Controlli CSPM del Security Hub per Amazon EC2

Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse Amazon Elastic Compute Cloud (Amazon EC2). I controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.

[EC2.1] Gli snapshot di Amazon EBS non devono essere ripristinabili pubblicamente

Requisiti correlati: PCI DSS versione 3.2.1/1.2.1, PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21), NIST.800-53.r5 AC-3, (11), (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (20) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoria: Protezione > Configurazione di rete protetta

Severità: critica

Tipo di risorsa: AWS::::Account

Regola AWS Config : ebs-snapshot-public-restorable-check

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se gli snapshot di Amazon Elastic Block Store non sono pubblici. Il controllo fallisce se gli snapshot di Amazon EBS sono ripristinabili da chiunque.

Gli snapshot EBS vengono utilizzati per eseguire il backup dei dati sui volumi EBS su Amazon S3 in un momento specifico. Puoi utilizzare gli snapshot per ripristinare gli stati precedenti dei volumi EBS. Raramente è accettabile condividere uno snapshot con il pubblico. In genere la decisione di condividere pubblicamente uno snapshot viene presa per errore o senza una completa comprensione delle implicazioni. Questo controllo consente di garantire che tale condivisione sia stata completamente pianificata ed è intenzionale.

Correzione

Per rendere privata una snapshot EBS pubblica, consulta Share a snapshot nella Amazon EC2 User Guide. Per Azioni, Modifica le autorizzazioni, scegli Privato.

[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita

Requisiti correlati: benchmark CIS AWS Foundations v5.0.0/5.5, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/2.1, benchmark CIS Foundations v1.2.0/4.3, benchmark CIS Foundations v1.4.0/5.3, benchmark CIS AWS Foundations v3.0.0/5.4,, (21), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (), (21), (4), (5) AWS AWS NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoria: Protezione > Configurazione di rete protetta

Gravità: alta

Tipo di risorsa: AWS::EC2::SecurityGroup

Regola AWS Config : vpc-default-security-group-closed

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se il gruppo di sicurezza predefinito di un VPC consente il traffico in entrata o in uscita. Il controllo fallisce se il gruppo di sicurezza consente il traffico in entrata o in uscita.

Le regole per il gruppo di sicurezza predefinito consentono tutto il traffico in uscita e in ingresso dalle interfacce di rete (e le istanze associate) assegnate allo stesso gruppo di sicurezza. Ti consigliamo di non utilizzare il gruppo di sicurezza predefinito. Poiché il gruppo di sicurezza predefinito non può essere eliminato, è necessario modificare l'impostazione delle regole di gruppo di sicurezza predefinito per limitare il traffico in ingresso e in uscita. Ciò impedisce il traffico non intenzionale se il gruppo di sicurezza predefinito viene configurato accidentalmente per risorse come le istanze EC2.

Correzione

Per risolvere questo problema, inizia creando nuovi gruppi di sicurezza con privilegi minimi. Per istruzioni, consulta Creare un gruppo di sicurezza nella Amazon VPC User Guide. Quindi, assegna i nuovi gruppi di sicurezza alle tue istanze EC2. Per istruzioni, consulta Modificare il gruppo di sicurezza di un'istanza nella Guida per l'utente di Amazon EC2.

Dopo aver assegnato i nuovi gruppi di sicurezza alle tue risorse, rimuovi tutte le regole in entrata e in uscita dai gruppi di sicurezza predefiniti. Per istruzioni, consulta Configurare le regole dei gruppi di sicurezza nella Amazon VPC User Guide.

[EC2.3] I volumi Amazon EBS collegati devono essere crittografati a riposo

Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (6)

Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest

Gravità: media

Tipo di risorsa: AWS::EC2::Volume

Regola AWS Config : encrypted-volumes

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se i volumi EBS che si trovano in uno stato collegato sono crittografati. Per superare questo controllo, i volumi EBS devono essere in uso e crittografati. Se il volume EBS non è collegato, non è destinato a questo controllo.

Per un ulteriore livello di sicurezza dei dati sensibili nei volumi EBS, è necessario abilitare la crittografia EBS dei dati inattivi. La crittografica Amazon EBS offre una soluzione di crittografia semplice per le risorse EBS che non richiede di creare, mantenere e proteggere la propria infrastruttura di gestione delle chiavi. Utilizza le chiavi KMS per la creazione di volumi e istantanee crittografati.

Per ulteriori informazioni sulla crittografia Amazon EBS, consulta Amazon EBS encryption nella Amazon EC2 User Guide.

Correzione

Non esiste un modo diretto per crittografare un volume o uno snapshot non crittografato esistente. È possibile crittografare un nuovo volume o snapshot solo quando viene creato.

Se hai abilitato la crittografia per impostazione predefinita, Amazon EBS crittografa il nuovo volume o snapshot risultante utilizzando la tua chiave predefinita per la crittografia Amazon EBS. Anche se non la crittografia non è abilitata per impostazione predefinita, è possibile abilitare la crittografia al momento della creazione di uno specifico volume o snapshot. In entrambi i casi, puoi sostituire la chiave predefinita per la crittografia Amazon EBS e scegliere una chiave simmetrica gestita dal cliente.

Per ulteriori informazioni, consulta Creare un volume Amazon EBS e Copiare uno snapshot Amazon EBS nella Guida per l'utente di Amazon EC2.

[EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato

Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)

Categoria: Identificazione > Inventario

Gravità: media

Tipo di risorsa: AWS::EC2::Instance

Regola AWS Config : ec2-stopped-instance

Tipo di pianificazione: periodica

Parametri:

Parametro	Description	Tipo	Valori personalizzati consentiti	Valore predefinito CSPM di Security Hub
`AllowedDays`	Numero di giorni in cui l'istanza EC2 può rimanere in uno stato di arresto prima della generazione di un risultato non riuscito.	Numero intero	`1` Da a `365`	`30`

Questo controllo verifica se un'istanza Amazon EC2 è stata interrotta per un periodo superiore al numero di giorni consentito. Il controllo fallisce se un'istanza EC2 viene interrotta per un periodo di tempo superiore al periodo di tempo massimo consentito. A meno che non si fornisca un valore di parametro personalizzato per il periodo di tempo massimo consentito, Security Hub CSPM utilizza un valore predefinito di 30 giorni.

Quando un'istanza EC2 non viene eseguita per un periodo di tempo significativo, crea un rischio per la sicurezza perché l'istanza non viene gestita attivamente (analizzata, corretta, aggiornata). Se viene avviata in un secondo momento, la mancanza di una manutenzione adeguata potrebbe causare problemi imprevisti nell'ambiente AWS . Per mantenere in modo sicuro un'istanza EC2 nel tempo in uno stato inattivo, avviala periodicamente per la manutenzione e poi interrompila dopo la manutenzione. Idealmente, questo dovrebbe essere un processo automatizzato.

Correzione

Per terminare un'istanza EC2 inattiva, consulta Terminare un'istanza nella Amazon EC2 User Guide.

[EC2.6] La registrazione del flusso in VPC deve essere abilitata in tutti i casi VPCs

Requisiti correlati: benchmark CIS AWS Foundations v5.0.0/3.7, benchmark CIS Foundations v1.2.0/2.9, benchmark CIS AWS Foundations v1.4.0/3.9, benchmark CIS AWS Foundations v3.0.0/3.7, NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SI-7 (8), NIST.800-171.r2 3.1.20, nIST.800-171.r2 3.3.1, nIST AWS . IST.800-171.r2 3.13.1, PCI DSS versione 3.2.1/10.3.3 NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, PCI DSS versione 3.2.1/10.3.4, PCI DSS versione 3.2.1/10.3.5, PCI DSS versione 3.2.1/10.3.6

Categoria: Identificazione > Registrazione

Gravità: media

Tipo di risorsa: AWS::EC2::VPC

Regola AWS Config : vpc-flow-logs-enabled

Tipo di pianificazione: periodica

Parametri:

trafficType: REJECT (non personalizzabile)

Questo controllo verifica se i log di flusso di Amazon VPC sono stati trovati e abilitati. VPCs Il tipo di traffico è impostato su. Reject Il controllo fallisce se i log di flusso VPC non sono abilitati VPCs nel tuo account.

Nota

Questo controllo non verifica se i log di flusso di Amazon VPC sono abilitati tramite Amazon Security Lake per. Account AWS

Con la funzione VPC Flow Logs, puoi acquisire informazioni sul traffico di indirizzi IP che va e viene dalle interfacce di rete nel tuo VPC. Dopo aver creato un log di flusso, puoi visualizzarne e recuperarne i dati in Logs. CloudWatch Per ridurre i costi, puoi anche inviare i log di flusso ad Amazon S3.

Security Hub CSPM consiglia di abilitare la registrazione del flusso per i pacchetti rifiutati per. VPCs I log di flusso forniscono visibilità sul traffico di rete che attraversa il VPC e possono rilevare traffico anomalo o fornire informazioni durante i flussi di lavoro di sicurezza.

Per impostazione predefinita, il record include i valori per i diversi componenti del flusso di indirizzi IP, tra cui origine, destinazione e protocollo. Per ulteriori informazioni e descrizioni dei campi di log, consulta VPC Flow Logs nella Amazon VPC User Guide.

Correzione

Per creare un log di flusso VPC, consulta Create a Flow Log nella Amazon VPC User Guide. Dopo aver aperto la console Amazon VPC, scegli Your. VPCs Per Filtro, scegli Rifiuta o Tutto.

[EC2.7] La crittografia predefinita di EBS deve essere abilitata

Requisiti correlati: CIS AWS Foundations Benchmark v5.0.0/5.1.1, CIS Foundations Benchmark v1.4.0/2.2.1, CIS AWS Foundations Benchmark v3.0.0/2.2.1, (1), 3, 8 (1), (10), NIST.800-53.r5 SI-7 (6) AWS NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7

Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest

Gravità: media

Tipo di risorsa: AWS::::Account

Regola AWS Config : ec2-ebs-encryption-by-default

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se la crittografia a livello di account è abilitata per impostazione predefinita per i volumi Amazon Elastic Block Store (Amazon EBS). Il controllo fallisce se la crittografia a livello di account non è abilitata per i volumi EBS.

Quando la crittografia è abilitata per il tuo account, i volumi Amazon EBS e le copie degli snapshot vengono crittografati quando sono inattivi. Ciò aggiunge un ulteriore livello di protezione per i tuoi dati. Per ulteriori informazioni, consulta la sezione Encryption by default nella Guida per l’utente di Amazon EC2.

Correzione

Per configurare la crittografia predefinita per i volumi Amazon EBS, consulta Encryption by default nella Amazon EC2 User Guide.

[EC2.8] Le istanze EC2 devono utilizzare Instance Metadata Service versione 2 () IMDSv2

Requisiti correlati: CIS AWS Foundations Benchmark v5.0.0/5.7, CIS Foundations Benchmark v3.0.0/5.6, (15), ( AWS 7), PCI DSS v4.0.1/2.2.6 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

Categoria: Protezione > Sicurezza di rete

Gravità: alta

Tipo di risorsa: AWS::EC2::Instance

Regola AWS Config : ec2-imdsv2-check

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se la versione dei metadati dell'istanza EC2 è configurata con Instance Metadata Service versione 2 (). IMDSv2 Il controllo passa se HttpTokens è impostato su required for. IMDSv2 Il controllo ha esito negativo se HttpTokens è impostato suoptional.

I metadati dell'istanza vengono utilizzati per configurare o gestire l'istanza in esecuzione. L'IMDS fornisce l'accesso a credenziali temporanee, che vengono ruotate frequentemente. Queste credenziali eliminano la necessità di codificare o distribuire credenziali riservate alle istanze manualmente o programmaticamente. L'IMDS è collegato localmente a ogni istanza EC2. Funziona su uno speciale indirizzo IP «link local» 169.254.169.254. Questo indirizzo IP è accessibile solo dal software in esecuzione sull'istanza.

La versione 2 dell'IMDS aggiunge nuove protezioni per i seguenti tipi di vulnerabilità. Queste vulnerabilità potrebbero essere utilizzate per tentare di accedere all'IMDS.

Apri i firewall delle applicazioni del sito Web
Apri proxy inversi
Vulnerabilità SSRF (Server-side Request Forgery)
Firewall Open Layer 3 e NAT (Network Address Translation)

Security Hub CSPM consiglia di configurare le istanze EC2 con. IMDSv2

Correzione

Per configurare le istanze EC2 con IMDSv2, consulta il percorso consigliato per la richiesta IMDSv2 nella Amazon EC2 User Guide.

[EC2.9] Le istanze Amazon EC2 non devono avere un indirizzo pubblico IPv4

Requisiti correlati: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7

Categoria: Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico

Gravità: alta

Tipo di risorsa: AWS::EC2::Instance

Regola AWS Config : ec2-instance-no-public-ip

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se le istanze EC2 hanno un indirizzo IP pubblico. Il controllo fallisce se il publicIp campo è presente nell'elemento di configurazione dell'istanza EC2. Questo controllo si applica solo agli IPv4 indirizzi.

Un indirizzo IPv4 pubblico è un indirizzo IP raggiungibile da Internet. Se avvii l'istanza con un indirizzo IP pubblico, l'istanza EC2 è raggiungibile da Internet. Un indirizzo IPv4 privato è un indirizzo IP non raggiungibile da Internet. Puoi utilizzare indirizzi IPv4 privati per la comunicazione tra istanze EC2 nello stesso VPC o nella tua rete privata connessa.

IPv6 gli indirizzi sono unici a livello globale e quindi sono raggiungibili da Internet. Tuttavia, per impostazione predefinita, tutte le sottoreti hanno l'attributo di IPv6 indirizzamento impostato su false. Per ulteriori informazioni IPv6, consulta la sezione Indirizzamento IP nel tuo VPC nella Amazon VPC User Guide.

Se hai un caso d'uso legittimo per mantenere istanze EC2 con indirizzi IP pubblici, puoi eliminare i risultati di questo controllo. Per ulteriori informazioni sulle opzioni di architettura front-end, consulta l'AWS Architecture Blog o la serie di video della serie This Is My Architecture. AWS

Correzione

Utilizza un VPC non predefinito in modo che all'istanza non venga assegnato un indirizzo IP pubblico per impostazione predefinita.

Quando avvii un'istanza EC2 in un VPC predefinito, a essa viene assegnato un indirizzo IP pubblico. Quando avvii un'istanza EC2 in un VPC non predefinito, la configurazione della sottorete determina se riceve un indirizzo IP pubblico. La sottorete dispone di un attributo per determinare se le nuove istanze EC2 nella sottorete ricevono un indirizzo IP pubblico dal pool di indirizzi pubblici. IPv4

Puoi dissociare un indirizzo IP pubblico assegnato automaticamente dalla tua istanza EC2. Per ulteriori informazioni, IPv4 consulta Indirizzi pubblici e nomi host DNS esterni nella Guida per l'utente di Amazon EC2.

[EC2.10] Amazon EC2 deve essere configurato per utilizzare endpoint VPC creati per il servizio Amazon EC2

Requisiti correlati: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.3, NIST.800-53.r5 SC-7 NIST.800-171.r2 3.13.1

Categoria: Protezione > Configurazione di rete sicura > Accesso privato API

Gravità: media

Tipo di risorsa: AWS::EC2::VPC

Regola AWS Config : service-vpc-endpoint-enabled

Tipo di pianificazione: periodica

Parametri:

serviceName: ec2 (non personalizzabile)

Questo controllo verifica se viene creato un endpoint di servizio per Amazon EC2 per ogni VPC. Il controllo fallisce se un VPC non dispone di un endpoint VPC creato per il servizio Amazon EC2.

Questo controllo valuta le risorse in un unico account. Non può descrivere risorse esterne all'account. Poiché AWS Config Security Hub CSPM non effettua controlli su più account, ne vedrai FAILED i risultati condivisi tra VPCs gli account. Security Hub CSPM consiglia di eliminare questi risultati. FAILED

Per migliorare il livello di sicurezza del tuo VPC, puoi configurare Amazon EC2 per utilizzare un endpoint VPC di interfaccia. Gli endpoint di interfaccia sono basati su una tecnologia che consente di accedere alle operazioni delle API di Amazon EC2 in modo privato. AWS PrivateLink Limita tutto il traffico di rete tra il tuo VPC e Amazon EC2 alla rete Amazon. Poiché gli endpoint sono supportati solo all'interno della stessa regione, non è possibile creare un endpoint tra un VPC e un servizio in una regione diversa. In questo modo si evitano chiamate involontarie all'API Amazon EC2 verso altre regioni.

Per ulteriori informazioni sulla creazione di endpoint VPC per Amazon EC2, consulta Amazon EC2 e interfaccia gli endpoint VPC nella Amazon EC2 User Guide.

Correzione

Per creare un endpoint di interfaccia verso Amazon EC2 dalla console Amazon VPC, consulta Creare un endpoint VPC nella Guida.AWS PrivateLink Per il nome del servizio, scegli com.amazonaws. region.ec2.

Puoi anche creare e allegare una policy per gli endpoint al tuo endpoint VPC per controllare l'accesso all'API Amazon EC2. Per istruzioni sulla creazione di una policy per gli endpoint VPC, consulta Create an endpoint policy nella Amazon EC2 User Guide.

[EC2.12] Amazon EC2 non utilizzato deve essere rimosso EIPs

Requisiti correlati: PCI DSS v3.2.1/2.4, NIST.800-53.r5 CM-8 (1)

Categoria: Protezione > Configurazione di rete protetta

Gravità: bassa

Tipo di risorsa: AWS::EC2::EIP

Regola AWS Config : eip-attached

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se gli indirizzi IP elastici (EIP) allocati a un VPC sono collegati a istanze EC2 o a interfacce di rete elastiche in uso (). ENIs

Un risultato non riuscito indica che potresti avere EC2 inutilizzato. EIPs

Questo vi aiuterà a mantenere un inventario accurato degli asset EIPs presenti nel vostro ambiente di dati dei titolari di carta (CDE).

Correzione

Per rilasciare un EIP inutilizzato, consulta Release an Elastic IP address nella Amazon EC2 User Guide.

[EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22

Requisiti correlati: CIS AWS Foundations Benchmark v1.2.0/4.1, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4, (11), (16) NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.3, NIST.800-171.r2 3.13.1, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.2.2, PCI DSS versione 4.0.1/1.3.1 NIST.800-53.r5 SC-7

Categoria: Protezione > Configurazione di rete protetta

Gravità: alta

Tipo di risorsa: AWS::EC2::SecurityGroup

Regola AWS Config : restricted-ssh

Tipo di pianificazione: modifica attivata e periodica

Parametri: nessuno

Questo controllo verifica se un gruppo di sicurezza Amazon EC2 consente l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22. Il controllo fallisce se il gruppo di sicurezza consente l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22.

I gruppi di sicurezza forniscono filtraggio stateful del traffico di rete in entrata e in uscita a risorse AWS . È opportuno che nessun gruppo di sicurezza consenta accesso di entratata illimitato alla porta 22. La rimozione di connettività senza alcuna restrizione a servizi della console remota, ad esempio SSH, riduce l'esposizione di un server ai rischi.

Correzione

Per vietare l'accesso alla porta 22, rimuovi la regola che consente tale accesso per ogni gruppo di sicurezza associato a un VPC. Per istruzioni, consulta Aggiornare le regole dei gruppi di sicurezza nella Guida per l'utente di Amazon EC2. Dopo aver selezionato un gruppo di sicurezza nella console Amazon EC2, scegli Azioni, Modifica regole in entrata. Rimuovi la regola che consente l'accesso alla porta 22.

[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389

Requisiti correlati: CIS Foundations Benchmark v1.2.0/4.2, PCI DSS v4.0.1/1.3.1 AWS

Categoria: Protezione > Configurazione di rete protetta

Gravità: alta

Tipo di risorsa: AWS::EC2::SecurityGroup

AWS Config regola: restricted-common-ports(la regola creata èrestricted-rdp)

Tipo di pianificazione: modifica attivata e periodica

Parametri: nessuno

Questo controllo verifica se un gruppo di sicurezza Amazon EC2 consente l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389. Il controllo fallisce se il gruppo di sicurezza consente l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389.

I gruppi di sicurezza forniscono filtraggio stateful del traffico di rete in entrata e in uscita a risorse AWS . È opportuno che nessun gruppo di sicurezza consenta accesso di entrata illimitato alla porta 3389. La rimozione di connettività senza alcuna restrizione a servizi della console remota, ad esempio RDP, riduce l'esposizione di un server ai rischi.

Correzione

Per vietare l'accesso alla porta 3389, rimuovi la regola che consente tale accesso per ogni gruppo di sicurezza associato a un VPC. Per istruzioni, consulta Aggiornare le regole dei gruppi di sicurezza nella Amazon VPC User Guide. Dopo aver selezionato un gruppo di sicurezza nella console Amazon VPC, scegli Azioni, Modifica regole in entrata. Rimuovi la regola che consente l'accesso alla porta 3389.

[EC2.15] Le sottoreti Amazon EC2 non devono assegnare automaticamente indirizzi IP pubblici

Requisiti correlati: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), PCI DSS NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 v4.0.1/1.4.4

Categoria: Proteggi > Sicurezza di rete

Gravità: media

Tipo di risorsa: AWS::EC2::Subnet

Regola AWS Config : subnet-auto-assign-public-ip-disabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se una sottorete Amazon Virtual Private Cloud (Amazon VPC) è configurata per l'assegnazione automatica di indirizzi IP pubblici. Il controllo fallisce se la sottorete è configurata per l'assegnazione automatica di indirizzi pubblici o. IPv4 IPv6

Le sottoreti dispongono di attributi che determinano se le interfacce di rete ricevono automaticamente indirizzi e indirizzi pubblici. IPv4 IPv6 Infatti IPv4, questo attributo è impostato su TRUE per le sottoreti predefinite e FALSE per le sottoreti non predefinite (ad eccezione delle sottoreti non predefinite create tramite la procedura guidata di avvio dell'istanza EC2, dove è impostato su). TRUE Per impostazione predefinita IPv6, questo attributo è impostato su per tutte le sottoreti. FALSE Quando questi attributi sono abilitati, le istanze avviate nella sottorete ricevono automaticamente gli indirizzi IP (IPv4 o IPv6) corrispondenti sulla loro interfaccia di rete principale.

Correzione

Per configurare una sottorete in modo che non assegni indirizzi IP pubblici, consulta Modificare gli attributi di indirizzo IP della sottorete nella Amazon VPC User Guide.

[EC2.16] Le liste di controllo degli accessi alla rete non utilizzate devono essere rimosse

Requisiti correlati: NIST.800-53.r5 CM-8 (1), NIST.800-171.r2 3.4.7, PCI DSS v4.0.1/1.2.7

Categoria: Protezione > Sicurezza di rete

Gravità: bassa

Tipo di risorsa: AWS::EC2::NetworkAcl

Regola AWS Config : vpc-network-acl-unused-check

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se ci sono elenchi di controllo degli accessi alla rete (rete ACLs) non utilizzati nel tuo cloud privato virtuale (VPC). Il controllo fallisce se l'ACL di rete non è associato a una sottorete. Il controllo non genera risultati per un ACL di rete predefinito non utilizzato.

Il controllo verifica la configurazione degli elementi della risorsa AWS::EC2::NetworkAcl e determina le relazioni dell'ACL di rete.

Se l'unica relazione è il VPC dell'ACL di rete, il controllo fallisce.

Se sono elencate altre relazioni, il controllo passa.

Correzione

Per istruzioni sull'eliminazione di un ACL di rete non utilizzato, consulta Eliminazione di un ACL di rete nella Amazon VPC User Guide. Non puoi eliminare l'ACL di rete predefinito o un ACL associato alle sottoreti.

[EC2.17] Le istanze Amazon EC2 non devono utilizzare più istanze ENIs

Requisiti correlati: (21) NIST.800-53.r5 AC-4

Categoria: Proteggi > Sicurezza di rete

Gravità: bassa

Tipo di risorsa: AWS::EC2::Instance

Regola AWS Config : ec2-instance-multiple-eni-check

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un'istanza EC2 utilizza più Elastic Network Interface (ENI) o Elastic Fabric Adapters (EFA). Questo controllo passa se viene utilizzata una singola scheda di rete. Il controllo include un elenco di parametri opzionale per identificare gli ENI consentiti. Questo controllo fallisce anche se un'istanza EC2 appartenente a un cluster Amazon EKS utilizza più di un ENI. Se le tue istanze EC2 devono avere più istanze ENIs come parte di un cluster Amazon EKS, puoi eliminare tali risultati di controllo.

Più istanze ENIs possono causare istanze dual-homed, ossia istanze con più sottoreti. Ciò può aumentare la complessità della sicurezza della rete e introdurre percorsi e accessi di rete indesiderati.

Correzione

Per scollegare un'interfaccia di rete da un'istanza EC2, consulta Scollegare un'interfaccia di rete da un'istanza nella Amazon EC2 User Guide.

[EC2.18] I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate

Requisiti correlati: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (11), (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.3, NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.20, NIST.800-171.r2 3.13.1

Categoria: Protezione > Configurazione di rete sicura > Configurazione del gruppo di sicurezza

Gravità: alta

Tipo di risorsa: AWS::EC2::SecurityGroup

Regola AWS Config : vpc-sg-open-only-to-authorized-ports

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Description	Tipo	Valori personalizzati consentiti	Valore predefinito CSPM di Security Hub
`authorizedTcpPorts`	Elenco delle porte TCP autorizzate	IntegerList (minimo 1 elemento e massimo 32 elementi)	`1` Da a `65535`	`[80,443]`
`authorizedUdpPorts`	Elenco delle porte UDP autorizzate	IntegerList (minimo 1 articolo e massimo 32 articoli)	`1` Da a `65535`	Nessun valore predefinito

Questo controllo verifica se un gruppo di sicurezza Amazon EC2 consente il traffico in entrata senza restrizioni da porte non autorizzate. Lo stato del controllo è determinato come segue:

Se si utilizza il valore predefinito perauthorizedTcpPorts, il controllo ha esito negativo se il gruppo di sicurezza consente il traffico in entrata senza restrizioni da qualsiasi porta diversa dalle porte 80 e 443.
Se fornisci valori personalizzati per authorizedTcpPorts oauthorizedUdpPorts, il controllo ha esito negativo se il gruppo di sicurezza consente il traffico in entrata senza restrizioni da qualsiasi porta non elencata.

I gruppi di sicurezza forniscono un filtraggio statico del traffico di rete in ingresso e in uscita verso. AWS Le regole dei gruppi di sicurezza devono seguire il principio dell'accesso con privilegi minimi. L'accesso illimitato (indirizzo IP con suffisso /0) aumenta la possibilità di attività dannose come pirateria informatica, denial-of-service attacchi e perdita di dati. A meno che una porta non sia espressamente consentita, la porta dovrebbe negare l'accesso illimitato.

Correzione

Per modificare un gruppo di sicurezza, consulta Work with security groups nella Amazon VPC User Guide.

[EC2.19] I gruppi di sicurezza non devono consentire l'accesso illimitato alle porte ad alto rischio

Requisiti correlati: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (1), NIST.800-53.r5 CA-9 (11), (16) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.3, NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.20, NIST.800-171.r2 3.13.1

Categoria: Proteggi > Accesso limitato alla rete

Severità: critica

Tipo di risorsa: AWS::EC2::SecurityGroup

AWS Config regola: restricted-common-ports(la regola creata èvpc-sg-restricted-common-ports)

Tipo di pianificazione: modifica attivata e periodica

Parametri: "blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300" (non personalizzabile)

Questo controllo verifica se il traffico in entrata senza restrizioni per un gruppo di sicurezza Amazon EC2 è accessibile alle porte specificate considerate ad alto rischio. Questo controllo ha esito negativo se una delle regole di un gruppo di sicurezza consente il traffico in ingresso da '0.0.0.0/0' o ': :/0' verso tali porte.

I gruppi di sicurezza forniscono filtraggio stateful del traffico di rete in entrata e in uscita a risorse AWS . L'accesso senza restrizioni (0.0.0.0/0) aumenta le opportunità di attività dannose, come pirateria informatica, attacchi e perdita di dati. denial-of-service Nessun gruppo di sicurezza dovrebbe consentire l'accesso illimitato in ingresso alle seguenti porte:

20, 21 (FTP)
22 (SSH)
23 (Telnet)
25 (SMTP)
10 () POP3
135 (RPC)
143 (IMAP)
445 (CIF)
1433, 1434 (SQL)
3000 (framework di sviluppo web Go, Node.js e Ruby)
3306 (MySQL)
3389 (RDP)
4333 (ahsp)
5000 (framework di sviluppo web in Python)
5432 (postgresql)
5500 (1) fcp-addr-srvr
5601 (Cruscotti) OpenSearch
8080 (proxy)
8088 (porta HTTP precedente)
8888 (porta HTTP alternativa)
9200 o 9300 () OpenSearch

Correzione

Per eliminare le regole da un gruppo di sicurezza, consulta Eliminare le regole da un gruppo di sicurezza nella Guida per l'utente di Amazon EC2.

[EC2.20] Entrambi i tunnel VPN per una connessione AWS Site-to-Site VPN devono essere attivi

Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5), NIST.800-171.r2 3.1.13, NIST.800-171.r2 3.1.20

Categoria: Recupero > Resilienza > Alta disponibilità

Gravità: media

Tipo di risorsa: AWS::EC2::VPNConnection

Regola AWS Config : vpc-vpn-2-tunnels-up

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Un tunnel VPN è un collegamento crittografato in cui i dati possono passare dalla rete del cliente a o dall' AWS interno di una connessione AWS Site-to-Site VPN. Ogni connessione VPN include due tunnel VPN che è possibile utilizzare contemporaneamente per una disponibilità elevata. Garantire che entrambi i tunnel VPN siano attivi per una connessione VPN è importante per confermare una connessione sicura e ad alta disponibilità tra un AWS VPC e la rete remota.

Questo controllo verifica che entrambi i tunnel VPN forniti dalla AWS Site-to-Site VPN abbiano lo stato UP. Il controllo fallisce se uno o entrambi i tunnel sono in stato INATTIVO.

Correzione

Per modificare le opzioni del tunnel VPN, consulta Modificare le opzioni del tunnel Site-to-Site VPN nella Guida per l'utente AWS Site-to-Site VPN.

[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389

Requisiti correlati: benchmark CIS AWS Foundations versione 5.0.0/5.2, benchmark CIS AWS Foundations versione 1.4.0/5.1, benchmark CIS AWS Foundations versione 3.0.0/5.1, (21), (21), NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 CA-9 NIST.800-171.r2 3.1.3, NIST.800-171.r2 3.13.1, PCI DSS 4,0,1/1,31 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoria: Protezione > Configurazione di rete sicura

Gravità: media

Tipo di risorsa: AWS::EC2::NetworkAcl

Regola AWS Config : nacl-no-unrestricted-ssh-rdp

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se una lista di controllo degli accessi alla rete (Network ACL) consente l'accesso illimitato alle porte TCP predefinite per il traffico in ingresso. SSH/RDP Il controllo fallisce se la voce ACL di rete in ingresso consente un blocco CIDR di origine di '0.0.0.0/0' o ': :/0' per le porte TCP 22 o 3389. Il controllo non genera risultati per un ACL di rete predefinito.

L'accesso alle porte di amministrazione del server remoto, come la porta 22 (SSH) e la porta 3389 (RDP), non dovrebbe essere accessibile al pubblico, in quanto ciò potrebbe consentire l'accesso non intenzionale alle risorse all'interno del tuo VPC.

Correzione

Per modificare le regole del traffico ACL di rete, consulta Work with network ACLs nella Amazon VPC User Guide.

[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi

Categoria: Identificazione > Inventario

Gravità: media

Tipo di risorsa:, AWS::EC2::NetworkInterface AWS::EC2::SecurityGroup

Regola AWS Config : ec2-security-group-attached-to-eni-periodic

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se i gruppi di sicurezza sono collegati a istanze Amazon Elastic Compute Cloud (Amazon EC2) o a un'interfaccia di rete elastica. Il controllo fallisce se il gruppo di sicurezza non è associato a un'istanza Amazon EC2 o a un'interfaccia di rete elastica.

Importante

Il 20 settembre 2023, Security Hub CSPM ha rimosso questo controllo dagli standard AWS Foundational Security Best Practices e NIST SP 800-53 Revision 5. Questo controllo continua a far parte dello standard di gestione dei servizi. AWS Control Tower Questo controllo produce un risultato positivo se i gruppi di sicurezza sono collegati a istanze EC2 o a un'interfaccia di rete elastica. Tuttavia, in alcuni casi d'uso, i gruppi di sicurezza non collegati non rappresentano un rischio per la sicurezza. Puoi utilizzare altri controlli EC2, come EC2.2, EC2.13, EC2.14, EC2.18 ed EC2.19, per monitorare i tuoi gruppi di sicurezza.

Correzione

Per creare, assegnare ed eliminare gruppi di sicurezza, consulta la sezione Gruppi di sicurezza per le istanze EC2 nella Amazon EC2 User Guide.

[EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC

Requisiti correlati: NIST.800-53.r5 AC-4 (21), (1), NIST.800-53.r5 NIST.800-53.r5 CA-9 CM-2

Categoria: Protezione > Configurazione di rete protetta

Gravità: alta

Tipo di risorsa: AWS::EC2::TransitGateway

Regola AWS Config : ec2-transit-gateway-auto-vpc-attach-disabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se i gateway di transito EC2 accettano automaticamente allegati VPC condivisi. Questo controllo non riesce per un gateway di transito che accetta automaticamente richieste di allegati VPC condivise.

L'attivazione AutoAcceptSharedAttachments configura un gateway di transito per accettare automaticamente qualsiasi richiesta di allegati VPC tra account senza verificare la richiesta o l'account da cui proviene l'allegato. Per seguire le migliori pratiche di autorizzazione e autenticazione, consigliamo di disattivare questa funzionalità per garantire che vengano accettate solo le richieste di allegati VPC autorizzate.

Correzione

Per modificare un gateway di transito, consulta Modificare un gateway di transito nella Amazon VPC Developer Guide.

[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati

Requisiti correlati: NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)

Categoria: Identificazione > Gestione di vulnerabilità, patch e versioni

Gravità: media

Tipo di risorsa: AWS::EC2::Instance

Regola AWS Config : ec2-paravirtual-instance-check

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se il tipo di virtualizzazione di un'istanza EC2 è paravirtuale. Il controllo fallisce se l'istanza EC2 è virtualizationType impostata su. paravirtual

Linux Amazon Machine Images (AMIs) utilizza uno dei due tipi di virtualizzazione: paravirtuale (PV) o macchina virtuale hardware (HVM). Le principali differenze tra PV e HVM AMIs sono il modo in cui si avviano e se possono sfruttare estensioni hardware speciali (CPU, rete e storage) per prestazioni migliori.

Storicamente, gli ospiti PV avevano prestazioni migliori rispetto agli ospiti HVM in molti casi, ma a causa dei miglioramenti nella virtualizzazione HVM e della disponibilità di driver FV per HVM, questo non è più vero. AMIs Per ulteriori informazioni, consulta i tipi di virtualizzazione delle AMI Linux nella Guida per l'utente di Amazon EC2.

Correzione

Per aggiornare un'istanza EC2 a un nuovo tipo di istanza, consulta Cambia il tipo di istanza nella Amazon EC2 User Guide.

[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche

Requisiti correlati: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI NIST.800-53.r5 SC-7 DSS v4.0.1/1.4.4

Categoria: Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico

Gravità: alta

Tipo di risorsa: AWS::EC2::LaunchTemplate

Regola AWS Config : ec2-launch-template-public-ip-disabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se i modelli di lancio di Amazon EC2 sono configurati per assegnare indirizzi IP pubblici alle interfacce di rete al momento dell'avvio. Il controllo fallisce se un modello di avvio EC2 è configurato per assegnare un indirizzo IP pubblico alle interfacce di rete o se esiste almeno un'interfaccia di rete con un indirizzo IP pubblico.

Un indirizzo IP pubblico è raggiungibile da Internet. Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete potrebbero essere raggiungibili da Internet. Le risorse EC2 non dovrebbero essere accessibili al pubblico perché ciò potrebbe consentire l'accesso involontario ai tuoi carichi di lavoro.

Correzione

Per aggiornare un modello di lancio EC2, consulta Modifica delle impostazioni dell'interfaccia di rete predefinita nella Amazon EC2 Auto Scaling User Guide.

[EC2.28] I volumi EBS devono essere coperti da un piano di backup

Categoria: Recover > Resilience > Backup abilitati

Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)

Gravità: bassa

Tipo di risorsa: AWS::EC2::Volume

AWS Config regola: ebs-resources-protected-by-backup-plan

Tipo di pianificazione: periodica

Parametri:

Parametro	Description	Tipo	Valori personalizzati consentiti	Valore predefinito CSPM di Security Hub
`backupVaultLockCheck`	Il controllo restituisce un `PASSED` risultato se il parametro è impostato su `true` e la risorsa utilizza AWS Backup Vault Lock.	Booleano	`true` o `false`	Nessun valore predefinito

Questo controllo valuta se un volume Amazon EBS in in-use stato è coperto da un piano di backup. Il controllo fallisce se un volume EBS non è coperto da un piano di backup. Se si imposta il backupVaultLockCheck parametro uguale atrue, il controllo passa solo se viene eseguito il backup del volume EBS in un vault AWS Backup bloccato.

I backup consentono di ripristinare più rapidamente un incidente di sicurezza. Inoltre, rafforzano la resilienza dei sistemi. L'inclusione dei volumi Amazon EBS in un piano di backup aiuta a proteggere i dati da perdite o eliminazioni involontarie.

Correzione

Per aggiungere un volume Amazon EBS a un piano di AWS Backup backup, consulta Assegnazione di risorse a un piano di backup nella AWS Backup Developer Guide.

[EC2.33] Gli allegati del gateway di transito EC2 devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::TransitGatewayAttachment

AWS Config regola: tagged-ec2-transitgatewayattachment (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Description	Tipo	Valori personalizzati consentiti	Valore predefinito CSPM di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole	StringList (massimo 6 articoli)	1—6 tasti tag che soddisfano i requisiti AWS .	Nessun valore predefinito

Questo controllo verifica se un allegato del gateway di transito Amazon EC2 ha tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo ha esito negativo se l'allegato Transit Gateway non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave tag e fallisce se l'allegato del gateway di transito non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Nota

Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS

Correzione

Per aggiungere tag a un allegato del gateway di transito EC2, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere contrassegnate

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::TransitGatewayRouteTable

AWS Config regola: tagged-ec2-transitgatewayroutetable (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Description	Tipo	Valori personalizzati consentiti	Valore predefinito CSPM di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole	StringList (massimo 6 articoli)	1—6 tasti tag che soddisfano i requisiti AWS .	Nessun valore predefinito

Questo controllo verifica se una tabella di routing del gateway di transito Amazon EC2 contiene tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo ha esito negativo se la tabella delle rotte del gateway di transito non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la tabella di route del gateway di transito non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a una tabella di routing del gateway di transito EC2, consulta Etichettare le risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.35] Le interfacce di rete EC2 devono essere etichettate

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::NetworkInterface

AWS Config regola: tagged-ec2-networkinterface (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Description	Tipo	Valori personalizzati consentiti	Valore predefinito CSPM di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole	StringList (massimo 6 articoli)	1—6 tasti tag che soddisfano i requisiti AWS .	Nessun valore predefinito

Questo controllo verifica se un'interfaccia di rete Amazon EC2 dispone di tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se l'interfaccia di rete non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'interfaccia di rete non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un'interfaccia di rete EC2, consulta Etichettare le risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.36] I gateway per i clienti EC2 devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::CustomerGateway

AWS Config regola: tagged-ec2-customergateway (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Description	Tipo	Valori personalizzati consentiti	Valore predefinito CSPM di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole	StringList (massimo 6 articoli)	1—6 tasti tag che soddisfano i requisiti AWS .	Nessun valore predefinito

Questo controllo verifica se un gateway per clienti Amazon EC2 dispone di tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se il gateway del cliente non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gateway del cliente non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un gateway clienti EC2, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.37] Gli indirizzi IP elastici EC2 devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::EIP

AWS Config regola: tagged-ec2-eip (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Description	Tipo	Valori personalizzati consentiti	Valore predefinito CSPM di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole	StringList (massimo 6 articoli)	1—6 tasti tag che soddisfano i requisiti AWS .	Nessun valore predefinito

Questo controllo verifica se un indirizzo IP elastico di Amazon EC2 ha tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se l'indirizzo IP elastico non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'indirizzo IP elastico non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un indirizzo IP elastico EC2, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.38] Le istanze EC2 devono essere etichettate

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::Instance

AWS Config regola: tagged-ec2-instance (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Description	Tipo	Valori personalizzati consentiti	Valore predefinito CSPM di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole	StringList (massimo 6 articoli)	1—6 tasti tag che soddisfano i requisiti AWS .	Nessun valore predefinito

Questo controllo verifica se un'istanza Amazon EC2 ha tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se l'istanza non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'istanza non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un'istanza EC2, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.39] I gateway Internet EC2 devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::InternetGateway

AWS Config regola: tagged-ec2-internetgateway (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Description	Tipo	Valori personalizzati consentiti	Valore predefinito CSPM di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole	StringList (massimo 6 articoli)	1—6 tasti tag che soddisfano i requisiti AWS .	Nessun valore predefinito

Questo controllo verifica se un gateway Internet Amazon EC2 dispone di tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se il gateway Internet non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave tag e fallisce se il gateway Internet non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un gateway Internet EC2, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.40] I gateway NAT EC2 devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::NatGateway

AWS Config regola: tagged-ec2-natgateway (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Description	Tipo	Valori personalizzati consentiti	Valore predefinito CSPM di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole	StringList (massimo 6 articoli)	1—6 tasti tag che soddisfano i requisiti AWS .	Nessun valore predefinito

Questo controllo verifica se un gateway NAT (Network Address Translation) di Amazon EC2 ha tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se il gateway NAT non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gateway NAT non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un gateway NAT EC2, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.41] La rete EC2 deve essere etichettata ACLs

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::NetworkAcl

AWS Config regola: tagged-ec2-networkacl (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Description	Tipo	Valori personalizzati consentiti	Valore predefinito CSPM di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole	StringList (massimo 6 articoli)	1—6 tasti tag che soddisfano i requisiti AWS .	Nessun valore predefinito

Questo controllo verifica se una lista di controllo degli accessi alla rete di Amazon EC2 (Network ACL) contiene tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se l'ACL di rete non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'ACL di rete non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un ACL di rete EC2, consulta Etichettare le risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.42] Le tabelle di routing EC2 devono essere etichettate

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::RouteTable

AWS Config regola: tagged-ec2-routetable (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Description	Tipo	Valori personalizzati consentiti	Valore predefinito CSPM di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole	StringList (massimo 6 articoli)	1—6 tasti tag che soddisfano i requisiti AWS .	Nessun valore predefinito

Questo controllo verifica se una tabella di routing di Amazon EC2 contiene tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se la tabella di routing non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la tabella delle rotte non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a una tabella di routing EC2, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.43] I gruppi di sicurezza EC2 devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::SecurityGroup

AWS Config regola: tagged-ec2-securitygroup (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Description	Tipo	Valori personalizzati consentiti	Valore predefinito CSPM di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole	StringList (massimo 6 articoli)	1—6 tasti tag che soddisfano i requisiti AWS .	Nessun valore predefinito

Questo controllo verifica se un gruppo di sicurezza Amazon EC2 dispone di tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se il gruppo di sicurezza non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gruppo di sicurezza non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un gruppo di sicurezza EC2, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.44] Le sottoreti EC2 devono essere etichettate

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::Subnet

AWS Config regola: tagged-ec2-subnet (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Description	Tipo	Valori personalizzati consentiti	Valore predefinito CSPM di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole	StringList (massimo 6 articoli)	1—6 tasti tag che soddisfano i requisiti AWS .	Nessun valore predefinito

Questo controllo verifica se una sottorete Amazon EC2 dispone di tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se la sottorete non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la sottorete non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a una sottorete EC2, consulta Tagga le risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.45] I volumi EC2 devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::Volume

AWS Config regola: tagged-ec2-volume (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Description	Tipo	Valori personalizzati consentiti	Valore predefinito CSPM di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole	StringList (massimo 6 articoli)	1—6 tasti tag che soddisfano i requisiti AWS .	Nessun valore predefinito

Questo controllo verifica se un volume Amazon EC2 ha tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se il volume non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il volume non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un volume EC2, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.46] Amazon VPCs dovrebbe essere taggato

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::VPC

AWS Config regola: tagged-ec2-vpc (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Description	Tipo	Valori personalizzati consentiti	Valore predefinito CSPM di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole	StringList (massimo 6 articoli)	1—6 tasti tag che soddisfano i requisiti AWS .	Nessun valore predefinito

Questo controllo verifica se un Amazon Virtual Private Cloud (Amazon VPC) ha tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se Amazon VPC non dispone di chiavi di tag o se non dispone di tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se Amazon VPC non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un VPC, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.47] I servizi endpoint Amazon VPC devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::VPCEndpointService

AWS Config regola: tagged-ec2-vpcendpointservice (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Description	Tipo	Valori personalizzati consentiti	Valore predefinito CSPM di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole	StringList (massimo 6 articoli)	1—6 tasti tag che soddisfano i requisiti AWS .	Nessun valore predefinito

Questo controllo verifica se un servizio endpoint Amazon VPC dispone di tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se il servizio endpoint non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il servizio endpoint non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un servizio endpoint Amazon VPC, consulta Manage Tags nella sezione Configura un servizio endpoint della Guida.AWS PrivateLink

[EC2.48] I log di flusso di Amazon VPC devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::FlowLog

AWS Config regola: tagged-ec2-flowlog (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Description	Tipo	Valori personalizzati consentiti	Valore predefinito CSPM di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole	StringList (massimo 6 articoli)	1—6 tasti tag che soddisfano i requisiti AWS .	Nessun valore predefinito

Questo controllo verifica se un log di flusso Amazon VPC contiene tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se il log di flusso non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il log di flusso non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un log di flusso di Amazon VPC, consulta Etichettare un log di flusso nella Amazon VPC User Guide.

[EC2.49] Le connessioni peering Amazon VPC devono essere etichettate

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::VPCPeeringConnection

AWS Config regola: tagged-ec2-vpcpeeringconnection (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Description	Tipo	Valori personalizzati consentiti	Valore predefinito CSPM di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole	StringList (massimo 6 articoli)	1—6 tasti tag che soddisfano i requisiti AWS .	Nessun valore predefinito

Questo controllo verifica se una connessione peering Amazon VPC ha tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se la connessione peering non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la connessione peering non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a una connessione peering Amazon VPC, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.50] I gateway VPN EC2 devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::VPNGateway

AWS Config regola: tagged-ec2-vpngateway (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Description	Tipo	Valori personalizzati consentiti	Valore predefinito CSPM di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole	StringList (massimo 6 articoli)	1—6 tasti tag che soddisfano i requisiti AWS .	Nessun valore predefinito

Questo controllo verifica se un gateway VPN Amazon EC2 dispone di tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se il gateway VPN non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave tag e fallisce se il gateway VPN non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un gateway VPN EC2, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata

Requisiti correlati: NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 SI-3 NIST.800-53.r5 AC-6 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), NIST.800-171.r2 3.1.12, NIST.800-171.12, NIST.800-171.12, NIST.800-171.12, NIST.800-171.12 r2 3.1.20, PCI DSS versione 4.0.1/10.2.1

Categoria: Identificazione > Registrazione

Gravità: bassa

Tipo di risorsa: AWS::EC2::ClientVpnEndpoint

AWS Config regola: ec2-client-vpn-connection-log-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un AWS Client VPN endpoint ha abilitato la registrazione delle connessioni client. Il controllo fallisce se sull'endpoint non è abilitata la registrazione delle connessioni client.

Gli endpoint Client VPN consentono ai client remoti di connettersi in modo sicuro alle risorse in un Virtual Private Cloud (VPC) in. AWS I log di connessione consentono di tracciare l'attività degli utenti sull'endpoint VPN e forniscono visibilità. Quando attivi la registrazione delle connessioni, puoi specificare il nome di un flusso di log nel gruppo di log. Se non specifichi un flusso di log, il servizio Client VPN ne crea uno per te.

Correzione

Per abilitare la registrazione delle connessioni, consulta Abilitare la registrazione della connessione per un endpoint Client VPN esistente nella Guida per l'AWS Client VPN amministratore.

[EC2.52] I gateway di transito EC2 devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::TransitGateway

AWS Config regola: tagged-ec2-transitgateway (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Description	Tipo	Valori personalizzati consentiti	Valore predefinito CSPM di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole	StringList (massimo 6 articoli)	1—6 tasti tag che soddisfano i requisiti AWS .	`No default value`

Questo controllo verifica se un gateway di transito Amazon EC2 dispone di tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se il gateway di transito non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gateway di transito non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un gateway di transito EC2, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.53] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da 0.0.0.0/0 alle porte di amministrazione remota del server

Requisiti correlati: CIS Foundations Benchmark v5.0.0/5.3, CIS AWS Foundations Benchmark v3.0.0/5.2, PCI DSS v4.0.1/1.3.1 AWS

Categoria: Protezione > Configurazione di rete sicura > Configurazione del gruppo di sicurezza

Gravità: alta

Tipo di risorsa: AWS::EC2::SecurityGroup

Regola AWS Config : vpc-sg-port-restriction-check

Tipo di pianificazione: periodica

Parametri:

Parametro	Description	Tipo	Valori personalizzati consentiti	Valore predefinito CSPM di Security Hub
`ipType`	La versione IP	Stringa	Non personalizzabile	`IPv4`
`restrictPorts`	Elenco di porte che dovrebbero rifiutare il traffico in ingresso	IntegerList	Non personalizzabile	`22,3389`

Questo controllo verifica se un gruppo di sicurezza Amazon EC2 consente l'ingresso da 0.0.0.0/0 alle porte di amministrazione remota del server (porte 22 e 3389). Il controllo fallisce se il gruppo di sicurezza consente l'ingresso da 0.0.0.0/0 alla porta 22 o 3389.

I gruppi di sicurezza forniscono filtraggio stateful del traffico di rete in entrata e in uscita a risorse AWS . È consigliabile che nessun gruppo di sicurezza consenta l'accesso illimitato in ingresso alle porte di amministrazione remota del server, come SSH alla porta 22 e RDP alla porta 3389, utilizzando i protocolli TDP (6), UDP (17) o ALL (-1). Consentire l'accesso pubblico a queste porte aumenta la superficie di attacco delle risorse e il rischio di compromissione delle risorse.

Correzione

Per aggiornare una regola del gruppo di sicurezza EC2 per vietare il traffico in ingresso verso le porte specificate, consulta Update security group rules nella Amazon EC2 User Guide. Dopo aver selezionato un gruppo di sicurezza nella console Amazon EC2, scegli Azioni, Modifica regole in entrata. Rimuovi la regola che consente l'accesso alla porta 22 o alla porta 3389.

[EC2.54] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server

Requisiti correlati: CIS Foundations Benchmark v5.0.0/5.4, CIS AWS Foundations Benchmark v3.0.0/5.3, PCI DSS v4.0.1/1.3.1 AWS

Categoria: Protezione > Configurazione di rete sicura > Configurazione del gruppo di sicurezza

Gravità: alta

Tipo di risorsa: AWS::EC2::SecurityGroup

Regola AWS Config : vpc-sg-port-restriction-check

Tipo di pianificazione: periodica

Parametri:

Parametro	Description	Tipo	Valori personalizzati consentiti	Valore predefinito CSPM di Security Hub
`ipType`	La versione IP	Stringa	Non personalizzabile	`IPv6`
`restrictPorts`	Elenco di porte che dovrebbero rifiutare il traffico in ingresso	IntegerList	Non personalizzabile	`22,3389`

Questo controllo verifica se un gruppo di sicurezza Amazon EC2 consente l'accesso da: :/0 alle porte di amministrazione del server remoto (porte 22 e 3389). Il controllo fallisce se il gruppo di sicurezza consente l'ingresso da: :/0 alla porta 22 o 3389.

Correzione

[EC2.55] VPCs deve essere configurato con un endpoint di interfaccia per l'API ECR

Categoria: Protezione > Gestione sicura degli accessi > Controllo degli accessi

Gravità: media

Tipo di risorsa:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

Regola AWS Config : vpc-endpoint-enabled

Tipo di pianificazione: periodica

Parametri:

Parametro	Obbligatorio	Description	Tipo	Valori personalizzati consentiti	Valore predefinito CSPM di Security Hub
`serviceNames`	Richiesto	Il nome del servizio valutato dal controllo	Stringa	Non personalizzabile	`ecr.api`
`vpcIds`	Facoltativo	Elenco separato da virgole di Amazon VPC per endpoint VPC. IDs Se fornito, il controllo fallisce se i servizi specificati nel `serviceName` parametro non dispongono di uno di questi endpoint VPC.	StringList	Personalizza con uno o più VPC IDs	Nessun valore predefinito

Questo controllo verifica se un cloud privato virtuale (VPC) che gestisci ha un endpoint VPC di interfaccia per l'API Amazon ECR. Il controllo fallisce se il VPC non dispone di un endpoint VPC di interfaccia per l'API ECR. Questo controllo valuta le risorse in un singolo account.

AWS PrivateLink consente ai clienti di accedere ai servizi ospitati AWS in modo altamente disponibile e scalabile, mantenendo tutto il traffico di rete all'interno della AWS rete. Gli utenti del servizio possono accedere in modo privato ai servizi forniti PrivateLink dal proprio VPC o dall'ambiente locale, senza utilizzare il servizio IPs pubblico e senza richiedere che il traffico attraversi su Internet.

Correzione

Per configurare un endpoint VPC, consulta Accedere e Servizio AWS utilizzare un endpoint VPC di interfaccia nella Guida.AWS PrivateLink

[EC2.56] VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry

Categoria: Protezione > Gestione sicura degli accessi > Controllo degli accessi

Gravità: media

Tipo di risorsa:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

Regola AWS Config : vpc-endpoint-enabled

Tipo di pianificazione: periodica

Parametri:

Parametro	Obbligatorio	Description	Tipo	Valori personalizzati consentiti	Valore predefinito CSPM di Security Hub
`serviceNames`	Richiesto	Il nome del servizio valutato dal controllo	Stringa	Non personalizzabile	`ecr.dkr`
`vpcIds`	Facoltativo	Elenco separato da virgole di Amazon VPC per endpoint VPC. IDs Se fornito, il controllo fallisce se i servizi specificati nel `serviceName` parametro non dispongono di uno di questi endpoint VPC.	StringList	Personalizza con uno o più VPC IDs	Nessun valore predefinito

Questo controllo verifica se un cloud privato virtuale (VPC) che gestisci ha un endpoint VPC di interfaccia per Docker Registry. Il controllo fallisce se il VPC non dispone di un endpoint VPC di interfaccia per Docker Registry. Questo controllo valuta le risorse in un singolo account.

Correzione

Per configurare un endpoint VPC, consulta Accedere e Servizio AWS utilizzare un endpoint VPC di interfaccia nella Guida.AWS PrivateLink

[EC2.57] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager

Requisiti correlati: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-7

Categoria: Protezione > Gestione sicura degli accessi > Controllo degli accessi

Gravità: media

Tipo di risorsa:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

Regola AWS Config : vpc-endpoint-enabled

Tipo di pianificazione: periodica

Parametri:

Parametro	Obbligatorio	Description	Tipo	Valori personalizzati consentiti	Valore predefinito CSPM di Security Hub
`serviceNames`	Richiesto	Il nome del servizio valutato dal controllo	Stringa	Non personalizzabile	`ssm`
`vpcIds`	Facoltativo	Elenco separato da virgole di Amazon VPC per endpoint VPC. IDs Se fornito, il controllo fallisce se i servizi specificati nel `serviceName` parametro non dispongono di uno di questi endpoint VPC.	StringList	Personalizza con uno o più VPC IDs	Nessun valore predefinito

Questo controllo verifica se un cloud privato virtuale (VPC) che gestisci dispone di un'interfaccia per un endpoint VPC. AWS Systems Manager Il controllo fallisce se il VPC non dispone di un endpoint VPC di interfaccia per Systems Manager. Questo controllo valuta le risorse in un singolo account.

Correzione

Per configurare un endpoint VPC, consulta Accedere e Servizio AWS utilizzare un endpoint VPC di interfaccia nella Guida.AWS PrivateLink

[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts

Requisiti correlati: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-7

Categoria: Protezione > Gestione sicura degli accessi > Controllo degli accessi

Gravità: media

Tipo di risorsa:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

Regola AWS Config : vpc-endpoint-enabled

Tipo di pianificazione: periodica

Parametri:

Parametro	Obbligatorio	Description	Tipo	Valori personalizzati consentiti	Valore predefinito CSPM di Security Hub
`serviceNames`	Richiesto	Il nome del servizio valutato dal controllo	Stringa	Non personalizzabile	`ssm-contacts`
`vpcIds`	Facoltativo	Elenco separato da virgole di Amazon VPC per endpoint VPC. IDs Se fornito, il controllo fallisce se i servizi specificati nel `serviceName` parametro non dispongono di uno di questi endpoint VPC.	StringList	Personalizza con uno o più VPC IDs	Nessun valore predefinito

Questo controllo verifica se un cloud privato virtuale (VPC) che gestisci dispone di un endpoint VPC di interfaccia per Incident Manager Contacts. AWS Systems Manager Il controllo fallisce se il VPC non dispone di un endpoint VPC di interfaccia per Systems Manager Incident Manager Contacts. Questo controllo valuta le risorse in un singolo account.

Correzione

Per configurare un endpoint VPC, consulta Accedere e Servizio AWS utilizzare un endpoint VPC di interfaccia nella Guida.AWS PrivateLink

[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager

Categoria: Protezione > Gestione sicura degli accessi > Controllo degli accessi

Gravità: media

Tipo di risorsa:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

Regola AWS Config : vpc-endpoint-enabled

Tipo di pianificazione: periodica

Parametri:

Parametro	Obbligatorio	Description	Tipo	Valori personalizzati consentiti	Valore predefinito CSPM di Security Hub
`serviceNames`	Richiesto	Il nome del servizio valutato dal controllo	Stringa	Non personalizzabile	`ssm-incidents`
`vpcIds`	Facoltativo	Elenco separato da virgole di Amazon VPC per endpoint VPC. IDs Se fornito, il controllo fallisce se i servizi specificati nel `serviceName` parametro non dispongono di uno di questi endpoint VPC.	StringList	Personalizza con uno o più VPC IDs	Nessun valore predefinito

Questo controllo verifica se un cloud privato virtuale (VPC) che gestisci ha un'interfaccia VPC endpoint per Incident Manager. AWS Systems Manager Il controllo fallisce se il VPC non dispone di un endpoint VPC di interfaccia per Systems Manager Incident Manager. Questo controllo valuta le risorse in un singolo account.

Correzione

Per configurare un endpoint VPC, consulta Accedere e Servizio AWS utilizzare un endpoint VPC di interfaccia nella Guida.AWS PrivateLink

[EC2.170] I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2

Requisiti correlati: PCI DSS v4.0.1/2.2.6

Categoria: Proteggi > Sicurezza di rete

Gravità: bassa

Tipo di risorsa: AWS::EC2::LaunchTemplate

Regola AWS Config : ec2-launch-template-imdsv2-check

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un modello di lancio di Amazon EC2 è configurato con Instance Metadata Service versione 2 (). IMDSv2 Il controllo fallisce se HttpTokens è impostato su. optional

L'esecuzione delle risorse sulle versioni software supportate garantisce prestazioni ottimali, sicurezza e accesso alle funzionalità più recenti. Gli aggiornamenti regolari proteggono dalle vulnerabilità, il che aiuta a garantire un'esperienza utente stabile ed efficiente.

Correzione

Per richiedere IMDSv2 su un modello di lancio EC2, consulta Configura le opzioni del servizio di metadati dell'istanza nella Amazon EC2 User Guide.

[EC2.171] Le connessioni VPN EC2 devono avere la registrazione abilitata

Requisiti correlati: CIS AWS Foundations Benchmark v3.0.0/5.3, PCI DSS v4.0.1/10.4.2

Categoria: Identificazione > Registrazione

Gravità: media

Tipo di risorsa: AWS::EC2::VPNConnection

Regola AWS Config : ec2-vpn-connection-logging-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se una connessione AWS Site-to-Site VPN ha Amazon CloudWatch Logs abilitato per entrambi i tunnel. Il controllo fallisce se una connessione Site-to-Site VPN non ha CloudWatch i log abilitati per entrambi i tunnel.

AWS Site-to-Site I log VPN ti offrono una visibilità più approfondita sulle tue Site-to-Site implementazioni VPN. Con questa funzionalità, hai accesso ai registri delle connessioni Site-to-Site VPN che forniscono dettagli sulla creazione del tunnel IP Security (IPsec), sulle negoziazioni IKE (Internet Key Exchange) e sui messaggi del protocollo Dead Peer Detection (DPD). Site-to-Site I log VPN possono essere pubblicati in CloudWatch Logs. Questa funzionalità offre ai clienti un unico modo coerente per accedere e analizzare i log dettagliati di tutte le loro Site-to-Site connessioni VPN.

Correzione

Per abilitare la registrazione del tunnel su una connessione VPN EC2, consulta i log AWS Site-to-Site VPN nella Guida per l'utente della AWS Site-to-Site VPN.

[EC2.172] Le impostazioni VPC Block Public Access di EC2 dovrebbero bloccare il traffico del gateway Internet

Categoria: Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico

Gravità: media

Tipo di risorsa: AWS::EC2::VPCBlockPublicAccessOptions

AWS Config regola: ec2-vpc-bpa-internet-gateway-blocked (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Description	Tipo	Valori personalizzati consentiti	Valore predefinito CSPM di Security Hub
`vpcBpaInternetGatewayBlockMode`	Valore stringa della modalità opzioni VPC BPA.	Enum	`block-bidirectional`, `block-ingress`	Nessun valore predefinito

Questo controllo verifica se le impostazioni di Amazon EC2 VPC Block Public Access (BPA) sono configurate per bloccare il traffico del gateway Internet per tutti gli Amazon del sistema. VPCs Account AWS Il controllo fallisce se le impostazioni VPC BPA non sono configurate per bloccare il traffico del gateway Internet. Affinché il controllo passi, il VPC BPA InternetGatewayBlockMode deve essere impostato su o. block-bidirectional block-ingress Se vpcBpaInternetGatewayBlockMode viene fornito il parametro, il controllo passa solo se il valore VPC BPA per InternetGatewayBlockMode corrisponde al parametro.

La configurazione delle impostazioni VPC BPA per il tuo account consente di impedire alle risorse e alle sottoreti di tua proprietà VPCs in quella regione di raggiungere o essere raggiunte da Internet tramite gateway Internet e gateway Internet solo in uscita. Regione AWS Se hai bisogno di sottoreti specifiche VPCs per poter raggiungere o essere raggiungibile da Internet, puoi escluderle configurando le esclusioni VPC BPA. Per istruzioni su come creare ed eliminare esclusioni, consulta Creare ed eliminare esclusioni nella Amazon VPC User Guide.

Correzione

Per abilitare il BPA bidirezionale a livello di account, consulta Abilita la modalità bidirezionale BPA per il tuo account nella Amazon VPC User Guide. Per abilitare il BPA solo in ingresso, consulta Modificare la modalità VPC BPA in solo ingresso. Per abilitare VPC BPA a livello di organizzazione, consulta Abilitare VPC BPA a livello di organizzazione.

[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati

Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest

Gravità: media

Tipo di risorsa: AWS::EC2::SpotFleet

Regola AWS Config : ec2-spot-fleet-request-ct-encryption-at-rest

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se una richiesta Amazon EC2 Spot Fleet che specifica i parametri di avvio è configurata per abilitare la crittografia per tutti i volumi Amazon Elastic Block Store (Amazon EBS) collegati alle istanze EC2. Il controllo fallisce se la richiesta Spot Fleet specifica i parametri di avvio e non abilita la crittografia per uno o più volumi EBS specificati nella richiesta.

Per un ulteriore livello di sicurezza, è necessario abilitare la crittografia per i volumi Amazon EBS. Le operazioni di crittografia vengono quindi eseguite sui server che ospitano le istanze Amazon EC2, il che aiuta a garantire la sicurezza sia dei dati inattivi che dei dati in transito tra un'istanza e lo storage EBS collegato. La crittografia Amazon EBS è una soluzione di crittografia semplice per le risorse EBS associate alle tue istanze EC2. Con la crittografia EBS, non è necessario creare, mantenere e proteggere la propria infrastruttura di gestione delle chiavi. La crittografia EBS viene utilizzata AWS KMS keys durante la creazione di volumi crittografati.

Note

Questo controllo non genera risultati per le richieste di Amazon EC2 Spot Fleet che utilizzano modelli di lancio. Inoltre, non genera risultati per le richieste Spot Fleet che non specificano esplicitamente un valore per il encrypted parametro.

Correzione

Non esiste un modo diretto per crittografare un volume Amazon EBS esistente e non crittografato. Puoi crittografare un nuovo volume solo quando lo crei.

Tuttavia, se abiliti la crittografia per impostazione predefinita, Amazon EBS crittografa i nuovi volumi utilizzando la tua chiave predefinita per la crittografia EBS. Se non abiliti la crittografia per impostazione predefinita, puoi abilitarla quando crei un singolo volume. In entrambi i casi, puoi sostituire la chiave predefinita per la crittografia EBS e scegliere una chiave gestita dal cliente. AWS KMS key Per ulteriori informazioni sulla crittografia EBS, consulta Amazon EBS encryption nella Amazon EBS User Guide.

Per informazioni sulla creazione di una richiesta Amazon EC2 Spot Fleet, consulta Create a Spot Fleet nella Amazon Elastic Compute Cloud User Guide.

[EC2.174] I set di opzioni DHCP EC2 devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::DHCPOptions

Regola AWS Config : ec2-dhcp-options-tagged

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Description	Tipo	Valori personalizzati consentiti	Valore predefinito CSPM di Security Hub
`requiredKeyTags`	Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole	StringList (massimo 6 articoli)	1—6 tasti tag che soddisfano i requisiti AWS .	Nessun valore predefinito

Questo controllo verifica se un set di opzioni DHCP di Amazon EC2 ha le chiavi dei tag specificate dal parametro. requiredKeyTags Il controllo fallisce se il set di opzioni non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal requiredKeyTags parametro. Se non specificate alcun valore per il requiredKeyTags parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'insieme di opzioni non contiene chiavi di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il aws: prefisso.

Un tag è un'etichetta che si crea e si assegna a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. Per ulteriori informazioni sulle strategie ABAC, consulta Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC nella IAM User Guide. Per ulteriori informazioni sui tag, consulta la Guida per l'utente di Tagging AWS Resources and Tag Editor.

Nota

Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.

Correzione

Per informazioni sull'aggiunta di tag a un set di opzioni DHCP di Amazon EC2, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.175] I modelli di lancio di EC2 devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::LaunchTemplate

Regola AWS Config : ec2-launch-template-tagged

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Description	Tipo	Valori personalizzati consentiti	Valore predefinito CSPM di Security Hub
`requiredKeyTags`	Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole	StringList (massimo 6 articoli)	1—6 tasti tag che soddisfano i requisiti AWS .	Nessun valore predefinito

Questo controllo verifica se un modello di lancio di Amazon EC2 ha le chiavi dei tag specificate dal requiredKeyTags parametro. Il controllo fallisce se il modello di lancio non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal requiredKeyTags parametro. Se non specificate alcun valore per il requiredKeyTags parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il modello di avvio non ha alcuna chiave di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il aws: prefisso.

Nota

Correzione

Per informazioni sull'aggiunta di tag a un modello di lancio di Amazon EC2, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.176] Gli elenchi di prefissi EC2 devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::PrefixList

Regola AWS Config : ec2-prefix-list-tagged

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Description	Tipo	Valori personalizzati consentiti	Valore predefinito CSPM di Security Hub
`requiredKeyTags`	Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole	StringList (massimo 6 articoli)	1—6 tasti tag che soddisfano i requisiti AWS .	Nessun valore predefinito

Questo controllo verifica se un elenco di prefissi Amazon EC2 contiene le chiavi dei tag specificate dal parametro. requiredKeyTags Il controllo ha esito negativo se l'elenco dei prefissi non contiene alcuna chiave di tag o non contiene tutte le chiavi specificate dal parametro. requiredKeyTags Se non specificate alcun valore per il requiredKeyTags parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'elenco dei prefissi non contiene chiavi di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il aws: prefisso.

Nota

Correzione

Per informazioni sull'aggiunta di tag a un elenco di prefissi Amazon EC2, consulta Tagga le risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::TrafficMirrorSession

Regola AWS Config : ec2-traffic-mirror-session-tagged

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Description	Tipo	Valori personalizzati consentiti	Valore predefinito CSPM di Security Hub
`requiredKeyTags`	Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole	StringList (massimo 6 articoli)	1—6 tasti tag che soddisfano i requisiti AWS .	Nessun valore predefinito

Questo controllo verifica se una sessione di Traffic Mirror di Amazon EC2 ha le chiavi dei tag specificate dal requiredKeyTags parametro. Il controllo fallisce se la sessione non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal requiredKeyTags parametro. Se non specificate alcun valore per il requiredKeyTags parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la sessione non ha alcuna chiave di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il aws: prefisso.

Nota

Correzione

Per informazioni sull'aggiunta di tag a una sessione di Traffic Mirror di Amazon EC2, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.178] I filtri Traffic Mirror EC2 devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::TrafficMirrorFilter

Regola AWS Config : ec2-traffic-mirror-filter-tagged

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Description	Tipo	Valori personalizzati consentiti	Valore predefinito CSPM di Security Hub
`requiredKeyTags`	Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole	StringList (massimo 6 articoli)	1—6 tasti tag che soddisfano i requisiti AWS .	Nessun valore predefinito

Questo controllo verifica se un filtro Traffic Mirror di Amazon EC2 ha le chiavi dei tag specificate dal requiredKeyTags parametro. Il controllo fallisce se il filtro non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal requiredKeyTags parametro. Se non specificate alcun valore per il requiredKeyTags parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il filtro non ha alcuna chiave di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il aws: prefisso.

Nota

Correzione

Per informazioni sull'aggiunta di tag a un filtro Traffic Mirror di Amazon EC2, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::TrafficMirrorTarget

Regola AWS Config : ec2-traffic-mirror-target-tagged

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Description	Tipo	Valori personalizzati consentiti	Valore predefinito CSPM di Security Hub
`requiredKeyTags`	Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole	StringList (massimo 6 articoli)	1—6 tasti tag che soddisfano i requisiti AWS .	Nessun valore predefinito

Questo controllo verifica se un target del Traffic Mirror di Amazon EC2 ha le chiavi dei tag specificate dal requiredKeyTags parametro. Il controllo fallisce se la destinazione non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal requiredKeyTags parametro. Se non specificate alcun valore per il requiredKeyTags parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la destinazione non dispone di chiavi di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il aws: prefisso.

Nota

Correzione

Per informazioni sull'aggiunta di tag a un target di traffico mirror di Amazon EC2, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.180] Il controllo delle interfacce di rete EC2 dovrebbe avere il controllo abilitato source/destination

Categoria: Proteggi > Sicurezza di rete

Gravità: media

Tipo di risorsa: AWS::EC2::NetworkInterface

Regola AWS Config : ec2-enis-source-destination-check-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se il source/destination controllo è abilitato per un'interfaccia di rete elastica (ENI) di Amazon EC2 gestita dagli utenti. Il controllo fallisce se il source/destination controllo è disabilitato per l'ENI gestito dall'utente. Questo controllo verifica solo i seguenti tipi di ENIs:aws_codestar_connections_managed,branch,efa, interfacelambda, equicksight.

Source/destination checking for Amazon EC2 instances and attached ENIs should be enabled and configured consistently across your EC2 instances. Each ENI has its own setting for source/destination checks. If source/destination checking is enabled, Amazon EC2 enforces source/destinationconvalida degli indirizzi, che garantisce che un'istanza sia l'origine o la destinazione di tutto il traffico che riceve. Ciò fornisce un ulteriore livello di sicurezza della rete impedendo alle risorse di gestire traffico involontario e prevenendo lo spoofing degli indirizzi IP.

Nota

Se utilizzi un'istanza EC2 come istanza NAT e hai disabilitato il source/destination controllo dell'ENI, puoi invece utilizzare un gateway NAT.

Correzione

Per informazioni sull'abilitazione source/destination dei controlli per un Amazon EC2 ENI, consulta Modificare gli attributi dell'interfaccia di rete nella Amazon EC2 User Guide.

[EC2.181] I modelli di lancio di EC2 devono abilitare la crittografia per i volumi EBS collegati

Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest

Gravità: media

Tipo di risorsa: AWS::EC2::LaunchTemplate

Regola AWS Config : ec2-launch-templates-ebs-volume-encrypted

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un modello di lancio di Amazon EC2 abilita la crittografia per tutti i volumi EBS collegati. Il controllo fallisce se il parametro di crittografia è impostato su qualsiasi volume EBS specificato dal modello di lancio EC2. False

La crittografia Amazon EBS è una soluzione di crittografia semplice per le risorse EBS associate alle istanze Amazon EC2. Con la crittografia EBS, non è necessario creare, mantenere e proteggere la propria infrastruttura di gestione delle chiavi. La crittografia EBS AWS KMS keys viene utilizzata durante la creazione di volumi e istantanee crittografati. Le operazioni di crittografia avvengono sui server che ospitano le istanze EC2, il che aiuta a garantire la sicurezza dei dati inattivi e dei dati in transito tra un'istanza EC2 e lo storage EBS collegato. Per ulteriori informazioni, consulta Crittografia Amazon EBS nella Guida per l'utente di Amazon EBS.

Puoi abilitare la crittografia EBS durante gli avvii manuali di singole istanze EC2. Tuttavia, ci sono diversi vantaggi nell'utilizzare i modelli di avvio EC2 e nella configurazione delle impostazioni di crittografia in tali modelli. È possibile applicare la crittografia come standard e garantire l'uso di impostazioni di crittografia coerenti. È inoltre possibile ridurre il rischio di errori e lacune di sicurezza che potrebbero verificarsi con l'avvio manuale delle istanze.

Nota

Quando questo controllo verifica un modello di avvio EC2, valuta solo le impostazioni di crittografia EBS specificate esplicitamente dal modello. La valutazione non include le impostazioni di crittografia ereditate dalle impostazioni di crittografia EBS a livello di account, dalle mappature dei dispositivi a blocchi AMI o dagli stati di crittografia degli snapshot di origine.

Correzione

Dopo aver creato un modello di lancio di Amazon EC2, non puoi modificarlo. Tuttavia, puoi creare una nuova versione di un modello di lancio e modificare le impostazioni di crittografia in quella nuova versione del modello. Puoi anche specificare la nuova versione come versione predefinita del modello di lancio. Quindi, se avvii un'istanza EC2 da un modello di avvio e non specifichi una versione del modello, EC2 utilizza le impostazioni della versione predefinita quando avvia l'istanza. Per ulteriori informazioni, consulta Modificare un modello di lancio nella Amazon EC2 User Guide.

[EC2.182] Gli snapshot di Amazon EBS non devono essere accessibili al pubblico

Categoria: Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico

Gravità: alta

Tipo di risorsa: AWS::EC2::SnapshotBlockPublicAccess

Regola AWS Config : ebs-snapshot-block-public-access

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Il controllo verifica se il blocco dell'accesso pubblico è abilitato per bloccare tutte le condivisioni di snapshot di Amazon EBS. Il controllo fallisce se il blocco dell'accesso pubblico non è abilitato per bloccare tutte le condivisioni per tutte le istantanee di Amazon EBS.

Per impedire la condivisione pubblica degli snapshot di Amazon EBS, puoi abilitare l'accesso pubblico a blocchi per gli snapshot. Una volta abilitato l'accesso pubblico a blocchi per le istantanee in una regione, qualsiasi tentativo di condividere pubblicamente le istantanee in quella regione viene automaticamente bloccato. Questo aiuta a migliorare la sicurezza delle istantanee e a proteggere i dati delle istantanee da accessi non autorizzati o non intenzionali.

Correzione

Per abilitare l'accesso pubblico a blocchi per gli snapshot, consulta Configurare l'accesso pubblico a blocchi per gli snapshot di Amazon EBS nella Amazon EBS User Guide. Per Blocca l'accesso pubblico, scegli Blocca tutti gli accessi pubblici.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Controlli Amazon DynamoDB

Controlli di Amazon EC2 Auto Scaling