As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Melhores práticas operacionais para CMMC 2.0 Nível 1
Os pacotes de conformidade fornecem uma estrutura de conformidade de uso geral projetada para permitir que você crie verificações de governança de segurança, operacionais ou de otimização de custos usando controles gerenciados ou personalizadosAWS Configregras eAWS Configações de remediação. Os pacotes de conformidade, como modelos de exemplo, não foram projetados para garantir totalmente a conformidade com um padrão específico de governança ou conformidade. Você é responsável por fazer sua própria avaliação sobre se o uso dos Serviços atende aos requisitos legais e regulamentares aplicáveis.
O seguinte fornece um exemplo de mapeamento entre a Certificação do Modelo de Maturidade Cibernética (CMMC) 2.0 Nível 1 eAWSregras de configuração gerenciadas. Cada regra de configuração se aplica a um específicoAWSrecurso e está relacionado a um ou mais controles CMMC 2.0 Nível 1. Um controle CMMC 2.0 de nível 1 pode estar relacionado a várias regras de configuração. Consulte a tabela abaixo para obter mais detalhes e orientações relacionadas a esses mapeamentos.
| ID de controle | Descrição do controle | AWSRegra de configuração | Orientação |
|---|---|---|---|
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | As credenciais são auditadas para dispositivos, usuários e processos autorizados, garantindo que as chaves de acesso do IAM sejam alternadas de acordo com a política organizacional. Alterar as chaves de acesso regularmente é uma prática recomendada de segurança. Isso reduz o período em que uma chave de acesso está ativa e reduz o impacto nos negócios se as chaves forem comprometidas. Essa regra exige um valor de rotação da chave de acesso (padrão de configuração: 90). O valor real deve refletir as políticas da sua organização. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aoAWSNuvem, garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aoAWSNuvem garantindo que os snapshots do EBS não possam ser restaurados publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Certifique-se de que o método Instance Metadata Service Versão 2 (IMDSv2) esteja ativado para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir as alterações nos metadados da instância. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aoAWSNuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Os perfis de instância do EC2 transmitem uma função do IAM para uma instância do EC2. Anexar um perfil de instância às suas instâncias pode ajudar no menor gerenciamento de privilégios e permissões. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchServiço (OpenSearch(Serviço) Os domínios estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). UmOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entreOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | As permissões e autorizações de acesso podem ser gerenciadas e incorporadas com os princípios de menor privilégio e separação de funções, habilitando o Kerberos para clusters do Amazon EMR. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como principais. Os diretores existem dentro de um reino de Kerberos. Dentro do reino, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para os diretores se autenticarem. O KDC se autentica emitindo tíquetes para autenticação. O KDC mantém um banco de dados das entidades principais dentro do realm, as senhas e outras informações administrativas sobre cada principal. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aoAWSNuvem, garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todosAWSChaves do serviço de gerenciamento de chaves. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. Essa regra permite que você defina oblockedActionsPatternsparâmetro. (AWSValor fundamental das melhores práticas de segurança: kms:decrypt, kms:ReEncryptFrom). Os valores reais devem refletir as políticas da sua organização | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o mínimo de privilégios. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política embutida para permitir ações bloqueadas em todosAWSChaves do serviço de gerenciamento de chaves.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina oblockedActionsPatternsparâmetro. (AWSValor fundamental das melhores práticas de segurança: kms:decrypt, kms:ReEncryptFrom). Os valores reais devem refletir as políticas da sua organização. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política em linha para controlar o acesso a sistemas e ativos.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem reutilização, controle de versão e reversão, além de delegar o gerenciamento de permissões. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” em vez de “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Certifique-se de que as ações do IAM sejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | O acesso a sistemas e ativos pode ser controlado verificando se o usuário root não tem chaves de acesso anexadas aos seusAWSFunção de gerenciamento de identidade e acesso (IAM). Certifique-se de que as chaves de acesso root sejam excluídas. Em vez disso, crie e use com base em funçõesAWScontas para ajudar a incorporar o princípio da menor funcionalidade. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a restringir as permissões e autorizações de acesso, garantindo que os usuários sejam membros de pelo menos um grupo. Permitir aos usuários mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Ative essa regra para restringir o acesso aos recursos noAWSNuvem. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção às credenciais de login. Reduza os incidentes de contas comprometidas exigindo MFA para os usuários. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Esta regra garanteAWSAs políticas de gerenciamento de identidade e acesso (IAM) são vinculadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios no nível do grupo ou da função ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período de tempo especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou remover as credenciais, pois isso pode violar o princípio do menor privilégio. Essa regra exige que você defina um valor para omaxCredentialUsageIdade (padrão de configuração: 90). O valor real deve refletir as políticas da sua organização. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Não permitir tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Implante instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços dentro da Amazon VPC, sem exigir um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Atribua instâncias do Amazon EC2 a uma Amazon VPC para gerenciar adequadamente o acesso. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aos recursos noAWSNuvem garantindo que os gateways de internet estejam conectados somente à Amazon Virtual Private Cloud (Amazon VPC) autorizada. Os gateways da Internet permitem acesso bidirecional à Internet de e para o Amazon VPC, o que pode potencialmente levar ao acesso não autorizado aos recursos do Amazon VPC. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aos recursos noAWSNuvem, garantindoAWSAs funções do Lambda não podem ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | ImplantarAWSO Lambda funciona em uma Amazon Virtual Private Cloud (Amazon VPC) para uma comunicação segura entre uma função e outros serviços dentro da Amazon VPC. Com essa configuração, não há necessidade de um gateway de Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece seguro dentro doAWSNuvem. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Para gerenciar adequadamente o acesso,AWSAs funções lambda devem ser atribuídas a uma VPC. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a MFA esteja habilitada para todosAWSUsuários do Gerenciamento de Identidade e Acesso (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir a MFA para os usuários, você pode reduzir os incidentes de contas comprometidas e impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aos recursos noAWSNuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (padrões de configuração: 20,21,3389,3306,4333). Os valores reais devem refletir as políticas da sua organização. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a MFA de hardware esteja habilitada para o usuário root. O usuário root é o usuário mais privilegiado em umAWSconta. O MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir MFA para o usuário root, você pode reduzir os incidentes de comprometimentoAWScontas. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aos recursos noAWSNuvem, garantindo que o MFA esteja habilitado para o usuário root. O usuário root é o usuário mais privilegiado em umAWSconta. O MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir MFA para o usuário root, você pode reduzir os incidentes de comprometimentoAWScontas. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente oignorePublicAcls(Padrão de configuração: verdadeiro),blockPublicPolicy(Padrão de configuração: verdadeiro),blockPublicAcls(Config Default: True), erestrictPublicBucketsparâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aoAWSNuvem ativando s3_ bucket_policy_grantee_check. Essa regra verifica se o acesso concedido pelo bucket do Amazon S3 é restrito por qualquer um dosAWSdiretores, usuários federados, diretores de serviços, endereços IP ou IDs da Amazon Virtual Private Cloud (Amazon VPC) que você fornece. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a AmazonSageMakeros notebooks não permitem acesso direto à internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Esta regra garanteAWSOs segredos do Secrets Manager têm a rotação ativada. A rotação de segredos em um cronograma regular pode reduzir o período em que um segredo está ativo e, potencialmente, reduzir o impacto nos negócios se o segredo for comprometido. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Essa regra garante queAWSOs segredos do Secrets Manager foram alternados com sucesso de acordo com o cronograma de rotação. A rotação de segredos em um cronograma regular pode reduzir o período em que um segredo está ativo e, potencialmente, reduzir o impacto nos negócios se ele for comprometido. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | GarantaAWSOs documentos do Systems Manager (SSM) não são públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto ao seuAWSrecursos. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos. | |
| AC.L1-3.1.1 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchOs domínios de serviço estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Uma AmazôniaOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entre a AmazonOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| AC.L1-3.1.2 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aoAWSNuvem, garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| AC.L1-3.1.2 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aoAWSNuvem garantindo que os snapshots do EBS não possam ser restaurados publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| AC.L1-3.1.2 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Certifique-se de que o método Instance Metadata Service Versão 2 (IMDSv2) esteja ativado para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir as alterações nos metadados da instância. | |
| AC.L1-3.1.2 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aoAWSNuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| AC.L1-3.1.2 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchServiço (OpenSearch(Serviço) Os domínios estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). UmOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entreOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| AC.L1-3.1.2 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | As permissões e autorizações de acesso podem ser gerenciadas e incorporadas com os princípios de menor privilégio e separação de funções, habilitando o Kerberos para clusters do Amazon EMR. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como principais. Os diretores existem dentro de um reino de Kerberos. Dentro do reino, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para os diretores se autenticarem. O KDC se autentica emitindo tíquetes para autenticação. O KDC mantém um banco de dados das entidades principais dentro do realm, as senhas e outras informações administrativas sobre cada principal. | |
| AC.L1-3.1.2 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aoAWSNuvem, garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| AC.L1-3.1.2 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política em linha para controlar o acesso a sistemas e ativos.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem reutilização, controle de versão e reversão, além de delegar o gerenciamento de permissões. | |
| AC.L1-3.1.2 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política de senha organizacional do IAM. Eles atendem ou excedem os requisitos, conforme declarado pelo NIST SP 800-63 e peloAWSPadrão básico de melhores práticas de segurança para segurança de senhas. Essa regra permite que você defina opcionalmenteRequireUppercaseCharacters(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireLowercaseCharacters(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireSymbols(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireNumbers(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),MinimumPasswordLength(AWSValor fundamental das melhores práticas de segurança: 14),PasswordReusePrevention(AWSValor fundamental das melhores práticas de segurança: 24) eMaxPasswordAge(AWSValor fundamental das melhores práticas de segurança: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da sua organização. | |
| AC.L1-3.1.2 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” em vez de “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| AC.L1-3.1.2 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | O acesso a sistemas e ativos pode ser controlado verificando se o usuário root não tem chaves de acesso anexadas aos seusAWSFunção de gerenciamento de identidade e acesso (IAM). Certifique-se de que as chaves de acesso root sejam excluídas. Em vez disso, crie e use com base em funçõesAWScontas para ajudar a incorporar o princípio da menor funcionalidade. | |
| AC.L1-3.1.2 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a restringir as permissões e autorizações de acesso, garantindo que os usuários sejam membros de pelo menos um grupo. Permitir aos usuários mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. | |
| AC.L1-3.1.2 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Ative essa regra para restringir o acesso aos recursos noAWSNuvem. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção às credenciais de login. Reduza os incidentes de contas comprometidas exigindo MFA para os usuários. | |
| AC.L1-3.1.2 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Esta regra garanteAWSAs políticas de gerenciamento de identidade e acesso (IAM) são vinculadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios no nível do grupo ou da função ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| AC.L1-3.1.2 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Não permitir tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto. | |
| AC.L1-3.1.2 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Implante instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços dentro da Amazon VPC, sem exigir um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Atribua instâncias do Amazon EC2 a uma Amazon VPC para gerenciar adequadamente o acesso. | |
| AC.L1-3.1.2 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os gateways de internet estejam conectados somente à Amazon Virtual Private Cloud (Amazon VPC) autorizada. Os gateways da Internet permitem acesso bidirecional à Internet de e para o Amazon VPC, o que pode potencialmente levar ao acesso não autorizado aos recursos do Amazon VPC. | |
| AC.L1-3.1.2 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aos recursos noAWSNuvem, garantindoAWSAs funções do Lambda não podem ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos. | |
| AC.L1-3.1.2 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | ImplantarAWSO Lambda funciona em uma Amazon Virtual Private Cloud (Amazon VPC) para uma comunicação segura entre uma função e outros serviços dentro da Amazon VPC. Com essa configuração, não há necessidade de um gateway de Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece seguro dentro doAWSNuvem. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Para gerenciar adequadamente o acesso,AWSAs funções lambda devem ser atribuídas a uma VPC. | |
| AC.L1-3.1.2 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a MFA esteja habilitada para todosAWSUsuários do Gerenciamento de Identidade e Acesso (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir a MFA para os usuários, você pode reduzir os incidentes de contas comprometidas e impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| AC.L1-3.1.2 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas. | |
| AC.L1-3.1.2 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| AC.L1-3.1.2 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| AC.L1-3.1.2 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (padrões de configuração: 20,21,3389,3306,4333). Os valores reais devem refletir as políticas da sua organização. | |
| AC.L1-3.1.2 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a MFA de hardware esteja habilitada para o usuário root. O usuário root é o usuário mais privilegiado em umAWSconta. O MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir MFA para o usuário root, você pode reduzir os incidentes de comprometimentoAWScontas. | |
| AC.L1-3.1.2 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que o MFA esteja habilitado para o usuário root. O usuário root é o usuário mais privilegiado em umAWSconta. O MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir MFA para o usuário root, você pode reduzir os incidentes de comprometimentoAWScontas. | |
| AC.L1-3.1.2 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente oignorePublicAcls(Padrão de configuração: verdadeiro),blockPublicPolicy(Padrão de configuração: verdadeiro),blockPublicAcls(Config Default: True), erestrictPublicBucketsparâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização. | |
| AC.L1-3.1.2 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| AC.L1-3.1.2 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aoAWSNuvem ativando s3_ bucket_policy_grantee_check. Essa regra verifica se o acesso concedido pelo bucket do Amazon S3 é restrito por qualquer um dosAWSdiretores, usuários federados, diretores de serviços, endereços IP ou IDs da Amazon Virtual Private Cloud (Amazon VPC) que você fornece. | |
| AC.L1-3.1.2 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| AC.L1-3.1.2 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| AC.L1-3.1.2 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a AmazonSageMakeros notebooks não permitem acesso direto à internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| AC.L1-3.1.2 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto ao seuAWSrecursos. | |
| AC.L1-3.1.2 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos. | |
| AC.L1-3.1.2 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchOs domínios de serviço estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Uma AmazôniaOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entre a AmazonOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| AC.L1-3.1.20 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | GarantaAWSO WAF está habilitado nos Elastic Load Balancers (ELB) para ajudar a proteger aplicativos da web. Um WAF ajuda a proteger seus aplicativos ou APIs da web contra explorações comuns da web. Essas explorações na web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente. | |
| AC.L1-3.1.20 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. Os recursos do EC2 não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus aplicativos ou servidores. | |
| AC.L1-3.1.20 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Gerencie o acesso aoAWSNuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| AC.L1-3.1.20 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Gerencie o acesso aoAWSNuvem, garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| AC.L1-3.1.20 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Não permitir tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto. | |
| AC.L1-3.1.20 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os gateways de internet estejam conectados somente à Amazon Virtual Private Cloud (Amazon VPC) autorizada. Os gateways da Internet permitem acesso bidirecional à Internet de e para o Amazon VPC, o que pode potencialmente levar ao acesso não autorizado aos recursos do Amazon VPC. | |
| AC.L1-3.1.20 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Gerencie o acesso aos recursos noAWSNuvem, garantindoAWSAs funções do Lambda não podem ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos. | |
| AC.L1-3.1.20 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Certifique-se de que as tabelas de rotas do Amazon EC2 não tenham rotas irrestritas para um gateway da Internet. Remover ou limitar o acesso à Internet para cargas de trabalho nas Amazon VPCs pode reduzir o acesso não intencional em seu ambiente. | |
| AC.L1-3.1.20 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas. | |
| AC.L1-3.1.20 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| AC.L1-3.1.20 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (padrões de configuração: 20,21,3389,3306,4333). Os valores reais devem refletir as políticas da sua organização. | |
| AC.L1-3.1.20 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente oignorePublicAcls(Padrão de configuração: verdadeiro),blockPublicPolicy(Padrão de configuração: verdadeiro),blockPublicAcls(Config Default: True), erestrictPublicBucketsparâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização. | |
| AC.L1-3.1.20 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| AC.L1-3.1.20 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| AC.L1-3.1.20 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| AC.L1-3.1.20 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a AmazonSageMakeros notebooks não permitem acesso direto à internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| AC.L1-3.1.20 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | GarantaAWSOs documentos do Systems Manager (SSM) não são públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos. | |
| AC.L1-3.1.20 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Gerencie o acesso aoAWSNuvem garantindo que as sub-redes Amazon Virtual Private Cloud (VPC) não recebam automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são lançadas em sub-redes que têm esse atributo ativado têm um endereço IP público atribuído à sua interface de rede primária. | |
| AC.L1-3.1.20 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto ao seuAWSrecursos. | |
| AC.L1-3.1.20 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos. | |
| IA.L1-3.5.1 | Identifique usuários do sistema de informações, processos que atuam em nome de usuários ou dispositivos. | O registro do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como acessaram a API. Esse insight permite a visibilidade das atividades do usuário. | |
| IA.L1-3.5.1 | Identifique usuários do sistema de informações, processos que atuam em nome de usuários ou dispositivos. | A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluemAWSinformações da conta que acessaram um bucket do Amazon S3, endereço IP e hora do evento. | |
| IA.L1-3.5.1 | Identifique usuários do sistema de informações, processos que atuam em nome de usuários ou dispositivos. | Use a AmazonCloudWatchpara coletar e gerenciar centralmente a atividade de eventos de registro. Inclusão deAWS CloudTrailos dados fornecem detalhes da atividade de chamadas de API em seuAWSconta. | |
| IA.L1-3.5.1 | Identifique usuários do sistema de informações, processos que atuam em nome de usuários ou dispositivos. | A atividade do Elastic Load Balancing é um ponto central de comunicação dentro de um ambiente. Certifique-se de que o registro do ELB esteja ativado. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor. | |
| IA.L1-3.5.1 | Identifique usuários do sistema de informações, processos que atuam em nome de usuários ou dispositivos. | As permissões e autorizações de acesso podem ser gerenciadas e incorporadas com os princípios de menor privilégio e separação de funções, habilitando o Kerberos para clusters do Amazon EMR. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como principais. Os diretores existem dentro de um reino de Kerberos. Dentro do reino, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para os diretores se autenticarem. O KDC se autentica emitindo tíquetes para autenticação. O KDC mantém um banco de dados das entidades principais dentro do realm, as senhas e outras informações administrativas sobre cada principal. | |
| IA.L1-3.5.1 | Identifique usuários do sistema de informações, processos que atuam em nome de usuários ou dispositivos. | AWS CloudTrailregistrosAWSAções do Management Console e chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando as chamadas ocorreram. CloudTrailentregará arquivos de log de todosAWSRegiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver ativado. Além disso, quandoAWSlança uma nova região,CloudTrailcriará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| IA.L1-3.5.1 | Identifique usuários do sistema de informações, processos que atuam em nome de usuários ou dispositivos. | Para ajudar com o registro e o monitoramento em seu ambiente, certifique-se de que o registro do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| IA.L1-3.5.1 | Identifique usuários do sistema de informações, processos que atuam em nome de usuários ou dispositivos. | O registro de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados por meio da captura de registros detalhados das solicitações feitas a um bucket do Amazon S3. Cada registro de registro de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem o solicitante, nome do bucket, hora da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante. | |
| IA.L1-3.5.1 | Identifique usuários do sistema de informações, processos que atuam em nome de usuários ou dispositivos. | Para ajudar com o registro e o monitoramento em seu ambiente, habiliteAWSRegistro WAF (V2) em ACLs da web regionais e globais.AWS O registro do WAF fornece informações detalhadas sobre o tráfego que é analisado pela sua ACL da web. Os registros registram a hora em queAWSO WAF recebeu a solicitação do seuAWSrecurso, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu. | |
| IA.L1-3.5.2 | Autentique (ou verifique) as identidades desses usuários, processos ou dispositivos, como pré-requisito para permitir o acesso aos sistemas de informações organizacionais. | As permissões e autorizações de acesso podem ser gerenciadas e incorporadas com os princípios de menor privilégio e separação de funções, habilitando o Kerberos para clusters do Amazon EMR. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como principais. Os diretores existem dentro de um reino de Kerberos. Dentro do reino, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para os diretores se autenticarem. O KDC se autentica emitindo tíquetes para autenticação. O KDC mantém um banco de dados das entidades principais dentro do realm, as senhas e outras informações administrativas sobre cada principal. | |
| IA.L1-3.5.2 | Autentique (ou verifique) as identidades desses usuários, processos ou dispositivos, como pré-requisito para permitir o acesso aos sistemas de informações organizacionais. | As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política de senha organizacional do IAM. Eles atendem ou excedem os requisitos, conforme declarado pelo NIST SP 800-63 e peloAWSPadrão básico de melhores práticas de segurança para segurança de senhas. Essa regra permite que você defina opcionalmenteRequireUppercaseCharacters(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireLowercaseCharacters(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireSymbols(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireNumbers(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),MinimumPasswordLength(AWSValor fundamental das melhores práticas de segurança: 14),PasswordReusePrevention(AWSValor fundamental das melhores práticas de segurança: 24) eMaxPasswordAge(AWSValor fundamental das melhores práticas de segurança: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da sua organização. | |
| IA.L1-3.5.2 | Autentique (ou verifique) as identidades desses usuários, processos ou dispositivos, como pré-requisito para permitir o acesso aos sistemas de informações organizacionais. | Ative essa regra para restringir o acesso aos recursos noAWSNuvem. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção às credenciais de login. Reduza os incidentes de contas comprometidas exigindo MFA para os usuários. | |
| IA.L1-3.5.2 | Autentique (ou verifique) as identidades desses usuários, processos ou dispositivos, como pré-requisito para permitir o acesso aos sistemas de informações organizacionais. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a MFA esteja habilitada para todosAWSUsuários do Gerenciamento de Identidade e Acesso (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir a MFA para os usuários, você pode reduzir os incidentes de contas comprometidas e impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| IA.L1-3.5.2 | Autentique (ou verifique) as identidades desses usuários, processos ou dispositivos, como pré-requisito para permitir o acesso aos sistemas de informações organizacionais. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a MFA de hardware esteja habilitada para o usuário root. O usuário root é o usuário mais privilegiado em umAWSconta. O MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir MFA para o usuário root, você pode reduzir os incidentes de comprometimentoAWScontas. | |
| IA.L1-3.5.2 | Autentique (ou verifique) as identidades desses usuários, processos ou dispositivos, como pré-requisito para permitir o acesso aos sistemas de informações organizacionais. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que o MFA esteja habilitado para o usuário root. O usuário root é o usuário mais privilegiado em umAWSconta. O MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir MFA para o usuário root, você pode reduzir os incidentes de comprometimentoAWScontas. | |
| SC.L1-3.13.1 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Certifique-se de que seus Elastic Load Balancers (ELB) estejam configurados para eliminar cabeçalhos http. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC.L1-3.13.1 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Para ajudar a proteger os dados em trânsito, certifique-se de que seu Application Load Balancer redirecione automaticamente solicitações HTTP não criptografadas para HTTPS. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC.L1-3.13.1 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | GarantaAWSO WAF está habilitado nos Elastic Load Balancers (ELB) para ajudar a proteger os aplicativos da web. Um WAF ajuda a proteger seus aplicativos ou APIs da web contra explorações comuns da web. Essas explorações na web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente. | |
| SC.L1-3.13.1 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | AWSO WAF permite que você configure um conjunto de regras (chamado de lista de controle de acesso à web (ACL da web)) que permitem, bloqueiam ou contam solicitações da Web com base nas regras e condições de segurança da Web personalizáveis que você define. Certifique-se de que seu estágio do Amazon API Gateway esteja associado a uma WAF Web ACL para protegê-lo contra ataques maliciosos | |
| SC.L1-3.13.1 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | AmazôniaCloudWatchalertam quando uma métrica ultrapassa o limite de um determinado número de períodos de avaliação. O alarme realiza uma ou mais ações com base no valor da métrica ou na expressão relativa a um limite em alguns períodos. Essa regra exige um valor paraalarmActionRequired(Padrão de configuração: verdadeiro),insufficientDataActionObrigatório (padrão de configuração: verdadeiro),okActionRequired(Padrão de configuração: falso). O valor real deve refletir as ações de alarme do seu ambiente. | |
| SC.L1-3.13.1 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Gerencie o acesso aoAWSNuvem, garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| SC.L1-3.13.1 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Gerencie o acesso aoAWSNuvem garantindo que os snapshots do EBS não possam ser restaurados publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| SC.L1-3.13.1 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchServiço (OpenSearch(Serviço) Os domínios estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). UmOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entreOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| SC.L1-3.13.1 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Garantanode-to-nodecriptografia para AmazonOpenSearchO serviço está habilitado. Node-to-nodea criptografia permite a criptografia TLS 1.2 para todas as comunicações dentro da Amazon Virtual Private Cloud (Amazon VPC). Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC.L1-3.13.1 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em trânsito, garanta que a criptografia esteja habilitada para seu Elastic Load Balancing. UseAWSGerenciador de certificados para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados comAWSserviços e recursos internos. | |
| SC.L1-3.13.1 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Certifique-se de que seus Elastic Load Balancers (ELBs) estejam configurados com ouvintes SSL ou HTTPS. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC.L1-3.13.1 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem. | |
| SC.L1-3.13.1 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Não permitir tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto. | |
| SC.L1-3.13.1 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Implante instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços dentro da Amazon VPC, sem exigir um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Atribua instâncias do Amazon EC2 a uma Amazon VPC para gerenciar adequadamente o acesso. | |
| SC.L1-3.13.1 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os gateways de internet estejam conectados somente à Amazon Virtual Private Cloud (Amazon VPC) autorizada. Os gateways da Internet permitem acesso bidirecional à Internet de e para o Amazon VPC, o que pode potencialmente levar ao acesso não autorizado aos recursos do Amazon VPC. | |
| SC.L1-3.13.1 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Gerencie o acesso aos recursos noAWSNuvem, garantindoAWSAs funções do Lambda não podem ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos. | |
| SC.L1-3.13.1 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | ImplantarAWSO Lambda funciona em uma Amazon Virtual Private Cloud (Amazon VPC) para uma comunicação segura entre uma função e outros serviços dentro da Amazon VPC. Com essa configuração, não há necessidade de um gateway de Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece seguro dentro doAWSNuvem. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Para gerenciar adequadamente o acesso,AWSAs funções lambda devem ser atribuídas a uma VPC. | |
| SC.L1-3.13.1 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Certifique-se de que as tabelas de rotas do Amazon EC2 não tenham rotas irrestritas para um gateway da Internet. Remover ou limitar o acesso à Internet para cargas de trabalho nas Amazon VPCs pode reduzir o acesso não intencional em seu ambiente. | |
| SC.L1-3.13.1 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas. | |
| SC.L1-3.13.1 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| SC.L1-3.13.1 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| SC.L1-3.13.1 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Certifique-se de que seus clusters do Amazon Redshift exijam criptografia TLS/SSL para se conectar aos clientes SQL. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC.L1-3.13.1 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (padrões de configuração: 20,21,3389,3306,4333). Os valores reais devem refletir as políticas da sua organização. | |
| SC.L1-3.13.1 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente oignorePublicAcls(Padrão de configuração: verdadeiro),blockPublicPolicy(Padrão de configuração: verdadeiro),blockPublicAcls(Config Default: True), erestrictPublicBucketsparâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização. | |
| SC.L1-3.13.1 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| SC.L1-3.13.1 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| SC.L1-3.13.1 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| SC.L1-3.13.1 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Para ajudar a proteger os dados em trânsito, certifique-se de que seus buckets do Amazon Simple Storage Service (Amazon S3) exijam solicitações para usar o Secure Socket Layer (SSL). Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC.L1-3.13.1 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a AmazonSageMakeros notebooks não permitem acesso direto à internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| SC.L1-3.13.1 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | AWSO Security Hub ajuda a monitorar pessoal, conexões, dispositivos e software não autorizados.AWS O Security Hub agrega, organiza e prioriza os alertas de segurança, ou descobertas, de váriosAWSserviços. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie,AWSAnalisador de acesso de gerenciamento de identidade e acesso (IAM) eAWSFirewall Manager eAWSSoluções de parceiros. | |
| SC.L1-3.13.1 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | GarantaAWSOs documentos do Systems Manager (SSM) não são públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos. | |
| SC.L1-3.13.1 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto ao seuAWSrecursos. | |
| SC.L1-3.13.1 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos. | |
| SC.L1-3.13.1 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchOs domínios de serviço estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Uma AmazôniaOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entre a AmazonOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| SC.L1-3.13.1 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Garantanode-to-nodecriptografia para AmazonOpenSearchO serviço está habilitado. Node-to-nodea criptografia permite a criptografia TLS 1.2 para todas as comunicações dentro da Amazon Virtual Private Cloud (Amazon VPC). Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| SI.L1-3.14.1 | Identifique, reporte e corrija as informações e as falhas do sistema de informação em tempo hábil. | AmazôniaCloudWatchalertam quando uma métrica ultrapassa o limite de um determinado número de períodos de avaliação. O alarme realiza uma ou mais ações com base no valor da métrica ou na expressão relativa a um limite em alguns períodos. Essa regra exige um valor paraalarmActionRequired(Padrão de configuração: verdadeiro),insufficientDataActionObrigatório (padrão de configuração: verdadeiro),okActionRequired(Padrão de configuração: falso). O valor real deve refletir as ações de alarme do seu ambiente. | |
| SI.L1-3.14.1 | Identifique, reporte e corrija as informações e as falhas do sistema de informação em tempo hábil. | AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem. | |
| SI.L1-3.14.1 | Identifique, reporte e corrija as informações e as falhas do sistema de informação em tempo hábil. | AWSO Security Hub ajuda a monitorar pessoal, conexões, dispositivos e software não autorizados.AWS O Security Hub agrega, organiza e prioriza os alertas de segurança, ou descobertas, de váriosAWSserviços. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie,AWSAnalisador de acesso de gerenciamento de identidade e acesso (IAM) eAWSFirewall Manager eAWSSoluções de parceiros. | |
| SI.L1-3.14.2 | Forneça proteção contra códigos maliciosos em locais apropriados nos sistemas de informações organizacionais. | AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem. | |
| SI.L1-3.14.5 | Execute varreduras periódicas do sistema de informações e escaneamentos em tempo real de arquivos de fontes externas à medida que os arquivos são baixados, abertos ou executados. | A digitalização de imagens do Amazon Elastic Container Repository (ECR) auxilia na identificação de vulnerabilidades de software em suas imagens de contêiner. Ativar a digitalização de imagens em repositórios de ECR adiciona uma camada de verificação da integridade e segurança das imagens que estão sendo armazenadas. |
Modelo
O modelo está disponível emGitHub:Melhores práticas operacionais para CMMC 2.0 Nível 1
