View a markdown version of this page

Controlli CSPM del Security Hub per Amazon EC2 - AWS Security Hub
[EC2.1] Le istantanee di Amazon EBS non devono essere configurate per essere ripristinabili pubblicamente[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita[EC2.3] I volumi Amazon EBS collegati devono essere crittografati quando sono inattivi[EC2.4] Le istanze EC2 interrotte devono essere rimosse dopo un periodo di tempo specificato[EC2.6] La registrazione del flusso VPC deve essere abilitata in tutti i VPC[EC2.7] La crittografia predefinita di EBS deve essere abilitata[EC2.8] Le istanze EC2 devono utilizzare Instance Metadata Service Version 2 (IMDSv2)[EC2.9] Le istanze Amazon EC2 non devono avere un indirizzo IPv4 pubblico[EC2.10] Amazon EC2 deve essere configurato per utilizzare gli endpoint VPC creati per il servizio Amazon EC2[EC2.12] Gli EIP Amazon EC2 non utilizzati devono essere rimossi[EC2.13] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0. 0/0 oppure: :/0 alla porta 22[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0. 0/0 oppure: :/0 alla porta 3389[EC2.15] Le sottoreti Amazon EC2 non devono assegnare automaticamente indirizzi IP pubblici[EC2.16] Le liste di controllo degli accessi alla rete non utilizzate devono essere rimosse[EC2.17] Le istanze Amazon EC2 non devono utilizzare più ENI[EC2.18] I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate[EC2.19] I gruppi di sicurezza non dovrebbero consentire l'accesso illimitato alle porte ad alto rischio[EC2.20] Entrambi i tunnel VPN per un AWS Site-to-Site La connessione VPN dovrebbe essere attiva[EC2.21] Gli ACL di rete non dovrebbero consentire l'ingresso a partire dalla versione 0.0.0. 0/0 alla porta 22 o alla porta 3389[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi[EC2.23] I gateway di transito Amazon EC2 non dovrebbero accettare automaticamente richieste di allegati VPC[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati[EC2.25] I modelli di lancio di Amazon EC2 non devono assegnare IP pubblici alle interfacce di rete[EC2.28] I volumi EBS devono essere coperti da un piano di backup[EC2.33] Gli allegati del gateway di transito EC2 devono essere etichettati[EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere etichettate[EC2.35] Le interfacce di rete EC2 devono essere etichettate[EC2.36] I gateway per i clienti EC2 devono essere etichettati[EC2.37] Gli indirizzi IP elastici EC2 devono essere etichettati[EC2.38] Le istanze EC2 devono essere etichettate[EC2.39] I gateway Internet EC2 devono essere etichettati[EC2.40] I gateway NAT EC2 devono essere etichettati[EC2.41] Gli ACL di rete EC2 devono essere etichettati[EC2.42] Le tabelle delle rotte EC2 devono essere etichettate[EC2.43] I gruppi di sicurezza EC2 devono essere etichettati[EC2.44] Le sottoreti EC2 devono essere etichettate[EC2.45] I volumi EC2 devono essere etichettati[EC2.46] I VPC Amazon devono essere etichettati[EC2.47] I servizi endpoint Amazon VPC devono essere etichettati[EC2.48] I log di flusso di Amazon VPC devono essere etichettati[EC2.49] Le connessioni peering Amazon VPC devono essere etichettate[EC2.50] I gateway VPN EC2 devono essere etichettati[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione della connessione client abilitata[EC2.52] I gateway di transito EC2 devono essere etichettati[EC2.53] I gruppi di sicurezza EC2 non dovrebbero consentire l'ingresso da 0.0.0. 0/0 alle porte di amministrazione del server remoto[EC2.54] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server[EC2.55] I VPC devono essere configurati con un endpoint di interfaccia per l'API ECR[EC2.56] I VPC devono essere configurati con un endpoint di interfaccia per Docker Registry[EC2.57] I VPC devono essere configurati con un endpoint di interfaccia per Systems Manager[EC2.58] I VPC devono essere configurati con un endpoint di interfaccia per Systems Manager Incident Manager Contacts[EC2.60] I VPC devono essere configurati con un endpoint di interfaccia per Systems Manager Incident Manager[EC2.170] I modelli di avvio EC2 devono utilizzare Instance Metadata Service Version 2 (IMDSv2)[EC2.171] Le connessioni VPN EC2 devono avere la registrazione abilitata[EC2.172] Le impostazioni VPC Block Public Access di EC2 dovrebbero bloccare il traffico del gateway Internet[EC2.173] Le richieste EC2 Spot Fleet con parametri di avvio dovrebbero abilitare la crittografia per i volumi EBS collegati[EC2.174] I set di opzioni DHCP EC2 devono essere etichettati[EC2.175] I modelli di lancio di EC2 devono essere etichettati[EC2.176] Gli elenchi di prefissi EC2 devono essere etichettati[EC2.177] Le sessioni Traffic Mirror di EC2 devono essere etichettate[EC2.178] I filtri Traffic Mirror EC2 devono essere etichettati[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati[EC2.180] Le interfacce di rete EC2 dovrebbero avere il controllo abilitato source/destination[EC2.181] I modelli di lancio EC2 dovrebbero abilitare la crittografia per i volumi EBS collegati[EC2.182] Le impostazioni di blocco dell'accesso pubblico devono essere abilitate per gli snapshot di Amazon EBS[EC2.183] Le connessioni VPN EC2 devono utilizzare il protocollo IKEv2

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlli CSPM del Security Hub per Amazon EC2

Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse Amazon Elastic Compute Cloud (Amazon EC2). I controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.

[EC2.1] Le istantanee di Amazon EBS non devono essere configurate per essere ripristinabili pubblicamente

Requisiti correlati: PCI DSS v3.2. 1/12.2.1, PCI DSS versione 3.2. 1/1.3.1, PCI DSS versione 3.2. 1/1.3.4, PCI DSS versione 3.2. 1/7.2.1, NIST.800-53.r5 AC-21 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7

Categoria: Protezione > Configurazione di rete protetta

Severità: critica

Tipo di risorsa: AWS::::Account

Regola AWS Config : ebs-snapshot-public-restorable-check

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se gli snapshot di Amazon Elastic Block Store sono configurati per essere ripristinabili pubblicamente. Il controllo fallisce se gli snapshot di Amazon EBS sono configurati per essere ripristinabili da tutti.

Gli snapshot EBS vengono utilizzati per eseguire il backup dei dati sui volumi EBS su Amazon S3 in un momento specifico. Puoi utilizzare gli snapshot per ripristinare gli stati precedenti dei volumi EBS. Raramente è accettabile condividere uno snapshot con il pubblico. In genere la decisione di condividere pubblicamente uno snapshot viene presa per errore o senza una completa comprensione delle implicazioni. Questo controllo consente di garantire che tale condivisione sia stata completamente pianificata ed è intenzionale.

Correzione

Per rendere privata una snapshot EBS pubblica, consulta Share a snapshot nella Amazon EC2 User Guide. Per Azioni, Modifica le autorizzazioni, scegli Privato.

[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita

Requisiti correlati: CIS AWS Foundations Benchmark v5.0. 0/5.5, PCI DSS v3.2. 1/1.2.1, PCI DSS versione 3.2. 1/1.3.4, PCI DSS versione 3.2. 1/2.1, benchmark AWS CIS Foundations v1.2. 0/4.3, benchmark AWS CIS Foundations v1.4. 0/5.3, benchmark AWS CIS Foundations v3.0. 0/5.4 NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (11) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 SC-7

Categoria: Protezione > Configurazione di rete protetta

Gravità: alta

Tipo di risorsa: AWS::EC2::SecurityGroup

Regola AWS Config : vpc-default-security-group-closed

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se il gruppo di sicurezza predefinito di un VPC consente il traffico in entrata o in uscita. Il controllo fallisce se il gruppo di sicurezza consente il traffico in entrata o in uscita.

Le regole per il gruppo di sicurezza predefinito consentono tutto il traffico in uscita e in ingresso dalle interfacce di rete (e le istanze associate) assegnate allo stesso gruppo di sicurezza. Ti consigliamo di non utilizzare il gruppo di sicurezza predefinito. Poiché il gruppo di sicurezza predefinito non può essere eliminato, è necessario modificare l'impostazione delle regole di gruppo di sicurezza predefinito per limitare il traffico in ingresso e in uscita. Ciò impedisce il traffico non intenzionale se il gruppo di sicurezza predefinito viene configurato accidentalmente per risorse come le istanze EC2.

Correzione

Per risolvere questo problema, inizia creando nuovi gruppi di sicurezza con privilegi minimi. Per istruzioni, consulta Creare un gruppo di sicurezza nella Amazon VPC User Guide. Quindi, assegna i nuovi gruppi di sicurezza alle tue istanze EC2. Per istruzioni, consulta Modificare il gruppo di sicurezza di un'istanza nella Guida per l'utente di Amazon EC2.

Dopo aver assegnato i nuovi gruppi di sicurezza alle tue risorse, rimuovi tutte le regole in entrata e in uscita dai gruppi di sicurezza predefiniti. Per istruzioni, consulta Configurare le regole dei gruppi di sicurezza nella Amazon VPC User Guide.

[EC2.3] I volumi Amazon EBS collegati devono essere crittografati quando sono inattivi

Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3 (6) NIST.800-53.r5 SC-13 NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)

Categoria: Proteggi > Protezione dei dati > Crittografia dei dati archiviati

Gravità: media

Tipo di risorsa: AWS::EC2::Volume

Regola AWS Config : encrypted-volumes

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se i volumi EBS che si trovano in uno stato collegato sono crittografati. Per superare questo controllo, i volumi EBS devono essere in uso e crittografati. Se il volume EBS non è collegato, non è destinato a questo controllo.

Per un ulteriore livello di sicurezza dei dati sensibili nei volumi EBS, è necessario abilitare la crittografia EBS dei dati inattivi. La crittografica Amazon EBS offre una soluzione di crittografia semplice per le risorse EBS che non richiede di creare, mantenere e proteggere la propria infrastruttura di gestione delle chiavi. Utilizza le chiavi KMS per la creazione di volumi e istantanee crittografati.

Per ulteriori informazioni sulla crittografia Amazon EBS, consulta Amazon EBS encryption nella Amazon EC2 User Guide.

Correzione

Non esiste un modo diretto per crittografare un volume o uno snapshot non crittografato esistente. È possibile crittografare un nuovo volume o snapshot solo quando viene creato.

Se hai abilitato la crittografia per impostazione predefinita, Amazon EBS crittografa il nuovo volume o snapshot risultante utilizzando la tua chiave predefinita per la crittografia Amazon EBS. Anche se non la crittografia non è abilitata per impostazione predefinita, è possibile abilitare la crittografia al momento della creazione di uno specifico volume o snapshot. In entrambi i casi, puoi sostituire la chiave predefinita per la crittografia Amazon EBS e scegliere una chiave simmetrica gestita dal cliente.

Per ulteriori informazioni, consulta Creare un volume Amazon EBS e Copiare uno snapshot Amazon EBS nella Guida per l'utente di Amazon EC2.

[EC2.4] Le istanze EC2 interrotte devono essere rimosse dopo un periodo di tempo specificato

Requisiti correlati: NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)

Categoria: Identificazione > Inventario

Gravità: media

Tipo di risorsa: AWS::EC2::Instance

AWS Config regola: ec2-stopped-instance-days-check (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: periodica

Parametri:

Parametro Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub

AllowedDays

Numero di giorni in cui l'istanza EC2 può rimanere in uno stato di arresto prima della generazione di un risultato non riuscito.

Numero intero

1 Da a 365

30

Questo controllo verifica se un'istanza Amazon EC2 è stata interrotta per un periodo superiore al numero di giorni consentito. Il controllo fallisce se un'istanza EC2 viene interrotta per un periodo di tempo superiore al periodo di tempo massimo consentito. A meno che non si fornisca un valore di parametro personalizzato per il periodo di tempo massimo consentito, Security Hub CSPM utilizza un valore predefinito di 30 giorni.

Quando un'istanza EC2 non viene eseguita per un periodo di tempo significativo, crea un rischio per la sicurezza perché l'istanza non viene gestita attivamente (analizzata, corretta, aggiornata). Se viene avviata in un secondo momento, la mancanza di una manutenzione adeguata potrebbe causare problemi imprevisti nell'ambiente AWS . Per mantenere in modo sicuro un'istanza EC2 nel tempo in uno stato inattivo, avviala periodicamente per la manutenzione e poi interrompila dopo la manutenzione. Idealmente, questo dovrebbe essere un processo automatizzato.

Nota

Questo controllo valuta il numero di giorni in cui un'istanza EC2 è stata interrotta utilizzando il timestamp di StateTransitionReason quell'istanza. Quando StateTransitionReason non include un timestamp (ad esempio quando un'istanza viene interrotta a causa di un errore interno), il controllo utilizza invece l'ora di avvio dell'istanza. In questo caso, se l'ora di avvio è precedente al periodo di tempo massimo consentito, il controllo genera un risultato NON RIUSCITO.

Correzione

Per terminare un'istanza EC2 inattiva, consulta Terminare un'istanza nella Amazon EC2 User Guide.

[EC2.6] La registrazione del flusso VPC deve essere abilitata in tutti i VPC

Requisiti correlati: CIS AWS Foundations Benchmark v5.0. 0/3.7, benchmark AWS CIS Foundations v1.2. 0/2.9, benchmark AWS CIS Foundations v1.4. 0/3.9, benchmark AWS CIS Foundations v3.0. 0/3.7, NIST.800-53.r5 AC-4 (26),,, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-6 (3) NIST.800-53.r5 AU-2 NIST.800-53.r5 AU-3, (4), NIST.800-53.r5 AU-6 NIST.800-53.r5 SI-7 (8), NIST.800-171.r2 3.1.20 NIST.800-53.r5 CA-7, 3.3.1, 3.13.1, PCI DSS versione NIST.800-171.r2 3.2. NIST.800-171.r2 1/10.3.3, PCI DSS versione 3.2. 1/10.3.4, PCI DSS versione 3.2. 1/10.3.5, PCI DSS versione 3.2. 1/103.3.6

Categoria: Identificazione > Registrazione

Gravità: media

Tipo di risorsa: AWS::EC2::VPC

Regola AWS Config : vpc-flow-logs-enabled

Tipo di pianificazione: periodica

Parametri:

  • trafficType: REJECT (non personalizzabile)

Questo controllo verifica se i log di flusso di Amazon VPC vengono trovati e abilitati per i VPC. Il tipo di traffico è impostato su. Reject Il controllo fallisce se i log di flusso VPC non sono abilitati per i VPC nel tuo account.

Nota

Questo controllo non verifica se i log di flusso di Amazon VPC sono abilitati tramite Amazon Security Lake per. Account AWS

Con la funzione VPC Flow Logs, puoi acquisire informazioni sul traffico di indirizzi IP che va e viene dalle interfacce di rete nel tuo VPC. Dopo aver creato un log di flusso, puoi visualizzarne e recuperarne i dati in Logs. CloudWatch Per ridurre i costi, puoi anche inviare i log di flusso ad Amazon S3.

Security Hub CSPM consiglia di abilitare la registrazione del flusso per i pacchetti rifiutati per i VPC. I log di flusso forniscono visibilità sul traffico di rete che attraversa il VPC e possono rilevare traffico anomalo o fornire informazioni durante i flussi di lavoro di sicurezza.

Per impostazione predefinita, il record include i valori per i diversi componenti del flusso di indirizzi IP, tra cui origine, destinazione e protocollo. Per ulteriori informazioni e descrizioni dei campi di log, consulta VPC Flow Logs nella Amazon VPC User Guide.

Correzione

Per creare un log di flusso VPC, consulta Create a Flow Log nella Amazon VPC User Guide. Dopo aver aperto la console Amazon VPC, scegli I tuoi VPC. Per Filtro, scegli Rifiuta o Tutto.

[EC2.7] La crittografia predefinita di EBS deve essere abilitata

Requisiti correlati: CIS AWS Foundations Benchmark v5.0. 0/5.1.1, benchmark AWS CIS Foundations v1.4. 0/2.2.1, benchmark AWS CIS Foundations v3.0. 0/2.2.1, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3 (6),, (1) NIST.800-53.r5 SC-13 NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28 (10), NIST.800-53.r5 SC-7 (6) NIST.800-53.r5 SI-7

Categoria: Protezione > Protezione dei dati > Crittografia dei dati archiviati

Gravità: media

Tipo di risorsa: AWS::::Account

Regola AWS Config : ec2-ebs-encryption-by-default

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se la crittografia a livello di account è abilitata per impostazione predefinita per i volumi Amazon Elastic Block Store (Amazon EBS). Il controllo fallisce se la crittografia a livello di account non è abilitata per i volumi EBS.

Quando la crittografia è abilitata per il tuo account, i volumi Amazon EBS e le copie degli snapshot vengono crittografati quando sono inattivi. Ciò aggiunge un ulteriore livello di protezione per i tuoi dati. Per ulteriori informazioni, consulta la sezione Encryption by default nella Guida per l’utente di Amazon EC2.

Correzione

Per configurare la crittografia predefinita per i volumi Amazon EBS, consulta Encryption by default nella Amazon EC2 User Guide.

[EC2.8] Le istanze EC2 devono utilizzare Instance Metadata Service Version 2 (IMDSv2)

Requisiti correlati: CIS AWS Foundations Benchmark v5.0. 0/5.7, benchmark AWS CIS Foundations v3.0. 0/5.6, NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6 PCI DSS versione 4.0. 1/22.6.

Categoria: Proteggi > Sicurezza di rete

Gravità: alta

Tipo di risorsa: AWS::EC2::Instance

Regola AWS Config : ec2-imdsv2-check

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se la versione dei metadati dell'istanza EC2 è configurata con Instance Metadata Service versione 2 (IMDSv2). Il controllo passa se HttpTokens è impostato su obbligatorio per IMDSv2. Il controllo ha esito negativo se HttpTokens è impostato su. optional

I metadati dell'istanza vengono utilizzati per configurare o gestire l'istanza in esecuzione. L'IMDS fornisce l'accesso a credenziali temporanee, che vengono ruotate frequentemente. Queste credenziali eliminano la necessità di codificare o distribuire credenziali riservate alle istanze manualmente o programmaticamente. L'IMDS è collegato localmente a ogni istanza EC2. Funziona su uno speciale indirizzo IP «link local» 169.254.169.254. Questo indirizzo IP è accessibile solo dal software in esecuzione sull'istanza.

La versione 2 dell'IMDS aggiunge nuove protezioni per i seguenti tipi di vulnerabilità. Queste vulnerabilità potrebbero essere utilizzate per provare ad accedere all'IMDS.

  • Apri i firewall delle applicazioni del sito Web

  • Apri proxy inversi

  • Server-side vulnerabilità relative alla contraffazione della richiesta (SSRF)

  • Firewall Open Layer 3 e NAT (Network Address Translation)

Security Hub CSPM consiglia di configurare le istanze EC2 con IMDSv2.

Correzione

Per configurare le istanze EC2 con IMDSv2, consulta Percorso consigliato per richiedere IMDSv2 nella Amazon EC2 User Guide.

[EC2.9] Le istanze Amazon EC2 non devono avere un indirizzo IPv4 pubblico

Requisiti correlati: NIST.800-53.r5 AC-21 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7

Categoria: Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico

Gravità: alta

Tipo di risorsa: AWS::EC2::Instance

Regola AWS Config : ec2-instance-no-public-ip

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se le istanze EC2 hanno un indirizzo IP pubblico. Il controllo fallisce se il publicIp campo è presente nell'elemento di configurazione dell'istanza EC2. Questo controllo si applica solo agli indirizzi IPv4.

Un indirizzo IPv4 pubblico è un indirizzo IP raggiungibile da Internet. Se avvii l'istanza con un indirizzo IP pubblico, l'istanza EC2 è raggiungibile da Internet. Un indirizzo IPv4 privato è un indirizzo IP non raggiungibile da Internet. Puoi utilizzare indirizzi IPv4 privati per la comunicazione tra istanze EC2 nello stesso VPC o nella tua rete privata connessa.

Gli indirizzi IPv6 sono unici a livello globale e quindi sono raggiungibili da Internet. Tuttavia, per impostazione predefinita, tutte le sottoreti hanno l'attributo di indirizzamento IPv6 impostato su false. Per ulteriori informazioni su IPv6, consulta la sezione Indirizzamento IP nel tuo VPC nella Amazon VPC User Guide.

Se hai un caso d'uso legittimo per mantenere istanze EC2 con indirizzi IP pubblici, puoi eliminare i risultati di questo controllo. Per ulteriori informazioni sulle opzioni di architettura front-end, consulta l'AWS Architecture Blog o la serie di video della serie This Is My Architecture. AWS

Correzione

Utilizza un VPC non predefinito in modo che all'istanza non venga assegnato un indirizzo IP pubblico per impostazione predefinita.

Quando avvii un'istanza EC2 in un VPC predefinito, a essa viene assegnato un indirizzo IP pubblico. Quando avvii un'istanza EC2 in un VPC non predefinito, la configurazione della sottorete determina se riceve un indirizzo IP pubblico. La sottorete dispone di un attributo per determinare se le nuove istanze EC2 nella sottorete ricevono un indirizzo IP pubblico dal pool di indirizzi IPv4 pubblico.

Puoi dissociare un indirizzo IP pubblico assegnato automaticamente dalla tua istanza EC2. Per ulteriori informazioni, consulta Indirizzi IPv4 pubblici e nomi host DNS esterni nella Guida dell'utente di Amazon EC2.

[EC2.10] Amazon EC2 deve essere configurato per utilizzare gli endpoint VPC creati per il servizio Amazon EC2

Requisiti correlati: NIST.800-53.r5 AC-21 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (4), 3.1.3, 3.13.1 NIST.800-171.r2 NIST.800-171.r2

Categoria: Protezione > Configurazione di rete sicura > Accesso privato API

Gravità: media

Tipo di risorsa: AWS::EC2::VPC

Regola AWS Config : service-vpc-endpoint-enabled

Tipo di pianificazione: periodica

Parametri:

  • serviceName: ec2 (non personalizzabile)

Questo controllo verifica se viene creato un endpoint di servizio per Amazon EC2 per ogni VPC. Il controllo fallisce se un VPC non dispone di un endpoint VPC creato per il servizio Amazon EC2.

Questo controllo valuta le risorse in un unico account. Non può descrivere risorse esterne all'account. Poiché AWS Config Security Hub CSPM non effettua controlli tra account, verranno visualizzati FAILED i risultati relativi ai VPC condivisi tra account. Security Hub CSPM consiglia di eliminare questi risultati. FAILED

Nota

Questo controllo valuta i nomi dei servizi endpoint standard e attualmente non riconosce i nomi dei servizi FIPS-variant endpoint (ad esempio,). com.amazonaws.us-east-1.ec2-fips I VPC che utilizzano un endpoint FIPS per Amazon EC2 possono dare FAILED risultati anche se è configurata la connettività al servizio tramite un endpoint VPC.

Per migliorare il livello di sicurezza del tuo VPC, puoi configurare Amazon EC2 per utilizzare un endpoint VPC di interfaccia. Gli endpoint di interfaccia sono basati su una tecnologia che consente di accedere alle operazioni delle API di Amazon EC2 in modo privato. AWS PrivateLink Limita tutto il traffico di rete tra il tuo VPC e Amazon EC2 alla rete Amazon. Poiché gli endpoint sono supportati solo all'interno della stessa regione, non è possibile creare un endpoint tra un VPC e un servizio in una regione diversa. In questo modo si evitano chiamate involontarie all'API Amazon EC2 verso altre regioni.

Per ulteriori informazioni sulla creazione di endpoint VPC per Amazon EC2, consulta Amazon EC2 e interfaccia gli endpoint VPC nella Amazon EC2 User Guide.

Correzione

Per creare un endpoint di interfaccia verso Amazon EC2 dalla console Amazon VPC, consulta Creare un endpoint VPC nella Guida.AWS PrivateLink Per il nome del servizio, scegli com.amazonaws. region.ec2.

Puoi anche creare e allegare una policy per gli endpoint al tuo endpoint VPC per controllare l'accesso all'API Amazon EC2. Per istruzioni sulla creazione di una policy per gli endpoint VPC, consulta Create an endpoint policy nella Amazon EC2 User Guide.

[EC2.12] Gli EIP Amazon EC2 non utilizzati devono essere rimossi

Requisiti correlati: PCI DSS v3.2. 1/2.4, (1) NIST.800-53.r5 CM-8

Categoria: Protezione > Configurazione di rete protetta

Gravità: bassa

Tipo di risorsa: AWS::EC2::EIP

Regola AWS Config : eip-attached

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se gli indirizzi IP elastici (EIP) allocati a un VPC sono collegati a istanze EC2 o interfacce di rete elastiche (ENI) in uso.

Un risultato non riuscito indica che potresti avere EIP EC2 inutilizzati.

Ciò ti aiuterà a mantenere un inventario accurato degli asset EIP nel tuo ambiente di dati dei titolari di carta (CDE).

Correzione

Per rilasciare un EIP inutilizzato, consulta Release an Elastic IP address nella Amazon EC2 User Guide.

[EC2.13] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0. 0/0 oppure: :/0 alla porta 22

Requisiti correlati: CIS AWS Foundations Benchmark v1.2. 0/4.1 NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, (11) NIST.800-53.r5 CM-7 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.3, 3.13.1, PCI DSS versione NIST.800-171.r2 3.2. 1/1.2.1, PCI DSS versione 3.2. 1/1.3.1, PCI DSS versione 3.2. 1/2.2.2, PCI DSS versione 4.0. 1/13.3.1

Categoria: Protezione > Configurazione di rete protetta

Gravità: alta

Tipo di risorsa: AWS::EC2::SecurityGroup

Regola AWS Config : restricted-ssh

Tipo di pianificazione: modifica attivata e periodica

Parametri: nessuno

Questo controllo verifica se un gruppo di sicurezza Amazon EC2 consente l'ingresso da 0.0.0. 0/0 oppure: :/0 alla porta 22. Il controllo fallisce se il gruppo di sicurezza consente l'ingresso da 0.0.0. 0/0oppure: :/0 alla porta 22.

I gruppi di sicurezza forniscono filtraggio stateful del traffico di rete in entrata e in uscita a risorse AWS . È opportuno che nessun gruppo di sicurezza consenta accesso di entratata illimitato alla porta 22. La rimozione di connettività senza alcuna restrizione a servizi della console remota, ad esempio SSH, riduce l'esposizione di un server ai rischi.

Correzione

Per vietare l'accesso alla porta 22, rimuovi la regola che consente tale accesso per ogni gruppo di sicurezza associato a un VPC. Per istruzioni, consulta Aggiornare le regole dei gruppi di sicurezza nella Guida per l'utente di Amazon EC2. Dopo aver selezionato un gruppo di sicurezza nella console Amazon EC2, scegli Azioni, Modifica regole in entrata. Rimuovi la regola che consente l'accesso alla porta 22.

[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0. 0/0 oppure: :/0 alla porta 3389

Requisiti correlati: CIS AWS Foundations Benchmark v1.2. 0/4.2, PCI DSS versione 4.0. 1/13.3.1

Categoria: Protezione > Configurazione di rete protetta

Gravità: alta

Tipo di risorsa: AWS::EC2::SecurityGroup

AWS Config regola: restricted-common-ports(la regola creata èrestricted-rdp)

Tipo di pianificazione: modifica attivata e periodica

Parametri: nessuno

Questo controllo verifica se un gruppo di sicurezza Amazon EC2 consente l'ingresso da 0.0.0. 0/0 oppure: :/0 alla porta 3389. Il controllo fallisce se il gruppo di sicurezza consente l'ingresso da 0.0.0. 0/0oppure: :/0 alla porta 3389.

I gruppi di sicurezza forniscono filtraggio stateful del traffico di rete in entrata e in uscita a risorse AWS . È opportuno che nessun gruppo di sicurezza consenta accesso di entrata illimitato alla porta 3389. La rimozione di connettività senza alcuna restrizione a servizi della console remota, ad esempio RDP, riduce l'esposizione di un server ai rischi.

Correzione

Per vietare l'accesso alla porta 3389, rimuovi la regola che consente tale accesso per ogni gruppo di sicurezza associato a un VPC. Per istruzioni, consulta Aggiornare le regole dei gruppi di sicurezza nella Amazon VPC User Guide. Dopo aver selezionato un gruppo di sicurezza nella console Amazon VPC, scegli Azioni, Modifica regole in entrata. Rimuovi la regola che consente l'accesso alla porta 3389.

[EC2.15] Le sottoreti Amazon EC2 non devono assegnare automaticamente indirizzi IP pubblici

Requisiti correlati: NIST.800-53.r5 AC-21 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0. 1/14.4.

Categoria: Proteggi > Sicurezza di rete

Gravità: media

Tipo di risorsa: AWS::EC2::Subnet

Regola AWS Config : subnet-auto-assign-public-ip-disabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se una sottorete Amazon Virtual Private Cloud (Amazon VPC) è configurata per l'assegnazione automatica di indirizzi IP pubblici. Il controllo fallisce se la sottorete è configurata per l'assegnazione automatica di indirizzi IPv4 o IPv6 pubblici.

Le sottoreti dispongono di attributi che determinano se le interfacce di rete ricevono automaticamente indirizzi IPv4 e IPv6 pubblici. Per IPv4, questo attributo è impostato su per le sottoreti predefinite e TRUE FALSE per le sottoreti non predefinite (ad eccezione delle sottoreti non predefinite create tramite la procedura guidata di avvio dell'istanza EC2, dove è impostato su). TRUE Per IPv6, questo attributo è impostato su tutte le sottoreti per impostazione predefinita. FALSE Quando questi attributi sono abilitati, le istanze avviate nella sottorete ricevono automaticamente gli indirizzi IP corrispondenti (IPv4 o IPv6) sulla loro interfaccia di rete principale.

Correzione

Per configurare una sottorete in modo che non assegni indirizzi IP pubblici, consulta Modificare gli attributi di indirizzo IP della sottorete nella Amazon VPC User Guide.

[EC2.16] Le liste di controllo degli accessi alla rete non utilizzate devono essere rimosse

Requisiti correlati: NIST.800-53.r5 CM-8 (1), NIST.800-171.r2 3.4.7, PCI DSS v4.0. 1/12.2.7

Categoria: Proteggi > Sicurezza di rete

Gravità: bassa

Tipo di risorsa: AWS::EC2::NetworkAcl

Regola AWS Config : vpc-network-acl-unused-check

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se ci sono elenchi di controllo degli accessi alla rete (ACL di rete) non utilizzati nel tuo cloud privato virtuale (VPC). Il controllo fallisce se l'ACL di rete non è associato a una sottorete. Il controllo non genera risultati per un ACL di rete predefinito non utilizzato.

Il controllo verifica la configurazione degli elementi della risorsa AWS::EC2::NetworkAcl e determina le relazioni dell'ACL di rete.

Se l'unica relazione è il VPC dell'ACL di rete, il controllo fallisce.

Se sono elencate altre relazioni, il controllo passa.

Correzione

Per istruzioni sull'eliminazione di un ACL di rete non utilizzato, consulta Eliminazione di un ACL di rete nella Amazon VPC User Guide. Non puoi eliminare l'ACL di rete predefinito o un ACL associato alle sottoreti.

[EC2.17] Le istanze Amazon EC2 non devono utilizzare più ENI

Requisiti correlati: NIST.800-53.r5 AC-4 (21)

Categoria: Proteggi > Sicurezza di rete

Gravità: bassa

Tipo di risorsa: AWS::EC2::Instance

Regola AWS Config : ec2-instance-multiple-eni-check

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un'istanza EC2 utilizza più Elastic Network Interface (ENI) o Elastic Fabric Adapters (EFA). Questo controllo passa se viene utilizzata una singola scheda di rete. Il controllo include un elenco di parametri opzionale per identificare gli ENI consentiti. Questo controllo fallisce anche se un'istanza EC2 appartenente a un cluster Amazon EKS utilizza più di un ENI. Se le tue istanze EC2 devono avere più ENI come parte di un cluster Amazon EKS, puoi eliminare tali risultati di controllo.

Più ENI possono causare istanze dual-homed, ossia istanze con più sottoreti. Ciò può aumentare la complessità della sicurezza della rete e introdurre percorsi e accessi di rete indesiderati.

Correzione

Per scollegare un'interfaccia di rete da un'istanza EC2, consulta Scollegare un'interfaccia di rete da un'istanza nella Amazon EC2 User Guide.

[EC2.18] I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate

Requisiti correlati: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5), NIST.800-171.r2 3.1.3, 3.1.20, 3.13.1 NIST.800-171.r2 NIST.800-171.r2

Categoria: Protezione > Configurazione di rete sicura > Configurazione del gruppo di sicurezza

Gravità: alta

Tipo di risorsa: AWS::EC2::SecurityGroup

Regola AWS Config : vpc-sg-open-only-to-authorized-ports

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub

authorizedTcpPorts

Elenco delle porte TCP autorizzate

IntegerList (minimo 1 elemento e massimo 32 elementi)

1 Da a 65535

[80,443]

authorizedUdpPorts

Elenco delle porte UDP autorizzate

IntegerList (minimo 1 articolo e massimo 32 articoli)

1 Da a 65535

Nessun valore predefinito

Questo controllo verifica se un gruppo di sicurezza Amazon EC2 consente il traffico in entrata senza restrizioni da porte non autorizzate. Lo stato del controllo è determinato come segue:

  • Se si utilizza il valore predefinito perauthorizedTcpPorts, il controllo ha esito negativo se il gruppo di sicurezza consente il traffico in entrata senza restrizioni da qualsiasi porta diversa dalle porte 80 e 443.

  • Se fornisci valori personalizzati per authorizedTcpPorts oauthorizedUdpPorts, il controllo ha esito negativo se il gruppo di sicurezza consente il traffico in entrata senza restrizioni da qualsiasi porta non elencata.

I gruppi di sicurezza forniscono un filtraggio statico del traffico di rete in ingresso e in uscita verso. AWS Le regole dei gruppi di sicurezza devono seguire il principio dell'accesso con privilegi minimi. L'accesso illimitato (indirizzo IP con suffisso /0) aumenta la possibilità di attività dannose come pirateria informatica, attacchi denial-of-service e perdita di dati. A meno che una porta non sia espressamente consentita, la porta dovrebbe negare l'accesso illimitato.

Correzione

Per modificare un gruppo di sicurezza, consulta Work with security groups nella Amazon VPC User Guide.

[EC2.19] I gruppi di sicurezza non dovrebbero consentire l'accesso illimitato alle porte ad alto rischio

Requisiti correlati: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5), NIST.800-171.r2 3.1.3, 3.1.20, NIST.800-171.r2 3.13.1 NIST.800-171.r2

Categoria: Protezione > Accesso limitato alla rete

Severità: critica

Tipo di risorsa: AWS::EC2::SecurityGroup

AWS Config regola: restricted-common-ports(la regola creata èvpc-sg-restricted-common-ports)

Tipo di pianificazione: modifica attivata e periodica

Parametri: "blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300" (non personalizzabile)

Questo controllo verifica se il traffico in entrata senza restrizioni per un gruppo di sicurezza Amazon EC2 è accessibile alle porte specificate considerate ad alto rischio. Questo controllo ha esito negativo se una delle regole di un gruppo di sicurezza consente il traffico in ingresso da '0.0.0. 0/0' o ': :/0' verso quelle porte.

I gruppi di sicurezza forniscono filtraggio stateful del traffico di rete in entrata e in uscita a risorse AWS . Accesso illimitato (0.0.0. 0/0) aumenta le opportunità di attività dannose, come la pirateria informatica, gli attacchi denial-of-service e la perdita di dati. Nessun gruppo di sicurezza dovrebbe consentire l'accesso illimitato in ingresso alle seguenti porte:

  • 20, 21 (FTP)

  • 22 (SSH)

  • 23 (Telnet)

  • 25 (SMTP)

  • 110 (POP3)

  • 135 (RPC)

  • 143 (IMAP)

  • 445 (CIF)

  • 1433, 1434 (SQL)

  • 3000 (framework di sviluppo web Node.js Go e Ruby)

  • 3306 (MySQL)

  • 3389 (RDP)

  • 4333 (ahsp)

  • 5000 (framework di sviluppo web in Python)

  • 5432 (postgresql)

  • 5500 (fcp-addr-srvr1)

  • 5601 (OpenSearch Cruscotti)

  • 8080 (proxy)

  • 8088 (porta HTTP precedente)

  • 8888 (porta HTTP alternativa)

  • 9200 o 9300 () OpenSearch

Correzione

Per eliminare le regole da un gruppo di sicurezza, consulta Eliminare le regole da un gruppo di sicurezza nella Guida per l'utente di Amazon EC2.

[EC2.20] Entrambi i tunnel VPN per un AWS Site-to-Site La connessione VPN dovrebbe essere attiva

Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6 (2) NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5), NIST.800-171.r2 3.1.13, 3.1.20 NIST.800-171.r2

Categoria: Recupero > Resilienza > Alta disponibilità

Gravità: media

Tipo di risorsa: AWS::EC2::VPNConnection

Regola AWS Config : vpc-vpn-2-tunnels-up

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Un tunnel VPN è un collegamento crittografato in cui i dati possono passare dalla rete del cliente a o dall' AWS interno di una connessione AWS Site-to-Site VPN. Ogni connessione VPN include due tunnel VPN che è possibile utilizzare contemporaneamente per una disponibilità elevata. Garantire che entrambi i tunnel VPN siano attivi per una connessione VPN è importante per confermare una connessione sicura e ad alta disponibilità tra un AWS VPC e la rete remota.

Questo controllo verifica che entrambi i tunnel VPN forniti dalla AWS Site-to-Site VPN abbiano lo stato UP. Il controllo fallisce se uno o entrambi i tunnel sono in stato INATTIVO.

Correzione

Per modificare le opzioni del tunnel VPN, consulta Modifica delle opzioni del tunnel Site-to-Site VPN nella Guida per l'utente AWS Site-to-Site VPN.

[EC2.21] Gli ACL di rete non dovrebbero consentire l'ingresso a partire dalla versione 0.0.0. 0/0 alla porta 22 o alla porta 3389

Requisiti correlati: CIS AWS Foundations Benchmark v5.0. 0/5.2, benchmark AWS CIS Foundations v1.4. 0/5.1, benchmark AWS CIS Foundations v3.0. 0/5.1, NIST.800-53.r5 AC-4 (21), (1), NIST.800-53.r5 CA-9 (2), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (21), NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 CM-7 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.3, NIST.800-171.r2 3.1.20, 3.13.1, PCI DSS versione 4.0. NIST.800-171.r2 1/13.3.1

Categoria: Protezione > Configurazione di rete sicura

Gravità: media

Tipo di risorsa: AWS::EC2::NetworkAcl

Regola AWS Config : nacl-no-unrestricted-ssh-rdp

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se una lista di controllo degli accessi alla rete (Network ACL) consente l'accesso illimitato alle porte TCP predefinite per il traffico in ingresso. SSH/RDP Il controllo fallisce se la voce ACL di rete in ingresso consente un blocco CIDR di origine di '0.0.0. 0/0' o ': :/0' per le porte TCP 22 o 3389. Il controllo non genera risultati per un ACL di rete predefinito.

L'accesso alle porte di amministrazione del server remoto, come la porta 22 (SSH) e la porta 3389 (RDP), non dovrebbe essere accessibile al pubblico, in quanto ciò potrebbe consentire l'accesso non intenzionale alle risorse all'interno del tuo VPC.

Correzione

Per modificare le regole del traffico ACL di rete, consulta Work with network ACL nella Amazon VPC User Guide.

[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi

Categoria: Identificazione > Inventario

Gravità: media

Tipo di risorsa:, AWS::EC2::NetworkInterface AWS::EC2::SecurityGroup

Regola AWS Config : ec2-security-group-attached-to-eni-periodic

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se i gruppi di sicurezza sono collegati a istanze Amazon Elastic Compute Cloud (Amazon EC2) o a un'interfaccia di rete elastica. Il controllo fallisce se il gruppo di sicurezza non è associato a un'istanza Amazon EC2 o a un'interfaccia di rete elastica.

Importante

Il 20 settembre 2023, Security Hub CSPM ha rimosso questo controllo dagli standard AWS Foundational Security Best Practices e NIST SP 800-53 Revision 5. Questo controllo continua a far parte dello standard di gestione dei servizi. AWS Control Tower Questo controllo produce un risultato positivo se i gruppi di sicurezza sono collegati a istanze EC2 o a un'interfaccia di rete elastica. Tuttavia, in alcuni casi d'uso, i gruppi di sicurezza non collegati non rappresentano un rischio per la sicurezza. Puoi utilizzare altri controlli EC2 EC2.2, come,, EC2.13 EC2.14, e EC2.19 —per monitorare i tuoi EC2.18 gruppi di sicurezza.

Correzione

Per creare, assegnare ed eliminare gruppi di sicurezza, consulta la sezione Gruppi di sicurezza per le istanze EC2 nella Amazon EC2 User Guide.

[EC2.23] I gateway di transito Amazon EC2 non dovrebbero accettare automaticamente richieste di allegati VPC

Requisiti correlati: NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

Categoria: Protezione > Configurazione di rete protetta

Gravità: alta

Tipo di risorsa: AWS::EC2::TransitGateway

Regola AWS Config : ec2-transit-gateway-auto-vpc-attach-disabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se i gateway di transito EC2 accettano automaticamente allegati VPC condivisi. Questo controllo non riesce per un gateway di transito che accetta automaticamente richieste di allegati VPC condivise.

L'attivazione AutoAcceptSharedAttachments configura un gateway di transito per accettare automaticamente qualsiasi richiesta di allegati VPC tra account senza verificare la richiesta o l'account da cui proviene l'allegato. Per seguire le migliori pratiche di autorizzazione e autenticazione, consigliamo di disattivare questa funzionalità per garantire che vengano accettate solo le richieste di allegati VPC autorizzate.

Correzione

Per modificare un gateway di transito, consulta Modificare un gateway di transito nella Amazon VPC Developer Guide.

[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati

Requisiti correlati: NIST.800-53.r5 CM-2, (2) NIST.800-53.r5 CM-2

Categoria: Identificazione > Gestione di vulnerabilità, patch e versioni

Gravità: media

Tipo di risorsa: AWS::EC2::Instance

Regola AWS Config : ec2-paravirtual-instance-check

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se il tipo di virtualizzazione di un'istanza EC2 è paravirtuale. Il controllo fallisce se l'istanza EC2 è virtualizationType impostata su. paravirtual

Le Amazon Machine Images (AMI) Linux utilizzano uno dei due tipi di virtualizzazione: paravirtual (PV) o hardware virtual machine (HVM). Le principali differenze tra le AMI PV e HVM risiedono nel modo in cui vengono avviate e nella loro capacità di sfruttare i vantaggi delle estensioni hardware speciali (CPU, rete e archiviazione) per l'ottimizzazione delle prestazioni.

Storicamente parlando, i sistemi guest PV sono caratterizzati da prestazioni migliori rispetto ai sistemi guest HVM in molti casi, ma in seguito ai miglioramenti apportati alla virtualizzazione HVM e alla disponibilità di driver PV per AMI HVM, ciò non è più vero. Per ulteriori informazioni, consulta i tipi di virtualizzazione delle AMI Linux nella Guida per l'utente di Amazon EC2.

Correzione

Per aggiornare un'istanza EC2 a un nuovo tipo di istanza, consulta Cambia il tipo di istanza nella Amazon EC2 User Guide.

[EC2.25] I modelli di lancio di Amazon EC2 non devono assegnare IP pubblici alle interfacce di rete

Requisiti correlati: NIST.800-53.r5 AC-21 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0. 1/14.4.

Categoria: Protezione > Configurazione sicura della rete > Risorse non accessibili al pubblico

Gravità: alta

Tipo di risorsa: AWS::EC2::LaunchTemplate

Regola AWS Config : ec2-launch-template-public-ip-disabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se i modelli di lancio di Amazon EC2 sono configurati per assegnare indirizzi IP pubblici alle interfacce di rete al momento dell'avvio. Il controllo fallisce se un modello di avvio EC2 è configurato per assegnare un indirizzo IP pubblico alle interfacce di rete o se esiste almeno un'interfaccia di rete con un indirizzo IP pubblico.

Un indirizzo IP pubblico è raggiungibile da Internet. Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete potrebbero essere raggiungibili da Internet. Le risorse EC2 non dovrebbero essere accessibili al pubblico perché ciò potrebbe consentire l'accesso involontario ai tuoi carichi di lavoro.

Correzione

Per aggiornare un modello di lancio EC2, consulta Modifica delle impostazioni dell'interfaccia di rete predefinita nella Amazon EC2 Auto Scaling User Guide.

[EC2.28] I volumi EBS devono essere coperti da un piano di backup

Categoria: Recover > Resilience > Backup abilitati

Requisiti correlati: NIST.800-53.r5 CP-10 NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6 (1), NIST.800-53.r5 CP-6 (2) NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2) NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)

Gravità: bassa

Tipo di risorsa: AWS::EC2::Volume

AWS Config regola: ebs-resources-protected-by-backup-plan

Tipo di pianificazione: periodica

Parametri:

Parametro Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub

backupVaultLockCheck

Il controllo restituisce un PASSED risultato se il parametro è impostato su true e la risorsa utilizza AWS Backup Vault Lock.

Booleano

true o false

Nessun valore predefinito

Questo controllo valuta se un volume Amazon EBS in in-use stato è coperto da un piano di backup. Il controllo fallisce se un volume EBS non è coperto da un piano di backup. Se si imposta il backupVaultLockCheck parametro uguale atrue, il controllo passa solo se viene eseguito il backup del volume EBS in un vault AWS Backup bloccato.

I backup consentono di ripristinare più rapidamente un incidente di sicurezza. Inoltre, rafforzano la resilienza dei sistemi. L'inclusione dei volumi Amazon EBS in un piano di backup aiuta a proteggere i dati da perdite o eliminazioni involontarie.

Correzione

Per aggiungere un volume Amazon EBS a un piano di AWS Backup backup, consulta Assegnazione di risorse a un piano di backup nella AWS Backup Developer Guide.

[EC2.33] Gli allegati del gateway di transito EC2 devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::TransitGatewayAttachment

AWS Config regola: tagged-ec2-transitgatewayattachment (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub
requiredTagKeys Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole StringList (massimo 6 articoli) 1—6 tasti tag che soddisfano i requisiti AWS . Nessun valore predefinito

Questo controllo verifica se un allegato del gateway di transito Amazon EC2 ha tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo ha esito negativo se l'allegato Transit Gateway non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave tag e fallisce se l'allegato del gateway di transito non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Nota

Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS

Correzione

Per aggiungere tag a un allegato del gateway di transito EC2, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere etichettate

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::TransitGatewayRouteTable

AWS Config regola: tagged-ec2-transitgatewayroutetable (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub
requiredTagKeys Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole StringList (massimo 6 articoli) 1—6 tasti tag che soddisfano i requisiti AWS . Nessun valore predefinito

Questo controllo verifica se una tabella di routing del gateway di transito Amazon EC2 contiene tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo ha esito negativo se la tabella delle rotte del gateway di transito non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la tabella di route del gateway di transito non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Nota

Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS

Correzione

Per aggiungere tag a una tabella di routing del gateway di transito EC2, consulta Etichettare le risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.35] Le interfacce di rete EC2 devono essere etichettate

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::NetworkInterface

AWS Config regola: tagged-ec2-networkinterface (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub
requiredTagKeys Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole StringList (massimo 6 articoli) 1—6 tasti tag che soddisfano i requisiti AWS . Nessun valore predefinito

Questo controllo verifica se un'interfaccia di rete Amazon EC2 ha tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se l'interfaccia di rete non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'interfaccia di rete non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Nota

Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS

Correzione

Per aggiungere tag a un'interfaccia di rete EC2, consulta Etichettare le risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.36] I gateway per i clienti EC2 devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::CustomerGateway

AWS Config regola: tagged-ec2-customergateway (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub
requiredTagKeys Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole StringList (massimo 6 articoli) 1—6 tasti tag che soddisfano i requisiti AWS . Nessun valore predefinito

Questo controllo verifica se un gateway per clienti Amazon EC2 dispone di tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se il gateway del cliente non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gateway del cliente non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Nota

Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS

Correzione

Per aggiungere tag a un gateway clienti EC2, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.37] Gli indirizzi IP elastici EC2 devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::EIP

AWS Config regola: tagged-ec2-eip (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub
requiredTagKeys Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole StringList (massimo 6 articoli) 1—6 tasti tag che soddisfano i requisiti AWS . Nessun valore predefinito

Questo controllo verifica se un indirizzo IP elastico di Amazon EC2 ha tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se l'indirizzo IP elastico non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'indirizzo IP elastico non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Nota

Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS

Correzione

Per aggiungere tag a un indirizzo IP elastico EC2, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.38] Le istanze EC2 devono essere etichettate

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::Instance

AWS Config regola: tagged-ec2-instance (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub
requiredTagKeys Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole StringList (massimo 6 articoli) 1—6 tasti tag che soddisfano i requisiti AWS . Nessun valore predefinito

Questo controllo verifica se un'istanza Amazon EC2 ha tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se l'istanza non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'istanza non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Nota

Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS

Correzione

Per aggiungere tag a un'istanza EC2, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.39] I gateway Internet EC2 devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::InternetGateway

AWS Config regola: tagged-ec2-internetgateway (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub
requiredTagKeys Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole StringList (massimo 6 articoli) 1—6 tasti tag che soddisfano i requisiti AWS . Nessun valore predefinito

Questo controllo verifica se un gateway Internet Amazon EC2 dispone di tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se il gateway Internet non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave tag e fallisce se il gateway Internet non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Nota

Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS

Correzione

Per aggiungere tag a un gateway Internet EC2, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.40] I gateway NAT EC2 devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::NatGateway

AWS Config regola: tagged-ec2-natgateway (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub
requiredTagKeys Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole StringList (massimo 6 articoli) 1—6 tasti tag che soddisfano i requisiti AWS . Nessun valore predefinito

Questo controllo verifica se un gateway NAT (Network Address Translation) di Amazon EC2 ha tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se il gateway NAT non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gateway NAT non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Nota

Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS

Correzione

Per aggiungere tag a un gateway NAT EC2, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.41] Gli ACL di rete EC2 devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::NetworkAcl

AWS Config regola: tagged-ec2-networkacl (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub
requiredTagKeys Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole StringList (massimo 6 articoli) 1—6 tasti tag che soddisfano i requisiti AWS . Nessun valore predefinito

Questo controllo verifica se una lista di controllo degli accessi alla rete di Amazon EC2 (Network ACL) contiene tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se l'ACL di rete non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'ACL di rete non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Nota

Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS

Correzione

Per aggiungere tag a un ACL di rete EC2, consulta Etichettare le risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.42] Le tabelle delle rotte EC2 devono essere etichettate

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::RouteTable

AWS Config regola: tagged-ec2-routetable (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub
requiredTagKeys Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole StringList (massimo 6 articoli) 1—6 tasti tag che soddisfano i requisiti AWS . Nessun valore predefinito

Questo controllo verifica se una tabella di routing di Amazon EC2 contiene tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se la tabella di routing non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la tabella delle rotte non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Nota

Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS

Correzione

Per aggiungere tag a una tabella di routing EC2, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.43] I gruppi di sicurezza EC2 devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::SecurityGroup

AWS Config regola: tagged-ec2-securitygroup (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub
requiredTagKeys Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole StringList (massimo 6 articoli) 1—6 tasti tag che soddisfano i requisiti AWS . Nessun valore predefinito

Questo controllo verifica se un gruppo di sicurezza Amazon EC2 dispone di tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se il gruppo di sicurezza non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gruppo di sicurezza non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Nota

Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS

Correzione

Per aggiungere tag a un gruppo di sicurezza EC2, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.44] Le sottoreti EC2 devono essere etichettate

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::Subnet

AWS Config regola: tagged-ec2-subnet (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub
requiredTagKeys Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole StringList (massimo 6 articoli) 1—6 tasti tag che soddisfano i requisiti AWS . Nessun valore predefinito

Questo controllo verifica se una sottorete Amazon EC2 dispone di tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se la sottorete non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la sottorete non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Nota

Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS

Correzione

Per aggiungere tag a una sottorete EC2, consulta Tagga le risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.45] I volumi EC2 devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::Volume

AWS Config regola: tagged-ec2-volume (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub
requiredTagKeys Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole StringList (massimo 6 articoli) 1—6 tasti tag che soddisfano i requisiti AWS . Nessun valore predefinito

Questo controllo verifica se un volume Amazon EC2 ha tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se il volume non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il volume non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Nota

Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS

Correzione

Per aggiungere tag a un volume EC2, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.46] I VPC Amazon devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::VPC

AWS Config regola: tagged-ec2-vpc (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub
requiredTagKeys Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole StringList (massimo 6 articoli) 1—6 tasti tag che soddisfano i requisiti AWS . Nessun valore predefinito

Questo controllo verifica se un Amazon Virtual Private Cloud (Amazon VPC) ha tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se Amazon VPC non dispone di chiavi di tag o se non dispone di tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se Amazon VPC non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Nota

Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS

Correzione

Per aggiungere tag a un VPC, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.47] I servizi endpoint Amazon VPC devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::VPCEndpointService

AWS Config regola: tagged-ec2-vpcendpointservice (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub
requiredTagKeys Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole StringList (massimo 6 articoli) 1—6 tasti tag che soddisfano i requisiti AWS . Nessun valore predefinito

Questo controllo verifica se un servizio endpoint Amazon VPC dispone di tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se il servizio endpoint non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il servizio endpoint non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Nota

Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS

Correzione

Per aggiungere tag a un servizio endpoint Amazon VPC, consulta Manage Tags nella sezione Configura un servizio endpoint della Guida.AWS PrivateLink

[EC2.48] I log di flusso di Amazon VPC devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::FlowLog

AWS Config regola: tagged-ec2-flowlog (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub
requiredTagKeys Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole StringList (massimo 6 articoli) 1—6 tasti tag che soddisfano i requisiti AWS . Nessun valore predefinito

Questo controllo verifica se un log di flusso Amazon VPC contiene tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se il log di flusso non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il log di flusso non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Nota

Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS

Correzione

Per aggiungere tag a un log di flusso di Amazon VPC, consulta Etichettare un log di flusso nella Amazon VPC User Guide.

[EC2.49] Le connessioni peering Amazon VPC devono essere etichettate

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::VPCPeeringConnection

AWS Config regola: tagged-ec2-vpcpeeringconnection (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub
requiredTagKeys Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole StringList (massimo 6 articoli) 1—6 tasti tag che soddisfano i requisiti AWS . Nessun valore predefinito

Questo controllo verifica se una connessione peering Amazon VPC ha tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se la connessione peering non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la connessione peering non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Nota

Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS

Correzione

Per aggiungere tag a una connessione peering Amazon VPC, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.50] I gateway VPN EC2 devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::VPNGateway

AWS Config regola: tagged-ec2-vpngateway (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub
requiredTagKeys Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole StringList (massimo 6 articoli) 1—6 tasti tag che soddisfano i requisiti AWS . Nessun valore predefinito

Questo controllo verifica se un gateway VPN Amazon EC2 dispone di tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se il gateway VPN non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave tag e fallisce se il gateway VPN non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Nota

Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS

Correzione

Per aggiungere tag a un gateway VPN EC2, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione della connessione client abilitata

Requisiti correlati: NIST.800-53.r5 AC-2 (12), NIST.800-53.r5 AC-2 (4), NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 AC-6 (9),, NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12 NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-6 (3) NIST.800-53.r5 AU-3, (4), NIST.800-53.r5 AU-6 (7), NIST.800-53.r5 AU-9 (9) NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 (8), (20), NIST.800-53.r5 SI-3 (8) NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4 NIST.800-171.r2 3.1.12, NIST.800-53.r5 SI-7 3.1.20, PCI DSS v4.0 NIST.800-171.r2 . 1/102.2.1

Categoria: Identificazione > Registrazione

Gravità: bassa

Tipo di risorsa: AWS::EC2::ClientVpnEndpoint

AWS Config regola: ec2-client-vpn-connection-log-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un AWS Client VPN endpoint ha abilitato la registrazione delle connessioni client. Il controllo fallisce se sull'endpoint non è abilitata la registrazione delle connessioni client.

Gli endpoint Client VPN consentono ai client remoti di connettersi in modo sicuro alle risorse in un Virtual Private Cloud (VPC) in. AWS I log di connessione consentono di tracciare l'attività degli utenti sull'endpoint VPN e forniscono visibilità. Quando attivi la registrazione delle connessioni, puoi specificare il nome di un flusso di log nel gruppo di log. Se non specifichi un flusso di log, il servizio Client VPN ne crea uno per te.

Correzione

Per abilitare la registrazione delle connessioni, consulta Abilitare la registrazione della connessione per un endpoint Client VPN esistente nella Guida per l'AWS Client VPN amministratore.

[EC2.52] I gateway di transito EC2 devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::TransitGateway

AWS Config regola: tagged-ec2-transitgateway (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub
requiredTagKeys Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole StringList (massimo 6 articoli) 1—6 tasti tag che soddisfano i requisiti AWS . No default value

Questo controllo verifica se un gateway di transito Amazon EC2 dispone di tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se il gateway di transito non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gateway di transito non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Nota

Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS

Correzione

Per aggiungere tag a un gateway di transito EC2, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.53] I gruppi di sicurezza EC2 non dovrebbero consentire l'ingresso da 0.0.0. 0/0 alle porte di amministrazione del server remoto

Requisiti correlati: CIS AWS Foundations Benchmark v5.0. 0/5.3, benchmark AWS CIS Foundations v3.0. 0/5.2, PCI DSS versione 4.0. 1/13.3.1

Categoria: Protezione > Configurazione di rete sicura > Configurazione del gruppo di sicurezza

Gravità: alta

Tipo di risorsa: AWS::EC2::SecurityGroup

Regola AWS Config : vpc-sg-port-restriction-check

Tipo di pianificazione: periodica

Parametri:

Parametro Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub

ipType

La versione IP

Stringa

Non personalizzabile

IPv4

restrictPorts

Elenco di porte che dovrebbero rifiutare il traffico in ingresso

IntegerList

Non personalizzabile

22,3389

Questo controllo verifica se un gruppo di sicurezza Amazon EC2 consente l'ingresso da 0.0.0. 0/0 alle porte di amministrazione remota del server (porte 22 e 3389). Il controllo fallisce se il gruppo di sicurezza consente l'ingresso da 0.0.0. 0/0 alla porta 22 o 3389.

I gruppi di sicurezza forniscono filtraggio stateful del traffico di rete in entrata e in uscita a risorse AWS . È consigliabile che nessun gruppo di sicurezza consenta l'accesso illimitato in ingresso alle porte di amministrazione remota del server, come SSH alla porta 22 e RDP alla porta 3389, utilizzando i protocolli TDP (6), UDP (17) o ALL (-1). Consentire l'accesso pubblico a queste porte aumenta la superficie di attacco delle risorse e il rischio di compromissione delle risorse.

Correzione

Per aggiornare una regola del gruppo di sicurezza EC2 per vietare il traffico in ingresso verso le porte specificate, consulta Update security group rules nella Amazon EC2 User Guide. Dopo aver selezionato un gruppo di sicurezza nella console Amazon EC2, scegli Azioni, Modifica regole in entrata. Rimuovi la regola che consente l'accesso alla porta 22 o alla porta 3389.

[EC2.54] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server

Requisiti correlati: CIS AWS Foundations Benchmark v5.0. 0/5.4, benchmark AWS CIS Foundations v3.0. 0/5.3, PCI DSS versione 4.0. 1/13.1.

Categoria: Protezione > Configurazione di rete sicura > Configurazione del gruppo di sicurezza

Gravità: alta

Tipo di risorsa: AWS::EC2::SecurityGroup

Regola AWS Config : vpc-sg-port-restriction-check

Tipo di pianificazione: periodica

Parametri:

Parametro Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub

ipType

La versione IP

Stringa

Non personalizzabile

IPv6

restrictPorts

Elenco di porte che dovrebbero rifiutare il traffico in ingresso

IntegerList

Non personalizzabile

22,3389

Questo controllo verifica se un gruppo di sicurezza Amazon EC2 consente l'accesso da: :/0 alle porte di amministrazione del server remoto (porte 22 e 3389). Il controllo fallisce se il gruppo di sicurezza consente l'ingresso da: :/0 alla porta 22 o 3389.

I gruppi di sicurezza forniscono filtraggio stateful del traffico di rete in entrata e in uscita a risorse AWS . È consigliabile che nessun gruppo di sicurezza consenta l'accesso illimitato in ingresso alle porte di amministrazione remota del server, come SSH alla porta 22 e RDP alla porta 3389, utilizzando i protocolli TDP (6), UDP (17) o ALL (-1). Consentire l'accesso pubblico a queste porte aumenta la superficie di attacco delle risorse e il rischio di compromissione delle risorse.

Correzione

Per aggiornare una regola del gruppo di sicurezza EC2 per vietare il traffico in ingresso verso le porte specificate, consulta Update security group rules nella Amazon EC2 User Guide. Dopo aver selezionato un gruppo di sicurezza nella console Amazon EC2, scegli Azioni, Modifica regole in entrata. Rimuovi la regola che consente l'accesso alla porta 22 o alla porta 3389.

[EC2.55] I VPC devono essere configurati con un endpoint di interfaccia per l'API ECR

Requisiti correlati: NIST.800-53.r5 AC-21 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-7

Categoria: Protezione > Gestione sicura degli accessi > Controllo degli accessi

Gravità: media

Tipo di risorsa:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

Regola AWS Config : vpc-endpoint-enabled

Tipo di pianificazione: periodica

Parametri:

Parametro Obbligatorio Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub
serviceNames Richiesto Il nome del servizio valutato dal controllo Stringa Non personalizzabile ecr.api
vpcIds Facoltativo Comma-separated elenco di ID Amazon VPC per endpoint VPC. Se fornito, il controllo fallisce se i servizi specificati nel serviceName parametro non dispongono di uno di questi endpoint VPC. StringList Personalizza con uno o più ID VPC Nessun valore predefinito

Questo controllo verifica se un cloud privato virtuale (VPC) che gestisci dispone di un endpoint VPC di interfaccia per l'API Amazon ECR. Il controllo fallisce se il VPC non dispone di un endpoint VPC di interfaccia per l'API ECR. Questo controllo valuta le risorse in un singolo account.

AWS PrivateLink consente ai clienti di accedere ai servizi ospitati AWS in modo altamente disponibile e scalabile, mantenendo tutto il traffico di rete all'interno della AWS rete. Gli utenti del servizio possono accedere in modo privato ai servizi forniti PrivateLink dal proprio VPC o dall'ambiente locale, senza utilizzare IP pubblici e senza richiedere che il traffico attraversi su Internet.

Correzione

Per configurare un endpoint VPC, consulta Accedere e Servizio AWS utilizzare un endpoint VPC di interfaccia nella Guida.AWS PrivateLink

[EC2.56] I VPC devono essere configurati con un endpoint di interfaccia per Docker Registry

Requisiti correlati: NIST.800-53.r5 AC-21 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-7

Categoria: Protezione > Gestione sicura degli accessi > Controllo degli accessi

Gravità: media

Tipo di risorsa:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

Regola AWS Config : vpc-endpoint-enabled

Tipo di pianificazione: periodica

Parametri:

Parametro Obbligatorio Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub
serviceNames Richiesto Il nome del servizio valutato dal controllo Stringa Non personalizzabile ecr.dkr
vpcIds Facoltativo Comma-separated elenco di ID Amazon VPC per endpoint VPC. Se fornito, il controllo fallisce se i servizi specificati nel serviceName parametro non dispongono di uno di questi endpoint VPC. StringList Personalizza con uno o più ID VPC Nessun valore predefinito

Questo controllo verifica se un cloud privato virtuale (VPC) che gestisci ha un endpoint VPC di interfaccia per Docker Registry. Il controllo fallisce se il VPC non dispone di un endpoint VPC di interfaccia per Docker Registry. Questo controllo valuta le risorse in un singolo account.

AWS PrivateLink consente ai clienti di accedere ai servizi ospitati AWS in modo altamente disponibile e scalabile, mantenendo tutto il traffico di rete all'interno della AWS rete. Gli utenti del servizio possono accedere in modo privato ai servizi forniti PrivateLink dal proprio VPC o dall'ambiente locale, senza utilizzare IP pubblici e senza richiedere che il traffico attraversi su Internet.

Correzione

Per configurare un endpoint VPC, consulta Accedere e Servizio AWS utilizzare un endpoint VPC di interfaccia nella Guida.AWS PrivateLink

[EC2.57] I VPC devono essere configurati con un endpoint di interfaccia per Systems Manager

Requisiti correlati: NIST.800-53.r5 AC-21 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Categoria: Protezione > Gestione sicura degli accessi > Controllo degli accessi

Gravità: media

Tipo di risorsa:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

Regola AWS Config : vpc-endpoint-enabled

Tipo di pianificazione: periodica

Parametri:

Parametro Obbligatorio Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub
serviceNames Richiesto Il nome del servizio valutato dal controllo Stringa Non personalizzabile ssm
vpcIds Facoltativo Comma-separated elenco di ID Amazon VPC per endpoint VPC. Se fornito, il controllo fallisce se i servizi specificati nel serviceName parametro non dispongono di uno di questi endpoint VPC. StringList Personalizza con uno o più ID VPC Nessun valore predefinito

Questo controllo verifica se un cloud privato virtuale (VPC) che gestisci dispone di un'interfaccia per un endpoint VPC. AWS Systems Manager Il controllo fallisce se il VPC non dispone di un endpoint VPC di interfaccia per Systems Manager. Questo controllo valuta le risorse in un singolo account.

AWS PrivateLink consente ai clienti di accedere ai servizi ospitati AWS in modo altamente disponibile e scalabile, mantenendo tutto il traffico di rete all'interno della AWS rete. Gli utenti del servizio possono accedere in modo privato ai servizi forniti PrivateLink dal proprio VPC o dall'ambiente locale, senza utilizzare IP pubblici e senza richiedere che il traffico attraversi su Internet.

Correzione

Per configurare un endpoint VPC, consulta Accedere e Servizio AWS utilizzare un endpoint VPC di interfaccia nella Guida.AWS PrivateLink

[EC2.58] I VPC devono essere configurati con un endpoint di interfaccia per Systems Manager Incident Manager Contacts

Requisiti correlati: NIST.800-53.r5 AC-21 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Categoria: Protezione > Gestione sicura degli accessi > Controllo degli accessi

Gravità: media

Tipo di risorsa:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

Regola AWS Config : vpc-endpoint-enabled

Tipo di pianificazione: periodica

Parametri:

Parametro Obbligatorio Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub
serviceNames Richiesto Il nome del servizio valutato dal controllo Stringa Non personalizzabile ssm-contacts
vpcIds Facoltativo Comma-separated elenco di ID Amazon VPC per endpoint VPC. Se fornito, il controllo fallisce se i servizi specificati nel serviceName parametro non dispongono di uno di questi endpoint VPC. StringList Personalizza con uno o più ID VPC Nessun valore predefinito

Questo controllo verifica se un cloud privato virtuale (VPC) che gestisci dispone di un endpoint VPC di interfaccia per Incident Manager Contacts. AWS Systems Manager Il controllo fallisce se il VPC non dispone di un endpoint VPC di interfaccia per Systems Manager Incident Manager Contacts. Questo controllo valuta le risorse in un singolo account.

AWS PrivateLink consente ai clienti di accedere ai servizi ospitati AWS in modo altamente disponibile e scalabile, mantenendo tutto il traffico di rete all'interno della AWS rete. Gli utenti del servizio possono accedere in modo privato ai servizi forniti PrivateLink dal proprio VPC o dall'ambiente locale, senza utilizzare IP pubblici e senza richiedere che il traffico attraversi su Internet.

Correzione

Per configurare un endpoint VPC, consulta Accedere e Servizio AWS utilizzare un endpoint VPC di interfaccia nella Guida.AWS PrivateLink

[EC2.60] I VPC devono essere configurati con un endpoint di interfaccia per Systems Manager Incident Manager

Requisiti correlati: NIST.800-53.r5 AC-21 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Categoria: Protezione > Gestione sicura degli accessi > Controllo degli accessi

Gravità: media

Tipo di risorsa:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

Regola AWS Config : vpc-endpoint-enabled

Tipo di pianificazione: periodica

Parametri:

Parametro Obbligatorio Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub
serviceNames Richiesto Il nome del servizio valutato dal controllo Stringa Non personalizzabile ssm-incidents
vpcIds Facoltativo Comma-separated elenco di ID Amazon VPC per endpoint VPC. Se fornito, il controllo fallisce se i servizi specificati nel serviceName parametro non dispongono di uno di questi endpoint VPC. StringList Personalizza con uno o più ID VPC Nessun valore predefinito

Questo controllo verifica se un cloud privato virtuale (VPC) che gestisci ha un'interfaccia VPC endpoint per Incident Manager. AWS Systems Manager Il controllo fallisce se il VPC non dispone di un endpoint VPC di interfaccia per Systems Manager Incident Manager. Questo controllo valuta le risorse in un singolo account.

AWS PrivateLink consente ai clienti di accedere ai servizi ospitati AWS in modo altamente disponibile e scalabile, mantenendo tutto il traffico di rete all'interno della AWS rete. Gli utenti del servizio possono accedere in modo privato ai servizi forniti PrivateLink dal proprio VPC o dall'ambiente locale, senza utilizzare IP pubblici e senza richiedere che il traffico attraversi su Internet.

Correzione

Per configurare un endpoint VPC, consulta Accedere e Servizio AWS utilizzare un endpoint VPC di interfaccia nella Guida.AWS PrivateLink

[EC2.170] I modelli di avvio EC2 devono utilizzare Instance Metadata Service Version 2 (IMDSv2)

Requisiti correlati: PCI DSS v4.0. 1/22.2.6

Categoria: Proteggi > Sicurezza di rete

Gravità: bassa

Tipo di risorsa: AWS::EC2::LaunchTemplate

Regola AWS Config : ec2-launch-template-imdsv2-check

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un modello di lancio di Amazon EC2 è configurato con Instance Metadata Service Version 2 (IMDSv2). Il controllo fallisce se è impostato su. HttpTokens optional

L'esecuzione delle risorse sulle versioni software supportate garantisce prestazioni ottimali, sicurezza e accesso alle funzionalità più recenti. Gli aggiornamenti regolari proteggono dalle vulnerabilità, il che aiuta a garantire un'esperienza utente stabile ed efficiente.

Correzione

Per richiedere IMDSv2 su un modello di lancio EC2, consulta Configura le opzioni del servizio di metadati dell'istanza nella Amazon EC2 User Guide.

[EC2.171] Le connessioni VPN EC2 devono avere la registrazione abilitata

Requisiti correlati: CIS AWS Foundations Benchmark v3.0. 0/5.3, PCI DSS versione 4.0. 1/104.4.2

Categoria: Identificazione > Registrazione

Gravità: media

Tipo di risorsa: AWS::EC2::VPNConnection

Regola AWS Config : ec2-vpn-connection-logging-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se una connessione AWS Site-to-Site VPN ha Amazon CloudWatch Logs abilitato per entrambi i tunnel. Il controllo fallisce se una connessione Site-to-Site VPN non ha CloudWatch i log abilitati per entrambi i tunnel.

AWS Site-to-Site I log VPN ti offrono una visibilità più approfondita sulle tue Site-to-Site implementazioni VPN. Con questa funzionalità, hai accesso ai registri delle connessioni Site-to-Site VPN che forniscono dettagli sulla creazione del tunnel IP Security (IPSec), sulle negoziazioni IKE (Internet Key Exchange) e sui messaggi del protocollo Dead Peer Detection (DPD). Site-to-Site I log VPN possono essere pubblicati in Logs. CloudWatch Questa funzionalità offre ai clienti un unico modo coerente per accedere e analizzare i log dettagliati di tutte le loro Site-to-Site connessioni VPN.

Correzione

Per abilitare la registrazione del tunnel su una connessione VPN EC2, consulta i log AWS Site-to-Site VPN nella Guida per l'utente della AWS Site-to-Site VPN.

[EC2.172] Le impostazioni VPC Block Public Access di EC2 dovrebbero bloccare il traffico del gateway Internet

Categoria: Protezione > Configurazione sicura della rete > Risorse non accessibili al pubblico

Gravità: media

Tipo di risorsa: AWS::EC2::VPCBlockPublicAccessOptions

AWS Config regola: ec2-vpc-bpa-internet-gateway-blocked (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub

vpcBpaInternetGatewayBlockMode

Valore stringa della modalità opzioni VPC BPA.

Enum

block-bidirectional, block-ingress

Nessun valore predefinito

Questo controllo verifica se le impostazioni di Amazon EC2 VPC Block Public Access (BPA) sono configurate per bloccare il traffico del gateway Internet per tutti i VPC Amazon nel. Account AWS Il controllo fallisce se le impostazioni VPC BPA non sono configurate per bloccare il traffico del gateway Internet. Affinché il controllo passi, il VPC BPA InternetGatewayBlockMode deve essere impostato su o. block-bidirectional block-ingress Se vpcBpaInternetGatewayBlockMode viene fornito il parametro, il controllo passa solo se il valore VPC BPA per InternetGatewayBlockMode corrisponde al parametro.

La configurazione delle impostazioni VPC BPA per il tuo account in Regione AWS an ti consente di impedire alle risorse in VPC e sottoreti di tua proprietà in quella regione di raggiungere o essere raggiunte da Internet tramite gateway Internet e gateway Internet solo in uscita. Se hai bisogno di VPC e sottoreti specifici per poter raggiungere o essere raggiungibile da Internet, puoi escluderli configurando le esclusioni VPC BPA. Per istruzioni su come creare ed eliminare esclusioni, consulta Creare ed eliminare esclusioni nella Amazon VPC User Guide.

Correzione

Per abilitare il BPA bidirezionale a livello di account, consulta Abilita la modalità bidirezionale BPA per il tuo account nella Amazon VPC User Guide. Per abilitare il BPA solo in ingresso, consulta Modificare la modalità VPC BPA in solo ingresso. Per abilitare VPC BPA a livello di organizzazione, consulta Abilitare VPC BPA a livello di organizzazione.

[EC2.173] Le richieste EC2 Spot Fleet con parametri di avvio dovrebbero abilitare la crittografia per i volumi EBS collegati

Categoria: Protezione > Protezione dei dati > Crittografia dei dati archiviati

Gravità: media

Tipo di risorsa: AWS::EC2::SpotFleet

Regola AWS Config : ec2-spot-fleet-request-ct-encryption-at-rest

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se una richiesta Amazon EC2 Spot Fleet che specifica i parametri di avvio è configurata per abilitare la crittografia per tutti i volumi Amazon Elastic Block Store (Amazon EBS) collegati alle istanze EC2. Il controllo fallisce se la richiesta Spot Fleet specifica i parametri di avvio e non abilita la crittografia per uno o più volumi EBS specificati nella richiesta.

Per un ulteriore livello di sicurezza, è necessario abilitare la crittografia per i volumi Amazon EBS. Le operazioni di crittografia vengono quindi eseguite sui server che ospitano le istanze Amazon EC2, il che aiuta a garantire la sicurezza sia dei dati inattivi che dei dati in transito tra un'istanza e lo storage EBS collegato. La crittografia Amazon EBS è una soluzione di crittografia semplice per le risorse EBS associate alle istanze EC2. Con la crittografia EBS, non è necessario creare, mantenere e proteggere la propria infrastruttura di gestione delle chiavi. La crittografia EBS viene utilizzata AWS KMS keys durante la creazione di volumi crittografati.

Note

Questo controllo non genera risultati per le richieste di Amazon EC2 Spot Fleet che utilizzano modelli di lancio. Inoltre, non genera risultati per le richieste Spot Fleet che non specificano esplicitamente un valore per il encrypted parametro.

Correzione

Non esiste un modo diretto per crittografare un volume Amazon EBS esistente e non crittografato. Puoi crittografare un nuovo volume solo quando lo crei.

Tuttavia, se abiliti la crittografia per impostazione predefinita, Amazon EBS crittografa i nuovi volumi utilizzando la tua chiave predefinita per la crittografia EBS. Se non abiliti la crittografia per impostazione predefinita, puoi abilitarla quando crei un singolo volume. In entrambi i casi, puoi sostituire la chiave predefinita per la crittografia EBS e scegliere una chiave gestita dal cliente. AWS KMS key Per ulteriori informazioni sulla crittografia EBS, consulta Amazon EBS encryption nella Amazon EBS User Guide.

Per informazioni sulla creazione di una richiesta Amazon EC2 Spot Fleet, consulta Create a Spot Fleet nella Amazon Elastic Compute Cloud User Guide.

[EC2.174] I set di opzioni DHCP EC2 devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::DHCPOptions

Regola AWS Config : ec2-dhcp-options-tagged

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub
requiredKeyTags Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole StringList (massimo 6 articoli) 1—6 tasti tag che soddisfano i requisiti AWS . Nessun valore predefinito

Questo controllo verifica se un set di opzioni DHCP di Amazon EC2 ha le chiavi dei tag specificate dal parametro. requiredKeyTags Il controllo fallisce se il set di opzioni non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal requiredKeyTags parametro. Se non specificate alcun valore per il requiredKeyTags parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'insieme di opzioni non contiene chiavi di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il aws: prefisso.

Un tag è un'etichetta che si crea e si assegna a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag facoltativo. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. Per ulteriori informazioni sulle strategie ABAC, consulta Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC nella IAM User Guide. Per ulteriori informazioni sui tag, consulta la Guida per l'utente di Tagging AWS Resources and Tag Editor.

Nota

Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.

Correzione

Per informazioni sull'aggiunta di tag a un set di opzioni DHCP di Amazon EC2, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.175] I modelli di lancio di EC2 devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::LaunchTemplate

Regola AWS Config : ec2-launch-template-tagged

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub
requiredKeyTags Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole StringList (massimo 6 articoli) 1—6 tasti tag che soddisfano i requisiti AWS . Nessun valore predefinito

Questo controllo verifica se un modello di lancio di Amazon EC2 ha le chiavi dei tag specificate dal requiredKeyTags parametro. Il controllo fallisce se il modello di lancio non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal requiredKeyTags parametro. Se non specificate alcun valore per il requiredKeyTags parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il modello di avvio non ha alcuna chiave di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il aws: prefisso.

Un tag è un'etichetta che si crea e si assegna a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag facoltativo. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. Per ulteriori informazioni sulle strategie ABAC, consulta Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC nella IAM User Guide. Per ulteriori informazioni sui tag, consulta la Guida per l'utente di Tagging AWS Resources and Tag Editor.

Nota

Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.

Correzione

Per informazioni sull'aggiunta di tag a un modello di lancio di Amazon EC2, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.176] Gli elenchi di prefissi EC2 devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::PrefixList

Regola AWS Config : ec2-prefix-list-tagged

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub
requiredKeyTags Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole StringList (massimo 6 articoli) 1—6 tasti tag che soddisfano i requisiti AWS . Nessun valore predefinito

Questo controllo verifica se un elenco di prefissi Amazon EC2 contiene le chiavi dei tag specificate dal parametro. requiredKeyTags Il controllo ha esito negativo se l'elenco dei prefissi non contiene alcuna chiave di tag o non contiene tutte le chiavi specificate dal parametro. requiredKeyTags Se non specificate alcun valore per il requiredKeyTags parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'elenco dei prefissi non contiene chiavi di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il aws: prefisso.

Un tag è un'etichetta che si crea e si assegna a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag facoltativo. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. Per ulteriori informazioni sulle strategie ABAC, consulta Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC nella IAM User Guide. Per ulteriori informazioni sui tag, consulta la Guida per l'utente di Tagging AWS Resources and Tag Editor.

Nota

Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.

Correzione

Per informazioni sull'aggiunta di tag a un elenco di prefissi Amazon EC2, consulta Tagga le risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.177] Le sessioni Traffic Mirror di EC2 devono essere etichettate

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::TrafficMirrorSession

Regola AWS Config : ec2-traffic-mirror-session-tagged

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub
requiredKeyTags Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole StringList (massimo 6 articoli) 1—6 tasti tag che soddisfano i requisiti AWS . Nessun valore predefinito

Questo controllo verifica se una sessione di Traffic Mirror di Amazon EC2 ha le chiavi dei tag specificate dal requiredKeyTags parametro. Il controllo fallisce se la sessione non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal requiredKeyTags parametro. Se non specificate alcun valore per il requiredKeyTags parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la sessione non ha alcuna chiave di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il aws: prefisso.

Un tag è un'etichetta che si crea e si assegna a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag facoltativo. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. Per ulteriori informazioni sulle strategie ABAC, consulta Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC nella IAM User Guide. Per ulteriori informazioni sui tag, consulta la Guida per l'utente di Tagging AWS Resources and Tag Editor.

Nota

Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.

Correzione

Per informazioni sull'aggiunta di tag a una sessione di Traffic Mirror di Amazon EC2, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.178] I filtri Traffic Mirror EC2 devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::TrafficMirrorFilter

Regola AWS Config : ec2-traffic-mirror-filter-tagged

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub
requiredKeyTags Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole StringList (massimo 6 articoli) 1—6 tasti tag che soddisfano i requisiti AWS . Nessun valore predefinito

Questo controllo verifica se un filtro Traffic Mirror di Amazon EC2 ha le chiavi dei tag specificate dal requiredKeyTags parametro. Il controllo fallisce se il filtro non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal requiredKeyTags parametro. Se non specificate alcun valore per il requiredKeyTags parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il filtro non ha alcuna chiave di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il aws: prefisso.

Un tag è un'etichetta che si crea e si assegna a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag facoltativo. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. Per ulteriori informazioni sulle strategie ABAC, consulta Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC nella IAM User Guide. Per ulteriori informazioni sui tag, consulta la Guida per l'utente di Tagging AWS Resources and Tag Editor.

Nota

Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.

Correzione

Per informazioni sull'aggiunta di tag a un filtro Traffic Mirror di Amazon EC2, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::TrafficMirrorTarget

Regola AWS Config : ec2-traffic-mirror-target-tagged

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub
requiredKeyTags Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole StringList (massimo 6 articoli) 1—6 tasti tag che soddisfano i requisiti AWS . Nessun valore predefinito

Questo controllo verifica se un target del Traffic Mirror di Amazon EC2 ha le chiavi dei tag specificate dal requiredKeyTags parametro. Il controllo fallisce se la destinazione non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal requiredKeyTags parametro. Se non specificate alcun valore per il requiredKeyTags parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la destinazione non dispone di chiavi di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il aws: prefisso.

Un tag è un'etichetta che si crea e si assegna a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag facoltativo. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. Per ulteriori informazioni sulle strategie ABAC, consulta Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC nella IAM User Guide. Per ulteriori informazioni sui tag, consulta la Guida per l'utente di Tagging AWS Resources and Tag Editor.

Nota

Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.

Correzione

Per informazioni sull'aggiunta di tag a un target di traffico mirror di Amazon EC2, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

[EC2.180] Le interfacce di rete EC2 dovrebbero avere il controllo abilitato source/destination

Categoria: Proteggi > Sicurezza di rete

Gravità: media

Tipo di risorsa: AWS::EC2::NetworkInterface

Regola AWS Config : ec2-enis-source-destination-check-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se il source/destination controllo è abilitato per un'interfaccia di rete elastica (ENI) di Amazon EC2 gestita dagli utenti. Il controllo fallisce se il source/destination controllo è disabilitato per l'ENI gestito dall'utente. Questo controllo verifica solo i seguenti tipi di ENI:aws_codestar_connections_managed,,branch, efa interfacelambda, e. quicksight

Source/destination il controllo delle istanze Amazon EC2 e degli ENI collegati deve essere abilitato e configurato in modo coerente su tutte le istanze EC2. Ogni ENI ha le proprie impostazioni per i controlli. source/destination Se il source/destination controllo è abilitato, Amazon EC2 applica la convalida degli source/destination indirizzi, che garantisce che un'istanza sia l'origine o la destinazione di tutto il traffico che riceve. Ciò fornisce un ulteriore livello di sicurezza della rete impedendo alle risorse di gestire traffico involontario e prevenendo lo spoofing degli indirizzi IP.

Nota

Se utilizzi un'istanza EC2 come istanza NAT e hai disabilitato il source/destination controllo dell'ENI, puoi invece utilizzare un gateway NAT.

Correzione

Per informazioni sull'abilitazione source/destination dei controlli per un Amazon EC2 ENI, consulta Modificare gli attributi dell'interfaccia di rete nella Amazon EC2 User Guide.

[EC2.181] I modelli di lancio EC2 dovrebbero abilitare la crittografia per i volumi EBS collegati

Categoria: Proteggi > Protezione dei dati > Crittografia dei dati archiviati

Gravità: media

Tipo di risorsa: AWS::EC2::LaunchTemplate

Regola AWS Config : ec2-launch-templates-ebs-volume-encrypted

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un modello di lancio di Amazon EC2 abilita la crittografia per tutti i volumi EBS collegati. Il controllo fallisce se il parametro di crittografia è impostato su qualsiasi volume EBS specificato dal modello di lancio EC2. False

La crittografia Amazon EBS è una soluzione di crittografia semplice per le risorse EBS associate alle istanze Amazon EC2. Con la crittografia EBS, non è necessario creare, mantenere e proteggere la propria infrastruttura di gestione delle chiavi. La crittografia EBS AWS KMS keys viene utilizzata durante la creazione di volumi e istantanee crittografati. Le operazioni di crittografia avvengono sui server che ospitano le istanze EC2, il che aiuta a garantire la sicurezza dei dati inattivi e dei dati in transito tra un'istanza EC2 e lo storage EBS collegato. Per ulteriori informazioni, consulta Crittografia Amazon EBS nella Guida per l'utente di Amazon EBS.

Puoi abilitare la crittografia EBS durante gli avvii manuali di singole istanze EC2. Tuttavia, ci sono diversi vantaggi nell'utilizzare i modelli di avvio EC2 e nella configurazione delle impostazioni di crittografia in tali modelli. È possibile applicare la crittografia come standard e garantire l'uso di impostazioni di crittografia coerenti. È inoltre possibile ridurre il rischio di errori e lacune di sicurezza che potrebbero verificarsi con l'avvio manuale delle istanze.

Nota

Quando questo controllo verifica un modello di avvio EC2, valuta solo le impostazioni di crittografia EBS specificate esplicitamente dal modello. La valutazione non include le impostazioni di crittografia ereditate dalle impostazioni di crittografia EBS a livello di account, dalle mappature dei dispositivi a blocchi AMI o dagli stati di crittografia degli snapshot di origine.

Correzione

Dopo aver creato un modello di lancio di Amazon EC2, non puoi modificarlo. Tuttavia, puoi creare una nuova versione di un modello di lancio e modificare le impostazioni di crittografia in quella nuova versione del modello. Puoi anche specificare la nuova versione come versione predefinita del modello di lancio. Quindi, se avvii un'istanza EC2 da un modello di avvio e non specifichi una versione del modello, EC2 utilizza le impostazioni della versione predefinita quando avvia l'istanza. Per ulteriori informazioni, consulta Modificare un modello di lancio nella Amazon EC2 User Guide.

[EC2.182] Le impostazioni di blocco dell'accesso pubblico devono essere abilitate per gli snapshot di Amazon EBS

Categoria: Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico

Gravità: alta

Tipo di risorsa: AWS::EC2::SnapshotBlockPublicAccess

Regola AWS Config : ebs-snapshot-block-public-access

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se il blocco dell'accesso pubblico a livello di account è abilitato per impedire la condivisione degli snapshot di Amazon EBS con tutti. Il controllo fallisce se il blocco dell'accesso pubblico non è abilitato per bloccare la condivisione degli snapshot di Amazon EBS con tutti.

Per impedire la condivisione pubblica degli snapshot di Amazon EBS, puoi abilitare l'accesso pubblico a blocchi per gli snapshot. Una volta abilitato l'accesso pubblico a blocchi per le istantanee in una regione, qualsiasi tentativo di condividere pubblicamente le istantanee in quella regione viene automaticamente bloccato. Questo aiuta a migliorare la sicurezza delle istantanee e a proteggere i dati delle istantanee da accessi non autorizzati o non intenzionali.

Correzione

Per abilitare l'accesso pubblico a blocchi per gli snapshot, consulta Configurare l'accesso pubblico a blocchi per gli snapshot di Amazon EBS nella Amazon EBS User Guide. Per Blocca l'accesso pubblico, scegli Blocca tutti gli accessi pubblici.

[EC2.183] Le connessioni VPN EC2 devono utilizzare il protocollo IKEv2

Categoria: Protezione > Protezione dei dati > Crittografia dei dati in transito

Gravità: media

Tipo di risorsa: AWS::EC2::VPNConnection

Regola AWS Config : ec2-vpn-connection-ike-version-check

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se una connessione AWS Site-to-Site VPN è configurata per utilizzare il protocollo IKEv2. Il controllo fallisce se una connessione Site-to-Site VPN consente il protocollo IKEv1 o non si limita esplicitamente a IKEv2 su tutti i tunnel VPN.

IKEv2 offre algoritmi crittografici più potenti e funzionalità di sicurezza migliorate rispetto al protocollo IKEv1 precedente, inclusa una protezione integrata contro gli attacchi di tipo denial-of-service e meccanismi di autenticazione avanzati. IKEv1 presenta vulnerabilità e punti deboli noti nel processo di scambio delle chiavi che possono essere sfruttati dagli aggressori per compromettere la sicurezza del tunnel VPN. Rafforzando IKEv2-only le connessioni, riduci la superficie di attacco e garantisci che le comunicazioni VPN utilizzino protocolli di crittografia moderni e standard del settore che proteggono meglio i dati in transito.

Correzione

Per aggiornare la versione IKE per un tunnel VPN su una connessione VPN EC2, consulta Modificare le opzioni del tunnel VPN nella Guida per l'utente AWS Site-to-Site VPN.AWS Site-to-Site