling. GuardDuty

  • Detective è integrato con Security Lake per l'archiviazione e l'analisi dei log non elaborati.

  • Detective è integrato GuardDuty per l'ingestione dei risultati.

  • Detective sta inserendo i log di controllo di Amazon EKS a scopo di analisi.

  • Detective sta inserendo i log CSPM di Security Hub per l'analisi.

AWS Firewall Manager

  • Le politiche di sicurezza di Firewall Manager sono impostate.

  • L'amministratore delegato di Firewall Manager è impostato sull'account Security Tooling.

  • AWS Config è abilitato come prerequisito.

  • Più amministratori di Firewall Manager sono impostati con un ambito limitato per unità organizzativa, account e regione.

  • Viene definita una politica AWS WAF di sicurezza Firewall Manager.

  • Viene definita una politica di registrazione AWS WAF centralizzata di Firewall Manager.

  • Viene definita una politica di sicurezza Firewall Manager Shield Advanced.

  • Viene definita una politica di sicurezza del gruppo di sicurezza Firewall Manager.

Amazon Inspector

  • Amazon Inspector è abilitato per tutti gli account dei membri.

  • Amazon Inspector viene abilitato automaticamente per ogni nuovo account membro.

  • L'amministratore delegato di Amazon Inspector è impostato sull'account Security Tooling.

  • La scansione delle EC2 vulnerabilità di Amazon Inspector è abilitata.

  • La scansione delle vulnerabilità delle immagini di Amazon Inspector ECR è abilitata.

  • La scansione delle vulnerabilità della funzione e dei livelli di Amazon Inspector Lambda è abilitata.

  • La scansione del codice Amazon Inspector Lambda è abilitata.

  • La scansione di sicurezza del codice di Amazon Inspector è abilitata.

Amazon Macie

  • Macie è abilitato per gli account membro applicabili.

  • Macie è abilitato automaticamente per gli account dei nuovi membri applicabili.

  • L'amministratore delegato di Macie è impostato sull'account Security Tooling.

  • I risultati di Macie vengono esportati in un bucket S3 centrale nell'account Log Archive.

  • I bucket S3 che memorizzano i risultati di Macie sono crittografati con una chiave gestita dal cliente.

  • La politica e la politica di classificazione di Macie sono pubblicate su Security Hub CSPM.

Amazon Security Lake

  • La configurazione dell'organizzazione di Security Lake è abilitata.

  • L'amministratore delegato di Security Lake è impostato sull'account Security Tooling.

  • La configurazione dell'organizzazione Security Lake è abilitata per gli account dei nuovi membri.

  • L'account Security Tooling è configurato come abbonato all'accesso ai dati per condurre l'analisi dei log.

  • L'account Security Tooling è configurato come abbonato alle interrogazioni di dati per condurre l'analisi dei log.

  • Una fonte di log di CloudTrail gestione è abilitata per Security Lake in tutti gli account dei membri attivi o in alcuni account dei membri attivi.

  • Una fonte di log di flusso VPC è abilitata per Security Lake in tutti gli account dei membri attivi o in alcuni account membri attivi.

  • Una fonte di log Route 53 è abilitata per Security Lake in tutti gli account dei membri attivi o in alcuni account membri attivi.

  • CloudTrail un evento di dati per una fonte di log S3 è abilitato per Security Lake in tutti gli account dei membri attivi o in alcuni account membri attivi.

  • Un'origine del registro di esecuzione Lambda è abilitata per Security Lake in tutti gli account dei membri attivi o in alcuni account membri attivi.

  • Una fonte di log di controllo Amazon EKS è abilitata per Security Lake in tutti gli account dei membri attivi o in alcuni account membri attivi.

  • Un'origine del registro dei risultati di Security Hub è abilitata per Security Lake in tutti gli account dei membri attivi o in alcuni account membri attivi.

  • Una fonte di AWS WAF registro è abilitata per Security Lake in tutti gli account dei membri attivi o in alcuni account membri attivi.

  • Le code SQS di Security Lake nell'account amministratore delegato sono crittografate con una chiave gestita dal cliente.

  • La coda di posta indesiderata di Security Lake SQS nell'account amministratore delegato è crittografata con una chiave gestita dal cliente.

  • Il bucket Security Lake S3 è crittografato con una chiave gestita dal cliente.

  • Il bucket Security Lake S3 ha una politica delle risorse che limita l'accesso diretto solo da parte di Security Lake.

AWS WAF

  • Tutte le CloudFront distribuzioni sono associate a. AWS WAF

  • Tutti i REST di Amazon API Gateway APIs sono associati a AWS WAF.

  • Tutti gli Application Load Balancer sono associati a. AWS WAF

  • Tutti i AWS AppSync GraphQL APIs sono associati a. AWS WAF

  • Tutti i pool di utenti di Amazon Cognito sono associati a. AWS WAF

  • Tutti i AWS App Runner servizi sono associati AWS WAF a.

  • Tutte le Accesso verificato da AWS istanze sono associate AWS WAF a.

  • Tutte le AWS Amplify applicazioni sono associate AWS WAF a.

  • AWS WAF la registrazione è abilitata.

  • AWS WAF i log sono centralizzati in un bucket S3 nell'account Log Archive.

AWS Shield Advanced

  • L'abbonamento Shield Advanced è abilitato e impostato per il rinnovo automatico per tutti gli account delle applicazioni che dispongono di risorse rivolte al pubblico.

  • Shield Advanced è configurato per tutte le CloudFront distribuzioni.

  • Shield Advanced è configurato per tutti gli Application Load Balancer.

  • Shield Advanced è configurato per tutti i Network Load Balancer.

  • Shield Advanced è configurato per tutte le zone ospitate su Route 53.

  • Shield Advanced è configurato per tutti gli indirizzi IP elastici.

  • Shield Advanced è configurato per tutti gli acceleratori globali.

  • CloudWatch gli allarmi sono configurati per CloudFront le risorse Route 53 protette da Shield Advanced.

  • L'accesso allo Shield Response Team (SRT) è configurato.

  • Il coinvolgimento proattivo Shield Advanced è abilitato.

  • I contatti di coinvolgimento proattivo Shield Advanced sono configurati.

  • Le risorse protette Shield Advanced hanno una AWS WAF regola personalizzata configurata.

  • Le risorse protette Shield Advanced hanno la mitigazione automatica DDo S a livello di applicazione abilitata.

AWS Risposta agli incidenti di sicurezza

  • AWS Security Incident Response è abilitato per l'intera AWS organizzazione.

  • L'amministratore delegato AWS di Security Incident Response è impostato sull'account Security Tooling.

  • Il flusso di lavoro di risposta proattiva e di valutazione degli avvisi è abilitato.

  • AWS Le azioni di contenimento del Customer Incident Response Team (CIRT) sono autorizzate.

AWS Audit Manager

  • Audit Manager è abilitato per tutti gli account dei membri.

  • Audit Manager è abilitato automaticamente per gli account dei nuovi membri.

  • L'amministratore delegato di Audit Manager è impostato sull'account Security Tooling.

  • AWS Config è abilitato come prerequisito per Audit Manager.

  • Per i dati archiviati in Audit Manager viene utilizzata una chiave gestita dal cliente.

  • La destinazione predefinita del rapporto di valutazione è configurata.