Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Istituto nazionale di standard e tecnologia (NIST) SP 800-53 Rev. 5
NIST SP 800-53 Rev. 5 è un framework di sicurezza informatica e conformità sviluppato dal National Institute of Standards and Technology (NIST), un'agenzia che fa parte del Dipartimento del Commercio degli Stati Uniti. Questo framework di conformità consente di proteggere la disponibilità, la riservatezza e l'integrità dei sistemi informativi e delle risorse critiche. Le agenzie e gli appaltatori del governo federale degli Stati Uniti devono conformarsi al NIST SP 800-53 per proteggere i propri sistemi, ma le aziende private possono utilizzarlo volontariamente come quadro guida per ridurre i rischi di sicurezza informatica.
Security Hub fornisce controlli che supportano determinati requisiti NIST SP 800-53. Questi controlli vengono valutati tramite controlli di sicurezza automatizzati. I controlli Security Hub non supportano i requisiti NIST SP 800-53 che richiedono controlli manuali. Inoltre, i controlli Security Hub supportano solo i requisiti automatizzati NIST SP 800-53, elencati come Requisiti correlati nei dettagli di ciascun controllo. Scegli un controllo dal seguente elenco per visualizzarne i dettagli. I requisiti correlati non menzionati nei dettagli di controllo non sono attualmente supportati da Security Hub.
A differenza di altri framework, NIST SP 800-53 non è prescrittivo su come valutare i suoi requisiti. Invece, il framework fornisce linee guida e i controlli Security Hub NIST SP 800-53 ne rappresentano la comprensione da parte del servizio.
Se utilizzi l'integrazione di Security Hub con AWS Organizations per gestire centralmente più account e desideri abilitare in batch NIST SP 800-53 su tutti, puoi eseguire uno script multi-account di Security Hub dall'account amministratore
Controlli che si applicano a NIST SP 800-53 Rev. 5
[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS
[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations
[ApiGateway.3] Le fasi API REST API Gateway dovrebbero avere la traccia abilitata AWS X-Ray
[ApiGateway.4] L'API Gateway deve essere associato a un ACL Web WAF
[ApiGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione
[ApiGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages
[AppSync.5] Le API AWS AppSync GraphQL non devono essere autenticate con chiavi API
[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità
[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
[CloudFront.6] CloudFront le distribuzioni devono avere WAF abilitato
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata
[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata
[CloudTrail.5] i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch
[CloudWatch.15] gli CloudWatch allarmi devono avere azioni specificate configurate
[CloudWatch.17] le azioni di CloudWatch allarme devono essere attivate
[CodeBuild.3] I log CodeBuild S3 devono essere crittografati
[CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config
[DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche
[DMS.9] Gli endpoint DMS devono utilizzare SSL
[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato
[DMS.12] Gli endpoint DMS per Redis devono avere TLS abilitato
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
[DynamoDB.1] Le tabelle DynamoDB dovrebbero scalare automaticamente la capacità in base alla domanda
[DynamoDB.2] Le tabelle DynamoDB dovrebbero avere il ripristino abilitato point-in-time
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup
[DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
[EC2.1] Gli snapshot di Amazon EBS non devono essere ripristinabili pubblicamente
[EC2.3] I volumi Amazon EBS collegati devono essere crittografati a riposo
[EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato
[EC2.6] La registrazione del flusso VPC deve essere abilitata in tutti i VPC
[EC2.7] La crittografia predefinita di EBS deve essere abilitata
[EC2.8] Le istanze EC2 devono utilizzare Instance Metadata Service Version 2 (IMDSv2)
[EC2.9] Le istanze Amazon EC2 non devono avere un indirizzo IPv4 pubblico
[EC2.12] Gli EIP Amazon EC2 non utilizzati devono essere rimossi
[EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22
[EC2.15] Le sottoreti Amazon EC2 non devono assegnare automaticamente indirizzi IP pubblici
[EC2.16] Le liste di controllo degli accessi alla rete non utilizzate devono essere rimosse
[EC2.17] Le istanze Amazon EC2 non devono utilizzare più ENI
[EC2.19] I gruppi di sicurezza non devono consentire l'accesso illimitato alle porte ad alto rischio
[EC2.20] Entrambi i tunnel VPN per una connessione VPN da sito a sito devono essere AWS attivi
[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati
[EC2.25] I modelli di lancio di Amazon EC2 non devono assegnare IP pubblici alle interfacce di rete
[EC2.28] I volumi EBS devono essere coperti da un piano di backup
[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata
[ECR.2] I repository privati ECR devono avere l'immutabilità dei tag configurata
[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata
[ECS.2] Ai servizi ECS non devono essere assegnati automaticamente indirizzi IP pubblici
[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati
[ECS.5] I contenitori ECS devono essere limitati all'accesso in sola lettura ai filesystem root
[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore
[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione
[ECS.12] I cluster ECS devono utilizzare Container Insights
[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup
[EFS.3] I punti di accesso EFS devono applicare una directory principale
[EFS.4] I punti di accesso EFS devono applicare un'identità utente
[EFS.6] I target di montaggio EFS non devono essere associati a una sottorete pubblica
[EKS.1] Gli endpoint del cluster EKS non dovrebbero essere accessibili al pubblico
[EKS.2] I cluster EKS devono essere eseguiti su una versione di Kubernetes supportata
[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati
[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata
[ElastiCache.1] I cluster ElastiCache Redis devono avere il backup automatico abilitato
[ElastiCache.4] ElastiCache per i gruppi di replica Redis deve essere crittografato a riposo
[ElastiCache.5] ElastiCache per i gruppi di replica Redis devono essere crittografati in transito
[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito
[ELB.3] I listener Classic Load Balancer devono essere configurati con terminazione HTTPS o TLS
[ELB.4] L'Application Load Balancer deve essere configurato per eliminare le intestazioni http
[ELB.7] I Classic Load Balancer devono avere il drenaggio della connessione abilitato
[ELB.9] I Classic Load Balancer devono avere il bilanciamento del carico tra zone abilitato
[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità
[ELB.16] Gli Application Load Balancer devono essere associati a un ACL web AWS WAF
[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici
[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata
[ES.1] I domini Elasticsearch devono avere la crittografia a riposo abilitata
[ES.2] I domini Elasticsearch non devono essere accessibili al pubblico
[ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi
[ES.5] I domini Elasticsearch devono avere la registrazione di controllo abilitata
[ES.6] I domini Elasticsearch devono avere almeno tre nodi di dati
[ES.7] I domini Elasticsearch devono essere configurati con almeno tre nodi master dedicati
[EventBridge.4] gli endpoint EventBridge globali dovrebbero avere la replica degli eventi abilitata
[FSx.1] I file system FSx per OpenZFS devono essere configurati per copiare i tag su backup e volumi
[FSX.2] I file system FSx for Lustre devono essere configurati per copiare i tag nei backup
[GuardDuty.1] GuardDuty dovrebbe essere abilitato
[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «*» completi
[IAM.2] Gli utenti IAM non devono avere policy IAM allegate
[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno
[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere
[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root
[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse
[IAM.9] L'MFA deve essere abilitata per l'utente root
[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM
[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi
[KMS.3] AWS KMS keys non deve essere eliminato involontariamente
[KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS
[Lambda.1] Le politiche delle funzioni Lambda dovrebbero vietare l'accesso pubblico
[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati
[Lambda.3] Le funzioni Lambda devono trovarsi in un VPC
[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità
[Macie.1] Amazon Macie dovrebbe essere abilitato
[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato
[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker
[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato
[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch
[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione attiva/standby
[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster
[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo
[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch
[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata
[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati
[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive
[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata
[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee
[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità
[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata
[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato
[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto
[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata
I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata
I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico
I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi
I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata
I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati
I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato
Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software
I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati
L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata
[RDS.1] L'istantanea RDS deve essere privata
[RDS.3] Le istanze database RDS devono avere la crittografia dei dati inattivi abilitata
[RDS.5] Le istanze DB RDS devono essere configurate con più zone di disponibilità
[RDS.6] Il monitoraggio avanzato deve essere configurato per le istanze DB RDS
[RDS.7] I cluster RDS devono avere la protezione da eliminazione abilitata
[RDS.8] Le istanze DB RDS devono avere la protezione da eliminazione abilitata
[RDS.9] Le istanze DB RDS devono pubblicare i log nei registri CloudWatch
[RDS.10] L'autenticazione IAM deve essere configurata per le istanze RDS
[RDS.11] Le istanze RDS devono avere i backup automatici abilitati
[RDS.12] L'autenticazione IAM deve essere configurata per i cluster RDS
[RDS.13] Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere abilitati
[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato
[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità
[RDS.16] I cluster RDS DB devono essere configurati per copiare i tag nelle istantanee
[RDS.17] Le istanze DB RDS devono essere configurate per copiare i tag nelle istantanee
[RDS.18] Le istanze RDS devono essere distribuite in un VPC
[RDS.23] Le istanze RDS non devono utilizzare una porta predefinita del motore di database
[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato
[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup
[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi
[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch
[Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico
[Redshift.2] Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito
[Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate
[Redshift.4] I cluster Amazon Redshift devono avere la registrazione di controllo abilitata
[Redshift.7] I cluster Redshift devono utilizzare un routing VPC avanzato
[Redshift.9] I cluster Redshift non devono utilizzare il nome di database predefinito
[Redshift.10] I cluster Redshift devono essere crittografati a riposo
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate
[S3.2] I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico in lettura
[S3.3] I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico in scrittura
[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL
[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni
[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico
[S3.9] I bucket generici S3 devono avere la registrazione degli accessi al server abilitata
[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate
[S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita
[S3.14] I bucket generici S3 devono avere il controllo delle versioni abilitato
[S3.15] I bucket generici S3 devono avere Object Lock abilitato
[S3.17] I bucket generici S3 devono essere crittografati quando sono inattivi con AWS KMS keys
[S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate
[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata
[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet
[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato
[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook
[SecretsManager.1] I segreti di Secrets Manager devono avere la rotazione automatica abilitata
[SecretsManager.3] Rimuovi i segreti inutilizzati di Secrets Manager
[SNS.1] Gli argomenti SNS devono essere crittografati quando sono inattivi utilizzando AWS KMS
[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive
[SSM.1] Le istanze Amazon EC2 devono essere gestite da AWS Systems Manager
[SSM.4] I documenti SSM non devono essere pubblici
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
[WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione
[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola
[WAF.4] Gli ACL web regionali AWS WAF classici devono avere almeno una regola o un gruppo di regole
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
[WAF.8] Gli ACL web globali AWS WAF classici devono avere almeno una regola o un gruppo di regole
[WAF.10] Gli ACL AWS WAF web devono avere almeno una regola o un gruppo di regole
[WAF.11] la registrazione ACL web deve essere abilitata AWS WAF
Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch
