As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Melhores práticas operacionais para CMMC nível 3
Os pacotes de conformidade fornecem uma estrutura de conformidade de uso geral projetada para permitir que você crie verificações de governança de segurança, operação ou otimização de custos usando regras e ações de remediação gerenciadas ou personalizadas. AWS Config AWS Config Os pacotes de conformidade, como modelos de amostra, não foram projetados para garantir totalmente a conformidade com um padrão específico de governança ou conformidade. Você é responsável por fazer sua própria avaliação sobre se o uso dos Serviços atende aos requisitos legais e regulamentares aplicáveis.
Veja a seguir um exemplo de mapeamento entre a Certificação do Modelo de Maturidade de Cibersegurança (CMMC) Nível 3 e as regras gerenciadas AWS do Config. Cada regra de Config se aplica a um AWS recurso específico e está relacionada a um ou mais controles CMMC de nível 3. Um controle CMMC de nível 3 pode estar relacionado a várias regras de Config. Consulte a tabela abaixo para obter mais detalhes e orientações relacionadas a esses mapeamentos.
nota
Devido à orientação provisória fornecida pelo DoD e pelo Organismo de Credenciamento do CMMC com relação à reciprocidade do FedRAMP para CMMC de nível 3 a 5, é recomendável que os clientes AWS GovCloud usem as regiões (EUA) atualmente para qualquer carga de trabalho que exija conformidade com o CMMC de nível 3 a 5. Dessa forma, os modelos de pacotes de conformidade para os níveis 3 a 5 do CMMC não estão disponíveis no console do pacote de conformidade para evitar confusão. Os clientes podem instalar de forma independente as regras do Config que mapeiam a orientação provisória para o CMMC de nível 3-5 (sem um modelo de pacote de conformidade) CloudFormation usando o arquivo YAML de amostra vinculado a este documento.
| ID de controle | Descrição do controle | AWSRegra de configuração | Orientação |
|---|---|---|---|
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | As credenciais são auditadas para dispositivos, usuários e processos autorizados, garantindo que as chaves de acesso do IAM sejam alternadas de acordo com a política organizacional. Alterar as chaves de acesso regularmente é uma prática recomendada de segurança. Isso reduz o período em que uma chave de acesso fica ativa e reduz o impacto nos negócios se as chaves forem comprometidas. Essa regra requer um valor de rotação da chave de acesso (Config Default: 90). O valor real deve refletir as políticas da sua organização. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso à AWS nuvem garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso à AWS nuvem garantindo que os instantâneos do EBS não sejam restauráveis publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Certifique-se de que o método Instance Metadata Service Version 2 (IMDSv2) esteja habilitado para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir as alterações nos metadados da instância. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso à AWS nuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Os perfis de instância do EC2 passam uma função do IAM para uma instância do EC2. Anexar um perfil de instância às suas instâncias pode ajudar no gerenciamento mínimo de privilégios e permissões. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso à AWS nuvem garantindo que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Um domínio OpenSearch de serviço em uma Amazon VPC permite a comunicação segura entre o OpenSearch serviço e outros serviços dentro da Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | As permissões e autorizações de acesso podem ser gerenciadas e incorporadas com os princípios de privilégio mínimo e separação de tarefas, habilitando o Kerberos para clusters do Amazon EMR. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como principais. Os principais existem em um reino Kerberos. Dentro do reino, um servidor Kerberos é conhecido como centro de distribuição de chaves (KDC). Ele fornece um meio para os diretores se autenticarem. O KDC se autentica emitindo tíquetes para autenticação. O KDC mantém um banco de dados das entidades principais dentro do realm, as senhas e outras informações administrativas sobre cada principal. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso à AWS nuvem garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | AWSO Identity and Access Management (IAM) pode ajudá-lo a incorporar os princípios de privilégio mínimo e separação de tarefas com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em AWS todas as chaves do Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. Essa regra permite que você defina o blockedActionsPatterns parâmetro. (Valor AWS básico das melhores práticas de segurança: kms:Decrypt, kms:). ReEncryptFrom Os valores reais devem refletir as políticas da sua organização | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | AWSO Identity and Access Management (IAM) pode ajudá-lo a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar privilégios mínimos. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Certifique-se de que um usuário, uma função do IAM ou um grupo do IAM do AWS Identity and Access Management (IAM) não tenha uma política embutida para permitir ações bloqueadas em AWS todas as chaves do Key Management Service. AWSrecomenda usar políticas gerenciadas em vez de políticas embutidas. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o blockedActionsPatterns parâmetro. (Valor AWS básico das melhores práticas de segurança: kms:Decrypt, kms:). ReEncryptFrom Os valores reais devem refletir as políticas da sua organização. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Certifique-se de que um usuário, uma função do IAM ou um grupo do IAM do AWS Identity and Access Management (IAM) não tenha uma política embutida para controlar o acesso a sistemas e ativos. AWSrecomenda usar políticas gerenciadas em vez de políticas embutidas. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Eles atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão AWS Foundational Security Best Practices para a força da senha. Essa regra permite que você defina opcionalmente RequireUppercaseCharacters (valor das melhores práticas de segurança AWS básicas: verdadeiro), RequireLowercaseCharacters (valor das melhores práticas de segurança AWS básicas: verdadeiro), RequireSymbols (valor das melhores práticas de segurança AWS básicas: verdadeiro), RequireNumbers (valor das melhores práticas de segurança AWS básicas: verdadeiro), MinimumPasswordLength (valor das melhores práticas de segurança AWS básica: 14), PasswordReusePrevention (valor das melhores práticas de segurança AWS básica: 24) e MaxPasswordAge (valor das melhores práticas de segurança AWS básica: 90) para seu Política de senha do IAM. Os valores reais devem refletir as políticas da sua organização. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | AWSO Identity and Access Management (IAM) pode ajudá-lo a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” sobre “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Garanta que as ações do IAM estejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas à sua função de AWS Identity and Access Management (IAM). Certifique-se de que as chaves de acesso raiz sejam excluídas. Em vez disso, crie e use AWS contas baseadas em funções para ajudar a incorporar o princípio da menor funcionalidade. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | AWSO Identity and Access Management (IAM) pode ajudá-lo a restringir permissões e autorizações de acesso, garantindo que os usuários sejam membros de pelo menos um grupo. Conceder aos usuários mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Ative essa regra para restringir o acesso aos recursos na AWS nuvem. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. O MFA adiciona uma camada extra de proteção às credenciais de login. Reduza os incidentes de contas comprometidas exigindo MFA para os usuários. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Essa regra garante que as políticas de AWS Identity and Access Management (IAM) sejam anexadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios no nível do grupo ou da função ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | AWSO Identity and Access Management (IAM) pode ajudá-lo com permissões e autorizações de acesso verificando senhas e chaves de acesso do IAM que não são usadas por um período de tempo especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desativar e/ou remover as credenciais, pois isso pode violar o princípio do menor privilégio. Essa regra exige que você defina um valor como maxCredentialUsage Idade (Config Default: 90). O valor real deve refletir as políticas da sua organização. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem controlada do tráfego de entrada e saída da rede aos recursos. AWS Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Implante instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços dentro da Amazon VPC, sem exigir um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Por causa de seu isolamento lógico, os domínios que residem em uma Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Atribua instâncias do Amazon EC2 a uma Amazon VPC para gerenciar adequadamente o acesso. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aos recursos na AWS nuvem garantindo que os gateways de internet estejam conectados somente à Amazon Virtual Private Cloud autorizada (Amazon VPC). Os gateways de Internet permitem acesso bidirecional à Internet de e para a Amazon VPC, o que pode potencialmente levar ao acesso não autorizado aos recursos da Amazon VPC. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aos recursos na AWS nuvem garantindo que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Implante funções AWS Lambda em uma Amazon Virtual Private Cloud (Amazon VPC) para uma comunicação segura entre uma função e outros serviços dentro da Amazon VPC. Com essa configuração, não há necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece seguro na nuvem. AWS Por causa de seu isolamento lógico, os domínios que residem em uma Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Para gerenciar adequadamente o acesso, as funções do AWS Lambda devem ser atribuídas a uma VPC. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aos recursos na AWS nuvem garantindo que a MFA esteja habilitada para todos os usuários do AWS Identity and Access Management (IAM) que tenham uma senha de console. O MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir MFA para os usuários, você pode reduzir os incidentes de contas comprometidas e impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aos recursos na AWS nuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aos recursos na AWS nuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aos recursos na AWS nuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aos recursos na AWS nuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (Config Defaults: 20,21.3389.3306.4333). Os valores reais devem refletir as políticas da sua organização. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aos recursos na AWS nuvem garantindo que a MFA de hardware esteja habilitada para o usuário raiz. O usuário root é o usuário mais privilegiado em uma AWS conta. O MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir MFA para o usuário raiz, você pode reduzir os incidentes de contas comprometidas. AWS | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aos recursos na AWS nuvem garantindo que a MFA esteja habilitada para o usuário raiz. O usuário root é o usuário mais privilegiado em uma AWS conta. O MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir MFA para o usuário raiz, você pode reduzir os incidentes de contas comprometidas. AWS | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso à AWS nuvem ativando s3_ bucket_policy_grantee_check. Essa regra verifica se o acesso concedido pelo bucket do Amazon S3 é restrito por qualquer um dos AWS principais, usuários federados, entidades principais de serviços, endereços IP ou IDs da Amazon Virtual Private Cloud (Amazon VPC) que você fornece. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aos recursos na AWS nuvem garantindo que os SageMaker notebooks da Amazon não permitam acesso direto à Internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Essa regra garante que AWS os segredos do Secrets Manager tenham a rotação ativada. A rotação de segredos em uma programação regular pode reduzir o período em que um segredo está ativo e potencialmente reduzir o impacto nos negócios se o segredo for comprometido. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Essa regra garante que AWS os segredos do Secrets Manager tenham sido rotacionados com sucesso de acordo com o cronograma de rotação. A rotação de segredos em um cronograma regular pode reduzir o período em que um segredo está ativo e, potencialmente, reduzir o impacto nos negócios se ele for comprometido. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Certifique-se AWS de que os documentos do Systems Manager (SSM) não sejam públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem monitorada do tráfego de entrada e saída da rede aos recursos. AWS Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto aos seus AWS recursos. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso aos recursos na AWS nuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos. | |
| AC.1.001 | Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Gerencie o acesso à AWS nuvem garantindo que os domínios do Amazon OpenSearch Service estejam dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service dentro de um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| AC.1.002 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso à AWS nuvem garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| AC.1.002 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso à AWS nuvem garantindo que os instantâneos do EBS não sejam restauráveis publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| AC.1.002 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Certifique-se de que o método Instance Metadata Service Version 2 (IMDSv2) esteja habilitado para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir as alterações nos metadados da instância. | |
| AC.1.002 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso à AWS nuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| AC.1.002 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso à AWS nuvem garantindo que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Um domínio OpenSearch de serviço em uma Amazon VPC permite a comunicação segura entre o OpenSearch serviço e outros serviços dentro da Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| AC.1.002 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | As permissões e autorizações de acesso podem ser gerenciadas e incorporadas com os princípios de privilégio mínimo e separação de tarefas, habilitando o Kerberos para clusters do Amazon EMR. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como principais. Os principais existem em um reino Kerberos. Dentro do reino, um servidor Kerberos é conhecido como centro de distribuição de chaves (KDC). Ele fornece um meio para os diretores se autenticarem. O KDC se autentica emitindo tíquetes para autenticação. O KDC mantém um banco de dados das entidades principais dentro do realm, as senhas e outras informações administrativas sobre cada principal. | |
| AC.1.002 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso à AWS nuvem garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| AC.1.002 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Certifique-se de que um usuário, uma função do IAM ou um grupo do IAM do AWS Identity and Access Management (IAM) não tenha uma política embutida para controlar o acesso a sistemas e ativos. AWSrecomenda usar políticas gerenciadas em vez de políticas embutidas. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões. | |
| AC.1.002 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Eles atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão AWS Foundational Security Best Practices para a força da senha. Essa regra permite que você defina opcionalmente RequireUppercaseCharacters (valor das melhores práticas de segurança AWS básicas: verdadeiro), RequireLowercaseCharacters (valor das melhores práticas de segurança AWS básicas: verdadeiro), RequireSymbols (valor das melhores práticas de segurança AWS básicas: verdadeiro), RequireNumbers (valor das melhores práticas de segurança AWS básicas: verdadeiro), MinimumPasswordLength (valor das melhores práticas de segurança AWS básica: 14), PasswordReusePrevention (valor das melhores práticas de segurança AWS básica: 24) e MaxPasswordAge (valor das melhores práticas de segurança AWS básica: 90) para seu Política de senha do IAM. Os valores reais devem refletir as políticas da sua organização. | |
| AC.1.002 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | AWSO Identity and Access Management (IAM) pode ajudá-lo a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” sobre “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. | |
| AC.1.002 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas à sua função de AWS Identity and Access Management (IAM). Certifique-se de que as chaves de acesso raiz sejam excluídas. Em vez disso, crie e use AWS contas baseadas em funções para ajudar a incorporar o princípio da menor funcionalidade. | |
| AC.1.002 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | AWSO Identity and Access Management (IAM) pode ajudá-lo a restringir permissões e autorizações de acesso, garantindo que os usuários sejam membros de pelo menos um grupo. Conceder aos usuários mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. | |
| AC.1.002 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Ative essa regra para restringir o acesso aos recursos na AWS nuvem. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. O MFA adiciona uma camada extra de proteção às credenciais de login. Reduza os incidentes de contas comprometidas exigindo MFA para os usuários. | |
| AC.1.002 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Essa regra garante que as políticas de AWS Identity and Access Management (IAM) sejam anexadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios no nível do grupo ou da função ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| AC.1.002 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem controlada do tráfego de entrada e saída da rede aos recursos. AWS Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto. | |
| AC.1.002 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Implante instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços dentro da Amazon VPC, sem exigir um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Por causa de seu isolamento lógico, os domínios que residem em uma Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Atribua instâncias do Amazon EC2 a uma Amazon VPC para gerenciar adequadamente o acesso. | |
| AC.1.002 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os gateways de internet estejam conectados somente à Amazon Virtual Private Cloud autorizada (Amazon VPC). Os gateways de Internet permitem acesso bidirecional à Internet de e para a Amazon VPC, o que pode potencialmente levar ao acesso não autorizado aos recursos da Amazon VPC. | |
| AC.1.002 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos. | |
| AC.1.002 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Implante funções AWS Lambda em uma Amazon Virtual Private Cloud (Amazon VPC) para uma comunicação segura entre uma função e outros serviços dentro da Amazon VPC. Com essa configuração, não há necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece seguro na nuvem. AWS Por causa de seu isolamento lógico, os domínios que residem em uma Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Para gerenciar adequadamente o acesso, as funções do AWS Lambda devem ser atribuídas a uma VPC. | |
| AC.1.002 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aos recursos na AWS nuvem garantindo que a MFA esteja habilitada para todos os usuários do AWS Identity and Access Management (IAM) que tenham uma senha de console. O MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir MFA para os usuários, você pode reduzir os incidentes de contas comprometidas e impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| AC.1.002 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas. | |
| AC.1.002 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| AC.1.002 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| AC.1.002 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (Config Defaults: 20,21.3389.3306.4333). Os valores reais devem refletir as políticas da sua organização. | |
| AC.1.002 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aos recursos na AWS nuvem garantindo que a MFA de hardware esteja habilitada para o usuário raiz. O usuário root é o usuário mais privilegiado em uma AWS conta. O MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir MFA para o usuário raiz, você pode reduzir os incidentes de contas comprometidas. AWS | |
| AC.1.002 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aos recursos na AWS nuvem garantindo que a MFA esteja habilitada para o usuário raiz. O usuário root é o usuário mais privilegiado em uma AWS conta. O MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir MFA para o usuário raiz, você pode reduzir os incidentes de contas comprometidas. AWS | |
| AC.1.002 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização. | |
| AC.1.002 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| AC.1.002 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso à AWS nuvem ativando s3_ bucket_policy_grantee_check. Essa regra verifica se o acesso concedido pelo bucket do Amazon S3 é restrito por qualquer um dos AWS principais, usuários federados, entidades principais de serviços, endereços IP ou IDs da Amazon Virtual Private Cloud (Amazon VPC) que você fornece. | |
| AC.1.002 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| AC.1.002 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| AC.1.002 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os SageMaker notebooks da Amazon não permitam acesso direto à Internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| AC.1.002 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem monitorada do tráfego de entrada e saída da rede aos recursos. AWS Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto aos seus AWS recursos. | |
| AC.1.002 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos. | |
| AC.1.002 | Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar. | Gerencie o acesso à AWS nuvem garantindo que os domínios do Amazon OpenSearch Service estejam dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service dentro de um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| AC.1.003 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Certifique-se de que o AWS WAF esteja ativado nos Elastic Load Balancers (ELB) para ajudar a proteger aplicativos da web. Um WAF ajuda a proteger seus aplicativos web ou APIs contra explorações comuns da web. Essas explorações da web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente. | |
| AC.1.003 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. Os recursos do EC2 não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus aplicativos ou servidores. | |
| AC.1.003 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Gerencie o acesso à AWS nuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| AC.1.003 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Gerencie o acesso à AWS nuvem garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| AC.1.003 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem controlada do tráfego de entrada e saída da rede aos recursos. AWS Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto. | |
| AC.1.003 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os gateways de internet estejam conectados somente à Amazon Virtual Private Cloud autorizada (Amazon VPC). Os gateways de Internet permitem acesso bidirecional à Internet de e para a Amazon VPC, o que pode potencialmente levar ao acesso não autorizado aos recursos da Amazon VPC. | |
| AC.1.003 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos. | |
| AC.1.003 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Certifique-se de que as tabelas de rotas do Amazon EC2 não tenham rotas irrestritas para um gateway de internet. Remover ou limitar o acesso à Internet para cargas de trabalho nas Amazon VPCs pode reduzir o acesso não intencional ao seu ambiente. | |
| AC.1.003 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas. | |
| AC.1.003 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| AC.1.003 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (Config Defaults: 20,21.3389.3306.4333). Os valores reais devem refletir as políticas da sua organização. | |
| AC.1.003 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização. | |
| AC.1.003 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| AC.1.003 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| AC.1.003 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| AC.1.003 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os SageMaker notebooks da Amazon não permitam acesso direto à Internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| AC.1.003 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Certifique-se AWS de que os documentos do Systems Manager (SSM) não sejam públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos. | |
| AC.1.003 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Gerencie o acesso à AWS nuvem garantindo que as sub-redes da Amazon Virtual Private Cloud (VPC) não recebam automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são lançadas em sub-redes com esse atributo ativado têm um endereço IP público atribuído à sua interface de rede primária. | |
| AC.1.003 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem monitorada do tráfego de entrada e saída da rede aos recursos. AWS Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto aos seus AWS recursos. | |
| AC.1.003 | Verifique e controle/limite as conexões e o uso de sistemas de informação externos. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos. | |
| AC.2.007 | Empregue o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas. | Gerencie o acesso à AWS nuvem garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| AC.2.007 | Empregue o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas. | Gerencie o acesso à AWS nuvem garantindo que os instantâneos do EBS não sejam restauráveis publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| AC.2.007 | Empregue o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas. | Certifique-se de que o método Instance Metadata Service Version 2 (IMDSv2) esteja habilitado para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir as alterações nos metadados da instância. | |
| AC.2.007 | Empregue o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas. | Gerencie o acesso à AWS nuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| AC.2.007 | Empregue o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas. | Gerencie o acesso à AWS nuvem garantindo que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Um domínio OpenSearch de serviço em uma Amazon VPC permite a comunicação segura entre o OpenSearch serviço e outros serviços dentro da Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| AC.2.007 | Empregue o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas. | As permissões e autorizações de acesso podem ser gerenciadas e incorporadas com os princípios de privilégio mínimo e separação de tarefas, habilitando o Kerberos para clusters do Amazon EMR. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como principais. Os principais existem em um reino Kerberos. Dentro do reino, um servidor Kerberos é conhecido como centro de distribuição de chaves (KDC). Ele fornece um meio para os diretores se autenticarem. O KDC se autentica emitindo tíquetes para autenticação. O KDC mantém um banco de dados das entidades principais dentro do realm, as senhas e outras informações administrativas sobre cada principal. | |
| AC.2.007 | Empregue o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas. | Gerencie o acesso à AWS nuvem garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| AC.2.007 | Empregue o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas. | AWSO Identity and Access Management (IAM) pode ajudá-lo a incorporar os princípios de privilégio mínimo e separação de tarefas com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em AWS todas as chaves do Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. Essa regra permite que você defina o blockedActionsPatterns parâmetro. (Valor AWS básico das melhores práticas de segurança: kms:Decrypt, kms:). ReEncryptFrom Os valores reais devem refletir as políticas da sua organização | |
| AC.2.007 | Empregue o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas. | AWSO Identity and Access Management (IAM) pode ajudá-lo a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar privilégios mínimos. | |
| AC.2.007 | Empregue o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas. | Certifique-se de que um usuário, uma função do IAM ou um grupo do IAM do AWS Identity and Access Management (IAM) não tenha uma política embutida para permitir ações bloqueadas em AWS todas as chaves do Key Management Service. AWSrecomenda usar políticas gerenciadas em vez de políticas embutidas. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o blockedActionsPatterns parâmetro. (Valor AWS básico das melhores práticas de segurança: kms:Decrypt, kms:). ReEncryptFrom Os valores reais devem refletir as políticas da sua organização. | |
| AC.2.007 | Empregue o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas. | Certifique-se de que um usuário, uma função do IAM ou um grupo do IAM do AWS Identity and Access Management (IAM) não tenha uma política embutida para controlar o acesso a sistemas e ativos. AWSrecomenda usar políticas gerenciadas em vez de políticas embutidas. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões. | |
| AC.2.007 | Empregue o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas. | AWSO Identity and Access Management (IAM) pode ajudá-lo a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” sobre “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. | |
| AC.2.007 | Empregue o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas. | Garanta que as ações do IAM estejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. | |
| AC.2.007 | Empregue o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas. | O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas à sua função de AWS Identity and Access Management (IAM). Certifique-se de que as chaves de acesso raiz sejam excluídas. Em vez disso, crie e use AWS contas baseadas em funções para ajudar a incorporar o princípio da menor funcionalidade. | |
| AC.2.007 | Empregue o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas. | AWSO Identity and Access Management (IAM) pode ajudá-lo a restringir permissões e autorizações de acesso, garantindo que os usuários sejam membros de pelo menos um grupo. Conceder aos usuários mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. | |
| AC.2.007 | Empregue o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas. | Essa regra garante que as políticas de AWS Identity and Access Management (IAM) sejam anexadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios no nível do grupo ou da função ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| AC.2.007 | Empregue o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os gateways de internet estejam conectados somente à Amazon Virtual Private Cloud autorizada (Amazon VPC). Os gateways de Internet permitem acesso bidirecional à Internet de e para a Amazon VPC, o que pode potencialmente levar ao acesso não autorizado aos recursos da Amazon VPC. | |
| AC.2.007 | Empregue o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos. | |
| AC.2.007 | Empregue o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas. | |
| AC.2.007 | Empregue o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| AC.2.007 | Empregue o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| AC.2.007 | Empregue o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização. | |
| AC.2.007 | Empregue o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| AC.2.007 | Empregue o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas. | Gerencie o acesso à AWS nuvem ativando s3_ bucket_policy_grantee_check. Essa regra verifica se o acesso concedido pelo bucket do Amazon S3 é restrito por qualquer um dos AWS principais, usuários federados, entidades principais de serviços, endereços IP ou IDs da Amazon Virtual Private Cloud (Amazon VPC) que você fornece. | |
| AC.2.007 | Empregue o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas. | Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| AC.2.007 | Empregue o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas. | Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| AC.2.007 | Empregue o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os SageMaker notebooks da Amazon não permitam acesso direto à Internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| AC.2.007 | Empregue o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas. | Certifique-se AWS de que os documentos do Systems Manager (SSM) não sejam públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos. | |
| AC.2.007 | Empregue o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas. | Gerencie o acesso à AWS nuvem garantindo que os domínios do Amazon OpenSearch Service estejam dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service dentro de um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| CERCA DE 2.008 | Use contas ou funções não privilegiadas ao acessar funções não relacionadas à segurança. | As permissões e autorizações de acesso podem ser gerenciadas e incorporadas com os princípios de privilégio mínimo e separação de tarefas, habilitando o Kerberos para clusters do Amazon EMR. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como principais. Os principais existem em um reino Kerberos. Dentro do reino, um servidor Kerberos é conhecido como centro de distribuição de chaves (KDC). Ele fornece um meio para os diretores se autenticarem. O KDC se autentica emitindo tíquetes para autenticação. O KDC mantém um banco de dados das entidades principais dentro do realm, as senhas e outras informações administrativas sobre cada principal. | |
| CERCA DE 2.008 | Use contas ou funções não privilegiadas ao acessar funções não relacionadas à segurança. | AWSO Identity and Access Management (IAM) pode ajudá-lo a incorporar os princípios de privilégio mínimo e separação de tarefas com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em AWS todas as chaves do Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. Essa regra permite que você defina o blockedActionsPatterns parâmetro. (Valor AWS básico das melhores práticas de segurança: kms:Decrypt, kms:). ReEncryptFrom Os valores reais devem refletir as políticas da sua organização | |
| CERCA DE 2.008 | Use contas ou funções não privilegiadas ao acessar funções não relacionadas à segurança. | AWSO Identity and Access Management (IAM) pode ajudá-lo a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar privilégios mínimos. | |
| CERCA DE 2.008 | Use contas ou funções não privilegiadas ao acessar funções não relacionadas à segurança. | Certifique-se de que um usuário, uma função do IAM ou um grupo do IAM do AWS Identity and Access Management (IAM) não tenha uma política embutida para permitir ações bloqueadas em AWS todas as chaves do Key Management Service. AWSrecomenda usar políticas gerenciadas em vez de políticas embutidas. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o blockedActionsPatterns parâmetro. (Valor AWS básico das melhores práticas de segurança: kms:Decrypt, kms:). ReEncryptFrom Os valores reais devem refletir as políticas da sua organização. | |
| CERCA DE 2.008 | Use contas ou funções não privilegiadas ao acessar funções não relacionadas à segurança. | Certifique-se de que um usuário, uma função do IAM ou um grupo do IAM do AWS Identity and Access Management (IAM) não tenha uma política embutida para controlar o acesso a sistemas e ativos. AWSrecomenda usar políticas gerenciadas em vez de políticas embutidas. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões. | |
| CERCA DE 2.008 | Use contas ou funções não privilegiadas ao acessar funções não relacionadas à segurança. | AWSO Identity and Access Management (IAM) pode ajudá-lo a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” sobre “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. | |
| CERCA DE 2.008 | Use contas ou funções não privilegiadas ao acessar funções não relacionadas à segurança. | Garanta que as ações do IAM estejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. | |
| CERCA DE 2.008 | Use contas ou funções não privilegiadas ao acessar funções não relacionadas à segurança. | O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas à sua função de AWS Identity and Access Management (IAM). Certifique-se de que as chaves de acesso raiz sejam excluídas. Em vez disso, crie e use AWS contas baseadas em funções para ajudar a incorporar o princípio da menor funcionalidade. | |
| CERCA DE 2.008 | Use contas ou funções não privilegiadas ao acessar funções não relacionadas à segurança. | AWSO Identity and Access Management (IAM) pode ajudá-lo a restringir permissões e autorizações de acesso, garantindo que os usuários sejam membros de pelo menos um grupo. Conceder aos usuários mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. | |
| CERCA DE 2.008 | Use contas ou funções não privilegiadas ao acessar funções não relacionadas à segurança. | Essa regra garante que as políticas de AWS Identity and Access Management (IAM) sejam anexadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios no nível do grupo ou da função ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| AC.2.013 | Monitore e controle as sessões de acesso remoto. | CloudWatch Os alarmes da Amazon alertam quando uma métrica ultrapassa o limite de um número específico de períodos de avaliação. O alarme realiza uma ou mais ações com base no valor da métrica ou na expressão relativa a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (Config Default: True), insufficientDataAction Obrigatório (Config Default: True), ( okActionRequired Config Default: False). O valor real deve refletir as ações de alarme do seu ambiente. | |
| AC.2.013 | Monitore e controle as sessões de acesso remoto. | Use CloudWatch a Amazon para coletar e gerenciar centralmente a atividade de eventos de log. A inclusão de AWS CloudTrail dados fornece detalhes da atividade de chamadas de API em sua AWS conta. | |
| AC.2.013 | Monitore e controle as sessões de acesso remoto. | A Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de cibersegurança usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seu ambiente de AWS nuvem. | |
| AC.2.013 | Monitore e controle as sessões de acesso remoto. | AWSO Security Hub ajuda a monitorar pessoas, conexões, dispositivos e software não autorizados. AWS O Security Hub agrega, organiza e prioriza os alertas ou descobertas de segurança de vários serviços. AWS Alguns desses serviços são Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer, Firewall AWS Manager e soluções de parceiros. AWS | |
| AC.2.016 | Controle o fluxo de CUI de acordo com as autorizações aprovadas. | Certifique-se de que o AWS WAF esteja ativado nos Elastic Load Balancers (ELB) para ajudar a proteger aplicativos da web. Um WAF ajuda a proteger seus aplicativos web ou APIs contra explorações comuns da web. Essas explorações da web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente. | |
| AC.2.016 | Controle o fluxo de CUI de acordo com as autorizações aprovadas. | AWSO WAF permite que você configure um conjunto de regras (chamado de lista de controle de acesso à web (Web ACL)) que permite, bloqueia ou conta solicitações da web com base nas regras e condições de segurança da web personalizáveis que você define. Certifique-se de que seu estágio do Amazon API Gateway esteja associado a uma WAF Web ACL para protegê-lo contra ataques maliciosos | |
| AC.2.016 | Controle o fluxo de CUI de acordo com as autorizações aprovadas. | Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. Os recursos do EC2 não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus aplicativos ou servidores. | |
| AC.2.016 | Controle o fluxo de CUI de acordo com as autorizações aprovadas. | Gerencie o acesso à AWS nuvem garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| AC.2.016 | Controle o fluxo de CUI de acordo com as autorizações aprovadas. | Gerencie o acesso à AWS nuvem garantindo que os instantâneos do EBS não sejam restauráveis publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| AC.2.016 | Controle o fluxo de CUI de acordo com as autorizações aprovadas. | Gerencie o acesso à AWS nuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| AC.2.016 | Controle o fluxo de CUI de acordo com as autorizações aprovadas. | Gerencie o acesso à AWS nuvem garantindo que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Um domínio OpenSearch de serviço em uma Amazon VPC permite a comunicação segura entre o OpenSearch serviço e outros serviços dentro da Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| AC.2.016 | Controle o fluxo de CUI de acordo com as autorizações aprovadas. | Gerencie o acesso à AWS nuvem garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| AC.2.016 | Controle o fluxo de CUI de acordo com as autorizações aprovadas. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem controlada do tráfego de entrada e saída da rede aos recursos. AWS Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto. | |
| AC.2.016 | Controle o fluxo de CUI de acordo com as autorizações aprovadas. | Implante instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços dentro da Amazon VPC, sem exigir um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Por causa de seu isolamento lógico, os domínios que residem em uma Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Atribua instâncias do Amazon EC2 a uma Amazon VPC para gerenciar adequadamente o acesso. | |
| AC.2.016 | Controle o fluxo de CUI de acordo com as autorizações aprovadas. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os gateways de internet estejam conectados somente à Amazon Virtual Private Cloud autorizada (Amazon VPC). Os gateways de Internet permitem acesso bidirecional à Internet de e para a Amazon VPC, o que pode potencialmente levar ao acesso não autorizado aos recursos da Amazon VPC. | |
| AC.2.016 | Controle o fluxo de CUI de acordo com as autorizações aprovadas. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos. | |
| AC.2.016 | Controle o fluxo de CUI de acordo com as autorizações aprovadas. | Implante funções AWS Lambda em uma Amazon Virtual Private Cloud (Amazon VPC) para uma comunicação segura entre uma função e outros serviços dentro da Amazon VPC. Com essa configuração, não há necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece seguro na nuvem. AWS Por causa de seu isolamento lógico, os domínios que residem em uma Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Para gerenciar adequadamente o acesso, as funções do AWS Lambda devem ser atribuídas a uma VPC. | |
| AC.2.016 | Controle o fluxo de CUI de acordo com as autorizações aprovadas. | Certifique-se de que as tabelas de rotas do Amazon EC2 não tenham rotas irrestritas para um gateway de internet. Remover ou limitar o acesso à Internet para cargas de trabalho nas Amazon VPCs pode reduzir o acesso não intencional ao seu ambiente. | |
| AC.2.016 | Controle o fluxo de CUI de acordo com as autorizações aprovadas. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas. | |
| AC.2.016 | Controle o fluxo de CUI de acordo com as autorizações aprovadas. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| AC.2.016 | Controle o fluxo de CUI de acordo com as autorizações aprovadas. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| AC.2.016 | Controle o fluxo de CUI de acordo com as autorizações aprovadas. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (Config Defaults: 20,21.3389.3306.4333). Os valores reais devem refletir as políticas da sua organização. | |
| AC.2.016 | Controle o fluxo de CUI de acordo com as autorizações aprovadas. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização. | |
| AC.2.016 | Controle o fluxo de CUI de acordo com as autorizações aprovadas. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| AC.2.016 | Controle o fluxo de CUI de acordo com as autorizações aprovadas. | Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| AC.2.016 | Controle o fluxo de CUI de acordo com as autorizações aprovadas. | Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| AC.2.016 | Controle o fluxo de CUI de acordo com as autorizações aprovadas. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os SageMaker notebooks da Amazon não permitam acesso direto à Internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| AC.2.016 | Controle o fluxo de CUI de acordo com as autorizações aprovadas. | Certifique-se AWS de que os documentos do Systems Manager (SSM) não sejam públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos. | |
| AC.2.016 | Controle o fluxo de CUI de acordo com as autorizações aprovadas. | Gerencie o acesso à AWS nuvem garantindo que as sub-redes da Amazon Virtual Private Cloud (VPC) não recebam automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são lançadas em sub-redes com esse atributo ativado têm um endereço IP público atribuído à sua interface de rede primária. | |
| AC.2.016 | Controle o fluxo de CUI de acordo com as autorizações aprovadas. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem monitorada do tráfego de entrada e saída da rede aos recursos. AWS Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto aos seus AWS recursos. | |
| AC.2.016 | Controle o fluxo de CUI de acordo com as autorizações aprovadas. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos. | |
| AC.2.016 | Controle o fluxo de CUI de acordo com as autorizações aprovadas. | Gerencie o acesso à AWS nuvem garantindo que os domínios do Amazon OpenSearch Service estejam dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service dentro de um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| AC.3.014 | Empregue mecanismos criptográficos para proteger a confidencialidade das sessões de acesso remoto. | Garanta que a integridade da rede seja protegida garantindo que os certificados X509 sejam emitidos pelo AWS ACM. Esses certificados devem ser válidos e não expirados. Essa regra exige um valor para daysToExpiration (valor das melhores práticas de segurança AWS básicas: 90). O valor real deve refletir as políticas da sua organização. | |
| AC.3.014 | Empregue mecanismos criptográficos para proteger a confidencialidade das sessões de acesso remoto. | Para ajudar a proteger os dados em trânsito, certifique-se de que seu Application Load Balancer redirecione automaticamente as solicitações HTTP não criptografadas para HTTPS. Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados. | |
| AC.3.014 | Empregue mecanismos criptográficos para proteger a confidencialidade das sessões de acesso remoto. | Certifique-se de que os estágios da API REST do Amazon API Gateway estejam configurados com certificados SSL para permitir que os sistemas de back-end autentiquem que as solicitações são originadas do API Gateway. | |
| AC.3.014 | Empregue mecanismos criptográficos para proteger a confidencialidade das sessões de acesso remoto. | Certifique-se node-to-node de que a criptografia para o Amazon OpenSearch Service esteja ativada. A ode-to-node criptografia N habilita a criptografia TLS 1.2 para todas as comunicações dentro da Amazon Virtual Private Cloud (Amazon VPC). Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados. | |
| AC.3.014 | Empregue mecanismos criptográficos para proteger a confidencialidade das sessões de acesso remoto. | Como dados confidenciais podem existir e para ajudar a proteger os dados em trânsito, garanta que a criptografia esteja habilitada para seu Elastic Load Balancing. Use o AWS Certificate Manager para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados com AWS serviços e recursos internos. | |
| AC.3.014 | Empregue mecanismos criptográficos para proteger a confidencialidade das sessões de acesso remoto. | Como dados confidenciais podem existir e para ajudar a proteger os dados em trânsito, garanta que a criptografia esteja habilitada para seu Elastic Load Balancing. Use o AWS Certificate Manager para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados com AWS serviços e recursos internos. | |
| AC.3.014 | Empregue mecanismos criptográficos para proteger a confidencialidade das sessões de acesso remoto. | Certifique-se de que seus Elastic Load Balancers (ELBs) estejam configurados com ouvintes SSL ou HTTPS. Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados. | |
| AC.3.014 | Empregue mecanismos criptográficos para proteger a confidencialidade das sessões de acesso remoto. | Certifique-se de que seus clusters do Amazon Redshift exijam criptografia TLS/SSL para se conectar aos clientes SQL. Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados. | |
| AC.3.014 | Empregue mecanismos criptográficos para proteger a confidencialidade das sessões de acesso remoto. | Para ajudar a proteger os dados em trânsito, garanta que seus buckets do Amazon Simple Storage Service (Amazon S3) exijam solicitações para usar o Secure Socket Layer (SSL). Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados. | |
| AC.3.014 | Empregue mecanismos criptográficos para proteger a confidencialidade das sessões de acesso remoto. | Certifique-se node-to-node de que a criptografia para o Amazon OpenSearch Service esteja ativada. A ode-to-node criptografia N habilita a criptografia TLS 1.2 para todas as comunicações dentro da Amazon Virtual Private Cloud (Amazon VPC). Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados. | |
| AC.3.017 | Separe os deveres dos indivíduos para reduzir o risco de atividades malévolas sem conluio. | As permissões e autorizações de acesso podem ser gerenciadas e incorporadas com os princípios de privilégio mínimo e separação de tarefas, habilitando o Kerberos para clusters do Amazon EMR. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como principais. Os principais existem em um reino Kerberos. Dentro do reino, um servidor Kerberos é conhecido como centro de distribuição de chaves (KDC). Ele fornece um meio para os diretores se autenticarem. O KDC se autentica emitindo tíquetes para autenticação. O KDC mantém um banco de dados das entidades principais dentro do realm, as senhas e outras informações administrativas sobre cada principal. | |
| AC.3.017 | Separe os deveres dos indivíduos para reduzir o risco de atividades malévolas sem conluio. | AWSO Identity and Access Management (IAM) pode ajudá-lo a incorporar os princípios de privilégio mínimo e separação de tarefas com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em AWS todas as chaves do Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. Essa regra permite que você defina o blockedActionsPatterns parâmetro. (Valor AWS básico das melhores práticas de segurança: kms:Decrypt, kms:). ReEncryptFrom Os valores reais devem refletir as políticas da sua organização | |
| AC.3.017 | Separe os deveres dos indivíduos para reduzir o risco de atividades malévolas sem conluio. | AWSO Identity and Access Management (IAM) pode ajudá-lo a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar privilégios mínimos. | |
| AC.3.017 | Separe os deveres dos indivíduos para reduzir o risco de atividades malévolas sem conluio. | Certifique-se de que um usuário, uma função do IAM ou um grupo do IAM do AWS Identity and Access Management (IAM) não tenha uma política embutida para controlar o acesso a sistemas e ativos. AWSrecomenda usar políticas gerenciadas em vez de políticas embutidas. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões. | |
| AC.3.017 | Separe os deveres dos indivíduos para reduzir o risco de atividades malévolas sem conluio. | AWSO Identity and Access Management (IAM) pode ajudá-lo a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” sobre “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. | |
| AC.3.017 | Separe os deveres dos indivíduos para reduzir o risco de atividades malévolas sem conluio. | Garanta que as ações do IAM estejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. | |
| AC.3.017 | Separe os deveres dos indivíduos para reduzir o risco de atividades malévolas sem conluio. | O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas à sua função de AWS Identity and Access Management (IAM). Certifique-se de que as chaves de acesso raiz sejam excluídas. Em vez disso, crie e use AWS contas baseadas em funções para ajudar a incorporar o princípio da menor funcionalidade. | |
| AC.3.017 | Separe os deveres dos indivíduos para reduzir o risco de atividades malévolas sem conluio. | AWSO Identity and Access Management (IAM) pode ajudá-lo a restringir permissões e autorizações de acesso, garantindo que os usuários sejam membros de pelo menos um grupo. Conceder aos usuários mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. | |
| AC.3.017 | Separe os deveres dos indivíduos para reduzir o risco de atividades malévolas sem conluio. | Essa regra garante que as políticas de AWS Identity and Access Management (IAM) sejam anexadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios no nível do grupo ou da função ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| AC.3.017 | Separe os deveres dos indivíduos para reduzir o risco de atividades malévolas sem conluio. | Gerencie o acesso à AWS nuvem ativando s3_ bucket_policy_grantee_check. Essa regra verifica se o acesso concedido pelo bucket do Amazon S3 é restrito por qualquer um dos AWS principais, usuários federados, entidades principais de serviços, endereços IP ou IDs da Amazon Virtual Private Cloud (Amazon VPC) que você fornece. | |
| AC.3.018 | Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos registros de auditoria. | O registro do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles acessaram a API. Esse insight permite a visibilidade das atividades do usuário. | |
| AC.3.018 | Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos registros de auditoria. | A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda na detecção de qualquer atividade anômala. Os detalhes incluem informações AWS da conta que acessou um bucket do Amazon S3, endereço IP e horário do evento. | |
| AC.3.018 | Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos registros de auditoria. | Use CloudWatch a Amazon para coletar e gerenciar centralmente a atividade de eventos de log. A inclusão de AWS CloudTrail dados fornece detalhes da atividade de chamadas de API em sua AWS conta. | |
| AC.3.018 | Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos registros de auditoria. | AWS CloudTrail pode ajudar na não repúdio gravando ações do AWS Management Console e chamadas de API. Você pode identificar os usuários e AWS as contas que ligaram para um AWS serviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos no Conteúdo do AWS CloudTrail Registro. | |
| AC.3.018 | Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos registros de auditoria. | A atividade do Elastic Load Balancing é um ponto central de comunicação dentro de um ambiente. Certifique-se de que o registro do ELB esteja ativado. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor. | |
| AC.3.018 | Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos registros de auditoria. | As permissões e autorizações de acesso podem ser gerenciadas e incorporadas com os princípios de privilégio mínimo e separação de tarefas, habilitando o Kerberos para clusters do Amazon EMR. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como principais. Os principais existem em um reino Kerberos. Dentro do reino, um servidor Kerberos é conhecido como centro de distribuição de chaves (KDC). Ele fornece um meio para os diretores se autenticarem. O KDC se autentica emitindo tíquetes para autenticação. O KDC mantém um banco de dados das entidades principais dentro do realm, as senhas e outras informações administrativas sobre cada principal. | |
| AC.3.018 | Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos registros de auditoria. | AWSO Identity and Access Management (IAM) pode ajudá-lo a incorporar os princípios de privilégio mínimo e separação de tarefas com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em AWS todas as chaves do Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. Essa regra permite que você defina o blockedActionsPatterns parâmetro. (Valor AWS básico das melhores práticas de segurança: kms:Decrypt, kms:). ReEncryptFrom Os valores reais devem refletir as políticas da sua organização | |
| AC.3.018 | Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos registros de auditoria. | AWSO Identity and Access Management (IAM) pode ajudá-lo a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar privilégios mínimos. | |
| AC.3.018 | Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos registros de auditoria. | Certifique-se de que um usuário, uma função do IAM ou um grupo do IAM do AWS Identity and Access Management (IAM) não tenha uma política embutida para permitir ações bloqueadas em AWS todas as chaves do Key Management Service. AWSrecomenda usar políticas gerenciadas em vez de políticas embutidas. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o blockedActionsPatterns parâmetro. (Valor AWS básico das melhores práticas de segurança: kms:Decrypt, kms:). ReEncryptFrom Os valores reais devem refletir as políticas da sua organização. | |
| AC.3.018 | Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos registros de auditoria. | Certifique-se de que um usuário, uma função do IAM ou um grupo do IAM do AWS Identity and Access Management (IAM) não tenha uma política embutida para controlar o acesso a sistemas e ativos. AWSrecomenda usar políticas gerenciadas em vez de políticas embutidas. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões. | |
| AC.3.018 | Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos registros de auditoria. | AWSO Identity and Access Management (IAM) pode ajudá-lo a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” sobre “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. | |
| AC.3.018 | Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos registros de auditoria. | Garanta que as ações do IAM estejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. | |
| AC.3.018 | Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos registros de auditoria. | O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas à sua função de AWS Identity and Access Management (IAM). Certifique-se de que as chaves de acesso raiz sejam excluídas. Em vez disso, crie e use AWS contas baseadas em funções para ajudar a incorporar o princípio da menor funcionalidade. | |
| AC.3.018 | Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos registros de auditoria. | AWSO Identity and Access Management (IAM) pode ajudá-lo a restringir permissões e autorizações de acesso, garantindo que os usuários sejam membros de pelo menos um grupo. Conceder aos usuários mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. | |
| AC.3.018 | Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos registros de auditoria. | Essa regra garante que as políticas de AWS Identity and Access Management (IAM) sejam anexadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios no nível do grupo ou da função ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| AC.3.018 | Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos registros de auditoria. | AWS CloudTrail registra as ações do AWS Management Console e as chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando elas ocorreram. CloudTrail entregará arquivos de log de todas as AWS regiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, ao AWS lançar uma nova região, CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| AC.3.018 | Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos registros de auditoria. | Para ajudar com o registro e o monitoramento em seu ambiente, garanta que o registro em log do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| AC.3.018 | Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos registros de auditoria. | O registro de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de cibersegurança. Os eventos são monitorados por meio da captura de registros detalhados das solicitações feitas a um bucket do Amazon S3. Cada registro de registro de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem o solicitante, o nome do bucket, o horário da solicitação, a ação da solicitação, o status da resposta e um código de erro, se relevante. | |
| AC.3.018 | Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos registros de auditoria. | Gerencie o acesso à AWS nuvem ativando s3_ bucket_policy_grantee_check. Essa regra verifica se o acesso concedido pelo bucket do Amazon S3 é restrito por qualquer um dos AWS principais, usuários federados, entidades principais de serviços, endereços IP ou IDs da Amazon Virtual Private Cloud (Amazon VPC) que você fornece. | |
| AC.3.018 | Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos registros de auditoria. | Para ajudar com o registro e o monitoramento em seu ambiente, habilite o registro do AWS WAF (V2) em ACLs da web regionais e globais. AWS O registro do WAF fornece informações detalhadas sobre o tráfego que é analisado pela sua ACL da web. Os registros registram a hora em que o AWS WAF recebeu a solicitação do seu AWS recurso, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu. | |
| AU.2.041 | Garanta que as ações de usuários individuais do sistema possam ser rastreadas exclusivamente até esses usuários, para que eles possam ser responsabilizados por suas ações. | O registro do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles acessaram a API. Esse insight permite a visibilidade das atividades do usuário. | |
| AU.2.041 | Garanta que as ações de usuários individuais do sistema possam ser rastreadas exclusivamente até esses usuários, para que eles possam ser responsabilizados por suas ações. | A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda na detecção de qualquer atividade anômala. Os detalhes incluem informações AWS da conta que acessou um bucket do Amazon S3, endereço IP e horário do evento. | |
| AU.2.041 | Garanta que as ações de usuários individuais do sistema possam ser rastreadas exclusivamente até esses usuários, para que eles possam ser responsabilizados por suas ações. | Use CloudWatch a Amazon para coletar e gerenciar centralmente a atividade de eventos de log. A inclusão de AWS CloudTrail dados fornece detalhes da atividade de chamadas de API em sua AWS conta. | |
| AU.2.041 | Garanta que as ações de usuários individuais do sistema possam ser rastreadas exclusivamente até esses usuários, para que eles possam ser responsabilizados por suas ações. | AWS CloudTrail pode ajudar na não repúdio gravando ações do AWS Management Console e chamadas de API. Você pode identificar os usuários e AWS as contas que ligaram para um AWS serviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos no Conteúdo do AWS CloudTrail Registro. | |
| AU.2.041 | Garanta que as ações de usuários individuais do sistema possam ser rastreadas exclusivamente até esses usuários, para que eles possam ser responsabilizados por suas ações. | A atividade do Elastic Load Balancing é um ponto central de comunicação dentro de um ambiente. Certifique-se de que o registro do ELB esteja ativado. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor. | |
| AU.2.041 | Garanta que as ações de usuários individuais do sistema possam ser rastreadas exclusivamente até esses usuários, para que eles possam ser responsabilizados por suas ações. | AWS CloudTrail registra as ações do AWS Management Console e as chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando elas ocorreram. CloudTrail entregará arquivos de log de todas as AWS regiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, ao AWS lançar uma nova região, CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| AU.2.041 | Garanta que as ações de usuários individuais do sistema possam ser rastreadas exclusivamente até esses usuários, para que eles possam ser responsabilizados por suas ações. | Para ajudar com o registro e o monitoramento em seu ambiente, garanta que o registro em log do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| AU.2.041 | Garanta que as ações de usuários individuais do sistema possam ser rastreadas exclusivamente até esses usuários, para que eles possam ser responsabilizados por suas ações. | O registro de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de cibersegurança. Os eventos são monitorados por meio da captura de registros detalhados das solicitações feitas a um bucket do Amazon S3. Cada registro de registro de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem o solicitante, o nome do bucket, o horário da solicitação, a ação da solicitação, o status da resposta e um código de erro, se relevante. | |
| AU.2.041 | Garanta que as ações de usuários individuais do sistema possam ser rastreadas exclusivamente até esses usuários, para que eles possam ser responsabilizados por suas ações. | Para ajudar com o registro e o monitoramento em seu ambiente, habilite o registro do AWS WAF (V2) em ACLs da web regionais e globais. AWS O registro do WAF fornece informações detalhadas sobre o tráfego que é analisado pela sua ACL da web. Os registros registram a hora em que o AWS WAF recebeu a solicitação do seu AWS recurso, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu. | |
| AU.2.042 | Crie e retenha registros e registros de auditoria do sistema na medida do necessário para permitir o monitoramento, a análise, a investigação e a emissão de relatórios de atividades ilegais ou não autorizadas do sistema. | O registro do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles acessaram a API. Esse insight permite a visibilidade das atividades do usuário. | |
| AU.2.042 | Crie e retenha registros e registros de auditoria do sistema na medida do necessário para permitir o monitoramento, a análise, a investigação e a emissão de relatórios de atividades ilegais ou não autorizadas do sistema. | A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda na detecção de qualquer atividade anômala. Os detalhes incluem informações AWS da conta que acessou um bucket do Amazon S3, endereço IP e horário do evento. | |
| AU.2.042 | Crie e retenha registros e registros de auditoria do sistema na medida do necessário para permitir o monitoramento, a análise, a investigação e a emissão de relatórios de atividades ilegais ou não autorizadas do sistema. | Use CloudWatch a Amazon para coletar e gerenciar centralmente a atividade de eventos de log. A inclusão de AWS CloudTrail dados fornece detalhes da atividade de chamadas de API em sua AWS conta. | |
| AU.2.042 | Crie e retenha registros e registros de auditoria do sistema na medida do necessário para permitir o monitoramento, a análise, a investigação e a emissão de relatórios de atividades ilegais ou não autorizadas do sistema. | AWS CloudTrail pode ajudar na não repúdio gravando ações do AWS Management Console e chamadas de API. Você pode identificar os usuários e AWS as contas que ligaram para um AWS serviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos no Conteúdo do AWS CloudTrail Registro. | |
| AU.2.042 | Crie e retenha registros e registros de auditoria do sistema na medida do necessário para permitir o monitoramento, a análise, a investigação e a emissão de relatórios de atividades ilegais ou não autorizadas do sistema. | Garanta que os dados do registro de eventos sejam retidos por uma duração mínima para seus grupos de registros para ajudar na solução de problemas e nas investigações forenses. A falta de dados de registro de eventos anteriores disponíveis dificulta a reconstrução e a identificação de eventos potencialmente maliciosos. | |
| AU.2.042 | Crie e retenha registros e registros de auditoria do sistema na medida do necessário para permitir o monitoramento, a análise, a investigação e a emissão de relatórios de atividades ilegais ou não autorizadas do sistema. | A atividade do Elastic Load Balancing é um ponto central de comunicação dentro de um ambiente. Certifique-se de que o registro do ELB esteja ativado. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor. | |
| AU.2.042 | Crie e retenha registros e registros de auditoria do sistema na medida do necessário para permitir o monitoramento, a análise, a investigação e a emissão de relatórios de atividades ilegais ou não autorizadas do sistema. | AWS CloudTrail registra as ações do AWS Management Console e as chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando elas ocorreram. CloudTrail entregará arquivos de log de todas as AWS regiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, ao AWS lançar uma nova região, CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| AU.2.042 | Crie e retenha registros e registros de auditoria do sistema na medida do necessário para permitir o monitoramento, a análise, a investigação e a emissão de relatórios de atividades ilegais ou não autorizadas do sistema. | Para ajudar com o registro e o monitoramento em seu ambiente, garanta que o registro em log do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| AU.2.042 | Crie e retenha registros e registros de auditoria do sistema na medida do necessário para permitir o monitoramento, a análise, a investigação e a emissão de relatórios de atividades ilegais ou não autorizadas do sistema. | O registro de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de cibersegurança. Os eventos são monitorados por meio da captura de registros detalhados das solicitações feitas a um bucket do Amazon S3. Cada registro de registro de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem o solicitante, o nome do bucket, o horário da solicitação, a ação da solicitação, o status da resposta e um código de erro, se relevante. | |
| AU.2.042 | Crie e retenha registros e registros de auditoria do sistema na medida do necessário para permitir o monitoramento, a análise, a investigação e a emissão de relatórios de atividades ilegais ou não autorizadas do sistema. | Para ajudar com o registro e o monitoramento em seu ambiente, habilite o registro do AWS WAF (V2) em ACLs da web regionais e globais. AWS O registro do WAF fornece informações detalhadas sobre o tráfego que é analisado pela sua ACL da web. Os registros registram a hora em que o AWS WAF recebeu a solicitação do seu AWS recurso, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu. | |
| AU.3.046 | Alerta em caso de falha no processo de registro de auditoria. | CloudWatch Os alarmes da Amazon alertam quando uma métrica ultrapassa o limite para um número específico de períodos de avaliação. O alarme realiza uma ou mais ações com base no valor da métrica ou na expressão relativa a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (Config Default: True), insufficientDataAction Obrigatório (Config Default: True), ( okActionRequired Config Default: False). O valor real deve refletir as ações de alarme do seu ambiente. | |
| AU.3.046 | Alerta em caso de falha no processo de registro de auditoria. | Use CloudWatch a Amazon para coletar e gerenciar centralmente a atividade de eventos de log. A inclusão de AWS CloudTrail dados fornece detalhes da atividade de chamadas de API em sua AWS conta. | |
| AU.3.046 | Alerta em caso de falha no processo de registro de auditoria. | A Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de cibersegurança usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seu ambiente de AWS nuvem. | |
| AU.3.046 | Alerta em caso de falha no processo de registro de auditoria. | AWSO Security Hub ajuda a monitorar pessoas, conexões, dispositivos e software não autorizados. AWS O Security Hub agrega, organiza e prioriza os alertas ou descobertas de segurança de vários serviços. AWS Alguns desses serviços são Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer, Firewall AWS Manager e soluções de parceiros. AWS | |
| AU.3.049 | Proteja as informações de auditoria e as ferramentas de registro de auditoria contra acesso, modificação e exclusão não autorizados. | Para ajudar a proteger dados confidenciais em repouso, certifique-se de que a criptografia esteja habilitada para seus grupos de CloudWatch registros da Amazon. | |
| AU.3.049 | Proteja as informações de auditoria e as ferramentas de registro de auditoria contra acesso, modificação e exclusão não autorizados. | Como podem existir dados confidenciais e para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para suas AWS CloudTrail trilhas. | |
| AU.3.049 | Proteja as informações de auditoria e as ferramentas de registro de auditoria contra acesso, modificação e exclusão não autorizados. | Utilize a validação do arquivo de AWS CloudTrail log para verificar a integridade dos CloudTrail registros. A validação do arquivo de log ajuda a determinar se um arquivo de log foi modificado, excluído ou inalterado após a CloudTrail entrega. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Isso torna computacionalmente inviável modificar, excluir ou CloudTrail falsificar arquivos de log sem detecção. | |
| AU.3.049 | Proteja as informações de auditoria e as ferramentas de registro de auditoria contra acesso, modificação e exclusão não autorizados. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização. | |
| AU.3.049 | Proteja as informações de auditoria e as ferramentas de registro de auditoria contra acesso, modificação e exclusão não autorizados. | Certifique-se de que seu bucket do Amazon Simple Storage Service (Amazon S3) tenha o bloqueio ativado, por padrão. Como dados confidenciais podem existir em repouso nos buckets do S3, aplique bloqueios de objetos em repouso para ajudar a proteger esses dados. | |
| AU.3.049 | Proteja as informações de auditoria e as ferramentas de registro de auditoria contra acesso, modificação e exclusão não autorizados. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| AU.3.049 | Proteja as informações de auditoria e as ferramentas de registro de auditoria contra acesso, modificação e exclusão não autorizados. | Gerencie o acesso à AWS nuvem ativando s3_ bucket_policy_grantee_check. Essa regra verifica se o acesso concedido pelo bucket do Amazon S3 é restrito por qualquer um dos AWS principais, usuários federados, entidades principais de serviços, endereços IP ou IDs da Amazon Virtual Private Cloud (Amazon VPC) que você fornece. | |
| AU.3.049 | Proteja as informações de auditoria e as ferramentas de registro de auditoria contra acesso, modificação e exclusão não autorizados. | Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| AU.3.049 | Proteja as informações de auditoria e as ferramentas de registro de auditoria contra acesso, modificação e exclusão não autorizados. | Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| AU.3.049 | Proteja as informações de auditoria e as ferramentas de registro de auditoria contra acesso, modificação e exclusão não autorizados. | Para ajudar a proteger dados em repouso, garanta que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a proteger esses dados. | |
| AU.3.049 | Proteja as informações de auditoria e as ferramentas de registro de auditoria contra acesso, modificação e exclusão não autorizados. | Para ajudar a proteger os dados em trânsito, garanta que seus buckets do Amazon Simple Storage Service (Amazon S3) exijam solicitações para usar o Secure Socket Layer (SSL). Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados. | |
| AU.3.049 | Proteja as informações de auditoria e as ferramentas de registro de auditoria contra acesso, modificação e exclusão não autorizados. | O controle de versão do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter várias variantes de um objeto no mesmo bucket do Amazon S3. Use o controle de versão para preservar, recuperar e restaurar todas as versões de cada objeto armazenado em seu bucket do Amazon S3. O controle de versão ajuda você a se recuperar facilmente de ações não intencionais do usuário e falhas de aplicativos. | |
| AU.3.049 | Proteja as informações de auditoria e as ferramentas de registro de auditoria contra acesso, modificação e exclusão não autorizados. | Certifique-se de que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso em um bucket do Amazon S3, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| AU.3.051 | Correlacione os processos de revisão, análise e emissão de relatórios de registros de auditoria para investigação e resposta a indícios de atividades ilegais, não autorizadas, suspeitas ou incomuns. | A Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de cibersegurança usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seu ambiente de AWS nuvem. | |
| AU.3.051 | Correlacione os processos de revisão, análise e emissão de relatórios de registros de auditoria para investigação e resposta a indícios de atividades ilegais, não autorizadas, suspeitas ou incomuns. | AWSO Security Hub ajuda a monitorar pessoas, conexões, dispositivos e software não autorizados. AWS O Security Hub agrega, organiza e prioriza os alertas ou descobertas de segurança de vários serviços. AWS Alguns desses serviços são Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer, Firewall AWS Manager e soluções de parceiros. AWS | |
| CA.2.159 | Desenvolva e implemente planos de ação projetados para corrigir deficiências e reduzir ou eliminar vulnerabilidades nos sistemas organizacionais. | vuln-management-plan-exists (Verificação do processo) | Garanta que um plano de gerenciamento de vulnerabilidades seja desenvolvido e implementado para ter um processo formalmente definido para lidar com as vulnerabilidades em seu ambiente. Isso pode incluir ferramentas de gerenciamento de vulnerabilidades, cadência de análise ambiental, funções e responsabilidades. |
| CA.3.161 | Monitore os controles de segurança continuamente para garantir a eficácia contínua dos controles. | CloudWatch Os alarmes da Amazon alertam quando uma métrica ultrapassa o limite para um número específico de períodos de avaliação. O alarme realiza uma ou mais ações com base no valor da métrica ou na expressão relativa a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (Config Default: True), insufficientDataAction Obrigatório (Config Default: True), ( okActionRequired Config Default: False). O valor real deve refletir as ações de alarme do seu ambiente. | |
| CA.3.161 | Monitore os controles de segurança continuamente para garantir a eficácia contínua dos controles. | A Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de cibersegurança usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seu ambiente de AWS nuvem. | |
| CA.3.161 | Monitore os controles de segurança continuamente para garantir a eficácia contínua dos controles. | AWSO Security Hub ajuda a monitorar pessoas, conexões, dispositivos e software não autorizados. AWS O Security Hub agrega, organiza e prioriza os alertas ou descobertas de segurança de vários serviços. AWS Alguns desses serviços são Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer, Firewall AWS Manager e soluções de parceiros. AWS | |
| CM.2.061 | Estabeleça e mantenha configurações básicas e inventários de sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. | É possível fazer um inventário das plataformas de software e aplicativos dentro da organização gerenciando instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o Systems Manager. AWS Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome do aplicativo, editor e versão, além de outros detalhes sobre seu ambiente. | |
| CM.2.061 | Estabeleça e mantenha configurações básicas e inventários de sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. | Use o AWS Systems Manager Associations para ajudar no inventário de plataformas e aplicativos de software em uma organização. AWS O Systems Manager atribui um estado de configuração às suas instâncias gerenciadas e permite que você defina linhas de base dos níveis de patch do sistema operacional, instalações de software, configurações de aplicativos e outros detalhes sobre seu ambiente. | |
| CM.2.061 | Estabeleça e mantenha configurações básicas e inventários de sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. | Ative essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se as instâncias do Amazon EC2 estão em conformidade com patches no AWS Systems Manager, conforme exigido pelas políticas e procedimentos da sua organização. | |
| CM.2.061 | Estabeleça e mantenha configurações básicas e inventários de sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. | Habilite essa regra para ajudar na configuração básica das instâncias do Amazon Elastic Compute Cloud (Amazon EC2), verificando se as instâncias do Amazon EC2 foram interrompidas por mais do que o número permitido de dias, de acordo com os padrões da sua organização. | |
| CM.2.061 | Estabeleça e mantenha configurações básicas e inventários de sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. | Essa regra garante que os volumes do Amazon Elastic Block Store anexados às instâncias do Amazon Elastic Compute Cloud (Amazon EC2) sejam marcados para exclusão quando uma instância for encerrada. Se um volume do Amazon EBS não for excluído quando a instância à qual ele está conectado for encerrada, ele poderá violar o conceito de menor funcionalidade. | |
| CM.2.061 | Estabeleça e mantenha configurações básicas e inventários de sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. | Essa regra garante que os IPs elásticos alocados para uma Amazon Virtual Private Cloud (Amazon VPC) sejam anexados às instâncias do Amazon Elastic Compute Cloud (Amazon EC2) ou às interfaces de rede elástica em uso. Essa regra ajuda a monitorar EIPs não utilizados em seu ambiente. | |
| CM.2.062 | Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais. | Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. Os recursos do EC2 não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus aplicativos ou servidores. | |
| CM.2.062 | Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais. | Gerencie o acesso à AWS nuvem garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| CM.2.062 | Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais. | Gerencie o acesso à AWS nuvem garantindo que os instantâneos do EBS não sejam restauráveis publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| CM.2.062 | Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais. | É possível fazer um inventário das plataformas de software e aplicativos dentro da organização gerenciando instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o Systems Manager. AWS Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome do aplicativo, editor e versão, além de outros detalhes sobre seu ambiente. | |
| CM.2.062 | Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais. | Gerencie o acesso à AWS nuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| CM.2.062 | Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais. | Use o AWS Systems Manager Associations para ajudar no inventário de plataformas e aplicativos de software em uma organização. AWS O Systems Manager atribui um estado de configuração às suas instâncias gerenciadas e permite que você defina linhas de base dos níveis de patch do sistema operacional, instalações de software, configurações de aplicativos e outros detalhes sobre seu ambiente. | |
| CM.2.062 | Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais. | Essa regra garante que os volumes do Amazon Elastic Block Store anexados às instâncias do Amazon Elastic Compute Cloud (Amazon EC2) sejam marcados para exclusão quando uma instância for encerrada. Se um volume do Amazon EBS não for excluído quando a instância à qual ele está conectado for encerrada, ele poderá violar o conceito de menor funcionalidade. | |
| CM.2.062 | Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais. | Gerencie o acesso à AWS nuvem garantindo que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Um domínio OpenSearch de serviço em uma Amazon VPC permite a comunicação segura entre o OpenSearch serviço e outros serviços dentro da Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| CM.2.062 | Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais. | Gerencie o acesso à AWS nuvem garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| CM.2.062 | Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem controlada do tráfego de entrada e saída da rede aos recursos. AWS Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto. | |
| CM.2.062 | Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os gateways de internet estejam conectados somente à Amazon Virtual Private Cloud autorizada (Amazon VPC). Os gateways de Internet permitem acesso bidirecional à Internet de e para a Amazon VPC, o que pode potencialmente levar ao acesso não autorizado aos recursos da Amazon VPC. | |
| CM.2.062 | Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos. | |
| CM.2.062 | Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais. | Certifique-se de que as tabelas de rotas do Amazon EC2 não tenham rotas irrestritas para um gateway de internet. Remover ou limitar o acesso à Internet para cargas de trabalho nas Amazon VPCs pode reduzir o acesso não intencional ao seu ambiente. | |
| CM.2.062 | Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas. | |
| CM.2.062 | Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| CM.2.062 | Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| CM.2.062 | Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (Config Defaults: 20,21.3389.3306.4333). Os valores reais devem refletir as políticas da sua organização. | |
| CM.2.062 | Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização. | |
| CM.2.062 | Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| CM.2.062 | Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais. | Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| CM.2.062 | Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais. | Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| CM.2.062 | Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os SageMaker notebooks da Amazon não permitam acesso direto à Internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| CM.2.062 | Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais. | Certifique-se AWS de que os documentos do Systems Manager (SSM) não sejam públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos. | |
| CM.2.062 | Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais. | Gerencie o acesso à AWS nuvem garantindo que as sub-redes da Amazon Virtual Private Cloud (VPC) não recebam automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são lançadas em sub-redes com esse atributo ativado têm um endereço IP público atribuído à sua interface de rede primária. | |
| CM.2.062 | Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem monitorada do tráfego de entrada e saída da rede aos recursos. AWS Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto aos seus AWS recursos. | |
| CM.2.062 | Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos. | |
| CM.2.062 | Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais. | Gerencie o acesso à AWS nuvem garantindo que os domínios do Amazon OpenSearch Service estejam dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service dentro de um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| CM.2.063 | Controle e monitore o software instalado pelo usuário. | É possível fazer um inventário das plataformas de software e aplicativos dentro da organização gerenciando instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o Systems Manager. AWS Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome do aplicativo, editor e versão, além de outros detalhes sobre seu ambiente. | |
| CM.2.063 | Controle e monitore o software instalado pelo usuário. | Use o AWS Systems Manager Associations para ajudar no inventário de plataformas e aplicativos de software em uma organização. AWS O Systems Manager atribui um estado de configuração às suas instâncias gerenciadas e permite que você defina linhas de base dos níveis de patch do sistema operacional, instalações de software, configurações de aplicativos e outros detalhes sobre seu ambiente. | |
| CM.2.063 | Controle e monitore o software instalado pelo usuário. | Ative essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se as instâncias do Amazon EC2 estão em conformidade com patches no AWS Systems Manager, conforme exigido pelas políticas e procedimentos da sua organização. | |
| CM.2.064 | Estabeleça e aplique configurações de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais. | O gerenciamento centralizado de AWS contas dentro do AWS Organizations ajuda a garantir que as contas estejam em conformidade. A falta de governança centralizada da conta pode levar a configurações de contas inconsistentes, o que pode expor recursos e dados confidenciais. | |
| CM.2.064 | Estabeleça e aplique configurações de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais. | Essa regra ajuda a garantir o uso das melhores práticas de segurança AWS recomendadas para AWS CloudTrail, verificando a ativação de várias configurações. Isso inclui o uso de criptografia de registros, validação de registros e habilitação AWS CloudTrail em várias regiões. | |
| CM.2.064 | Estabeleça e aplique configurações de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais. | Utilize a validação do arquivo de AWS CloudTrail log para verificar a integridade dos CloudTrail registros. A validação do arquivo de log ajuda a determinar se um arquivo de log foi modificado, excluído ou inalterado após a CloudTrail entrega. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Isso torna computacionalmente inviável modificar, excluir ou CloudTrail falsificar arquivos de log sem detecção. | |
| CM.2.064 | Estabeleça e aplique configurações de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais. | É possível fazer um inventário das plataformas de software e aplicativos dentro da organização gerenciando instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o Systems Manager. AWS Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome do aplicativo, editor e versão, além de outros detalhes sobre seu ambiente. | |
| CM.2.064 | Estabeleça e aplique configurações de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais. | Use o AWS Systems Manager Associations para ajudar no inventário de plataformas e aplicativos de software em uma organização. AWS O Systems Manager atribui um estado de configuração às suas instâncias gerenciadas e permite que você defina linhas de base dos níveis de patch do sistema operacional, instalações de software, configurações de aplicativos e outros detalhes sobre seu ambiente. | |
| CM.2.064 | Estabeleça e aplique configurações de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais. | Ative essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se as instâncias do Amazon EC2 estão em conformidade com patches no AWS Systems Manager, conforme exigido pelas políticas e procedimentos da sua organização. | |
| CM.2.064 | Estabeleça e aplique configurações de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais. | Habilitar atualizações gerenciadas de plataforma para um ambiente Amazon Elastic Beanstalk garante que as últimas correções, atualizações e recursos de plataforma disponíveis para o ambiente sejam instalados. Manter-se atualizado com a instalação de patches é uma prática recomendada para proteger sistemas. | |
| CM.2.064 | Estabeleça e aplique configurações de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais. | A Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de cibersegurança usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seu ambiente de AWS nuvem. | |
| CM.2.064 | Estabeleça e aplique configurações de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais. | Habilite atualizações automáticas de versões secundárias em suas instâncias do Amazon Relational Database Service (RDS) para garantir que as últimas atualizações de versões secundárias do Sistema de Gerenciamento de Banco de Dados Relacional (RDBMS) estejam instaladas, o que pode incluir patches de segurança e correções de bugs. | |
| CM.2.064 | Estabeleça e aplique configurações de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais. | Essa regra garante que os clusters do Amazon Redshift tenham as configurações preferidas para sua organização. Especificamente, que eles preferiram janelas de manutenção e períodos automatizados de retenção de instantâneos para o banco de dados. Essa regra exige que você defina allowVersionUpgrade o. O padrão é verdadeiro. Também permite definir opcionalmente o preferredMaintenanceWindow (o padrão é sat: 16:00 -sat: 16:30) e o automatedSnapshotRetention Período (o padrão é 1). Os valores reais devem refletir as políticas da sua organização. | |
| CM.2.064 | Estabeleça e aplique configurações de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais. | AWSO Security Hub ajuda a monitorar pessoas, conexões, dispositivos e software não autorizados. AWS O Security Hub agrega, organiza e prioriza os alertas ou descobertas de segurança de vários serviços. AWS Alguns desses serviços são Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer, Firewall AWS Manager e soluções de parceiros. AWS | |
| CM.2.065 | Acompanhe, revise, aprove ou desaprove e registre as alterações nos sistemas organizacionais. | O registro do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles acessaram a API. Esse insight permite a visibilidade das atividades do usuário. | |
| CM.2.065 | Acompanhe, revise, aprove ou desaprove e registre as alterações nos sistemas organizacionais. | A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda na detecção de qualquer atividade anômala. Os detalhes incluem informações AWS da conta que acessou um bucket do Amazon S3, endereço IP e horário do evento. | |
| CM.2.065 | Acompanhe, revise, aprove ou desaprove e registre as alterações nos sistemas organizacionais. | Use CloudWatch a Amazon para coletar e gerenciar centralmente a atividade de eventos de log. A inclusão de AWS CloudTrail dados fornece detalhes da atividade de chamadas de API em sua AWS conta. | |
| CM.2.065 | Acompanhe, revise, aprove ou desaprove e registre as alterações nos sistemas organizacionais. | AWS CloudTrail pode ajudar na não repúdio gravando ações do AWS Management Console e chamadas de API. Você pode identificar os usuários e AWS as contas que ligaram para um AWS serviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos no Conteúdo do AWS CloudTrail Registro. | |
| CM.2.065 | Acompanhe, revise, aprove ou desaprove e registre as alterações nos sistemas organizacionais. | É possível fazer um inventário das plataformas de software e aplicativos dentro da organização gerenciando instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o Systems Manager. AWS Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome do aplicativo, editor e versão, além de outros detalhes sobre seu ambiente. | |
| CM.2.065 | Acompanhe, revise, aprove ou desaprove e registre as alterações nos sistemas organizacionais. | Use o AWS Systems Manager Associations para ajudar no inventário de plataformas e aplicativos de software em uma organização. AWS O Systems Manager atribui um estado de configuração às suas instâncias gerenciadas e permite que você defina linhas de base dos níveis de patch do sistema operacional, instalações de software, configurações de aplicativos e outros detalhes sobre seu ambiente. | |
| CM.2.065 | Acompanhe, revise, aprove ou desaprove e registre as alterações nos sistemas organizacionais. | Ative essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se as instâncias do Amazon EC2 estão em conformidade com patches no AWS Systems Manager, conforme exigido pelas políticas e procedimentos da sua organização. | |
| CM.2.065 | Acompanhe, revise, aprove ou desaprove e registre as alterações nos sistemas organizacionais. | A atividade do Elastic Load Balancing é um ponto central de comunicação dentro de um ambiente. Certifique-se de que o registro do ELB esteja ativado. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor. | |
| CM.2.065 | Acompanhe, revise, aprove ou desaprove e registre as alterações nos sistemas organizacionais. | AWS CloudTrail registra as ações do AWS Management Console e as chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando elas ocorreram. CloudTrail entregará arquivos de log de todas as AWS regiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, ao AWS lançar uma nova região, CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| CM.2.065 | Acompanhe, revise, aprove ou desaprove e registre as alterações nos sistemas organizacionais. | Para ajudar com o registro e o monitoramento em seu ambiente, garanta que o registro em log do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| CM.2.065 | Acompanhe, revise, aprove ou desaprove e registre as alterações nos sistemas organizacionais. | O registro de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de cibersegurança. Os eventos são monitorados por meio da captura de registros detalhados das solicitações feitas a um bucket do Amazon S3. Cada registro de registro de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem o solicitante, o nome do bucket, o horário da solicitação, a ação da solicitação, o status da resposta e um código de erro, se relevante. | |
| CM.2.065 | Acompanhe, revise, aprove ou desaprove e registre as alterações nos sistemas organizacionais. | Para ajudar com o registro e o monitoramento em seu ambiente, habilite o registro do AWS WAF (V2) em ACLs da web regionais e globais. AWS O registro do WAF fornece informações detalhadas sobre o tráfego que é analisado pela sua ACL da web. Os registros registram a hora em que o AWS WAF recebeu a solicitação do seu AWS recurso, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu. | |
| CM.3.068 | Restrinja, desative ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais. | Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. Os recursos do EC2 não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus aplicativos ou servidores. | |
| CM.3.068 | Restrinja, desative ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais. | Gerencie o acesso à AWS nuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| CM.3.068 | Restrinja, desative ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais. | Gerencie o acesso à AWS nuvem garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| CM.3.068 | Restrinja, desative ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem controlada do tráfego de entrada e saída da rede aos recursos. AWS Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto. | |
| CM.3.068 | Restrinja, desative ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os gateways de internet estejam conectados somente à Amazon Virtual Private Cloud autorizada (Amazon VPC). Os gateways de Internet permitem acesso bidirecional à Internet de e para a Amazon VPC, o que pode potencialmente levar ao acesso não autorizado aos recursos da Amazon VPC. | |
| CM.3.068 | Restrinja, desative ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos. | |
| CM.3.068 | Restrinja, desative ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais. | Certifique-se de que as tabelas de rotas do Amazon EC2 não tenham rotas irrestritas para um gateway de internet. Remover ou limitar o acesso à Internet para cargas de trabalho nas Amazon VPCs pode reduzir o acesso não intencional ao seu ambiente. | |
| CM.3.068 | Restrinja, desative ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas. | |
| CM.3.068 | Restrinja, desative ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| CM.3.068 | Restrinja, desative ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (Config Defaults: 20,21.3389.3306.4333). Os valores reais devem refletir as políticas da sua organização. | |
| CM.3.068 | Restrinja, desative ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização. | |
| CM.3.068 | Restrinja, desative ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| CM.3.068 | Restrinja, desative ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais. | Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| CM.3.068 | Restrinja, desative ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais. | Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| CM.3.068 | Restrinja, desative ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os SageMaker notebooks da Amazon não permitam acesso direto à Internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| CM.3.068 | Restrinja, desative ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais. | Certifique-se AWS de que os documentos do Systems Manager (SSM) não sejam públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos. | |
| CM.3.068 | Restrinja, desative ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais. | Gerencie o acesso à AWS nuvem garantindo que as sub-redes da Amazon Virtual Private Cloud (VPC) não recebam automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são lançadas em sub-redes com esse atributo ativado têm um endereço IP público atribuído à sua interface de rede primária. | |
| CM.3.068 | Restrinja, desative ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem monitorada do tráfego de entrada e saída da rede aos recursos. AWS Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto aos seus AWS recursos. | |
| CM.3.068 | Restrinja, desative ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos. | |
| IA.1.076 | Identifique usuários do sistema de informações, processos que atuam em nome dos usuários ou dispositivos. | O registro do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles acessaram a API. Esse insight permite a visibilidade das atividades do usuário. | |
| IA.1.076 | Identifique usuários do sistema de informações, processos que atuam em nome dos usuários ou dispositivos. | A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda na detecção de qualquer atividade anômala. Os detalhes incluem informações AWS da conta que acessou um bucket do Amazon S3, endereço IP e horário do evento. | |
| IA.1.076 | Identifique usuários do sistema de informações, processos que atuam em nome dos usuários ou dispositivos. | Use CloudWatch a Amazon para coletar e gerenciar centralmente a atividade de eventos de log. A inclusão de AWS CloudTrail dados fornece detalhes da atividade de chamadas de API em sua AWS conta. | |
| IA.1.076 | Identifique usuários do sistema de informações, processos que atuam em nome dos usuários ou dispositivos. | AWS CloudTrail pode ajudar na não repúdio gravando ações do AWS Management Console e chamadas de API. Você pode identificar os usuários e AWS as contas que ligaram para um AWS serviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos no Conteúdo do AWS CloudTrail Registro. | |
| IA.1.076 | Identifique usuários do sistema de informações, processos que atuam em nome dos usuários ou dispositivos. | A atividade do Elastic Load Balancing é um ponto central de comunicação dentro de um ambiente. Certifique-se de que o registro do ELB esteja ativado. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor. | |
| IA.1.076 | Identifique usuários do sistema de informações, processos que atuam em nome dos usuários ou dispositivos. | As permissões e autorizações de acesso podem ser gerenciadas e incorporadas com os princípios de privilégio mínimo e separação de tarefas, habilitando o Kerberos para clusters do Amazon EMR. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como principais. Os principais existem em um reino Kerberos. Dentro do reino, um servidor Kerberos é conhecido como centro de distribuição de chaves (KDC). Ele fornece um meio para os diretores se autenticarem. O KDC se autentica emitindo tíquetes para autenticação. O KDC mantém um banco de dados das entidades principais dentro do realm, as senhas e outras informações administrativas sobre cada principal. | |
| IA.1.076 | Identifique usuários do sistema de informações, processos que atuam em nome dos usuários ou dispositivos. | AWS CloudTrail registra as ações do AWS Management Console e as chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando elas ocorreram. CloudTrail entregará arquivos de log de todas as AWS regiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, ao AWS lançar uma nova região, CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| IA.1.076 | Identifique usuários do sistema de informações, processos que atuam em nome dos usuários ou dispositivos. | Para ajudar com o registro e o monitoramento em seu ambiente, garanta que o registro em log do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| IA.1.076 | Identifique usuários do sistema de informações, processos que atuam em nome dos usuários ou dispositivos. | O registro de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de cibersegurança. Os eventos são monitorados por meio da captura de registros detalhados das solicitações feitas a um bucket do Amazon S3. Cada registro de registro de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem o solicitante, o nome do bucket, o horário da solicitação, a ação da solicitação, o status da resposta e um código de erro, se relevante. | |
| IA.1.076 | Identifique usuários do sistema de informações, processos que atuam em nome dos usuários ou dispositivos. | Para ajudar com o registro e o monitoramento em seu ambiente, habilite o registro do AWS WAF (V2) em ACLs da web regionais e globais. AWS O registro do WAF fornece informações detalhadas sobre o tráfego que é analisado pela sua ACL da web. Os registros registram a hora em que o AWS WAF recebeu a solicitação do seu AWS recurso, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu. | |
| IA.1.077 | Autentique (ou verifique) as identidades desses usuários, processos ou dispositivos, como pré-requisito para permitir o acesso aos sistemas de informações organizacionais. | As permissões e autorizações de acesso podem ser gerenciadas e incorporadas com os princípios de privilégio mínimo e separação de tarefas, habilitando o Kerberos para clusters do Amazon EMR. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como principais. Os principais existem em um reino Kerberos. Dentro do reino, um servidor Kerberos é conhecido como centro de distribuição de chaves (KDC). Ele fornece um meio para os diretores se autenticarem. O KDC se autentica emitindo tíquetes para autenticação. O KDC mantém um banco de dados das entidades principais dentro do realm, as senhas e outras informações administrativas sobre cada principal. | |
| IA.1.077 | Autentique (ou verifique) as identidades desses usuários, processos ou dispositivos, como pré-requisito para permitir o acesso aos sistemas de informações organizacionais. | As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Eles atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão AWS Foundational Security Best Practices para a força da senha. Essa regra permite que você defina opcionalmente RequireUppercaseCharacters (valor das melhores práticas de segurança AWS básicas: verdadeiro), RequireLowercaseCharacters (valor das melhores práticas de segurança AWS básicas: verdadeiro), RequireSymbols (valor das melhores práticas de segurança AWS básicas: verdadeiro), RequireNumbers (valor das melhores práticas de segurança AWS básicas: verdadeiro), MinimumPasswordLength (valor das melhores práticas de segurança AWS básica: 14), PasswordReusePrevention (valor das melhores práticas de segurança AWS básica: 24) e MaxPasswordAge (valor das melhores práticas de segurança AWS básica: 90) para seu Política de senha do IAM. Os valores reais devem refletir as políticas da sua organização. | |
| IA.1.077 | Autentique (ou verifique) as identidades desses usuários, processos ou dispositivos, como pré-requisito para permitir o acesso aos sistemas de informações organizacionais. | Ative essa regra para restringir o acesso aos recursos na AWS nuvem. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. O MFA adiciona uma camada extra de proteção às credenciais de login. Reduza os incidentes de contas comprometidas exigindo MFA para os usuários. | |
| IA.1.077 | Autentique (ou verifique) as identidades desses usuários, processos ou dispositivos, como pré-requisito para permitir o acesso aos sistemas de informações organizacionais. | Gerencie o acesso aos recursos na AWS nuvem garantindo que a MFA esteja habilitada para todos os usuários do AWS Identity and Access Management (IAM) que tenham uma senha de console. O MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir MFA para os usuários, você pode reduzir os incidentes de contas comprometidas e impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| IA.1.077 | Autentique (ou verifique) as identidades desses usuários, processos ou dispositivos, como pré-requisito para permitir o acesso aos sistemas de informações organizacionais. | Gerencie o acesso aos recursos na AWS nuvem garantindo que a MFA de hardware esteja habilitada para o usuário raiz. O usuário root é o usuário mais privilegiado em uma AWS conta. O MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir MFA para o usuário raiz, você pode reduzir os incidentes de contas comprometidas. AWS | |
| IA.1.077 | Autentique (ou verifique) as identidades desses usuários, processos ou dispositivos, como pré-requisito para permitir o acesso aos sistemas de informações organizacionais. | Gerencie o acesso aos recursos na AWS nuvem garantindo que a MFA esteja habilitada para o usuário raiz. O usuário root é o usuário mais privilegiado em uma AWS conta. O MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir MFA para o usuário raiz, você pode reduzir os incidentes de contas comprometidas. AWS | |
| IA.2.078 | Imponha uma complexidade mínima de senha e a alteração de caracteres quando novas senhas forem criadas. | As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Eles atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão AWS Foundational Security Best Practices para a força da senha. Essa regra permite que você defina opcionalmente RequireUppercaseCharacters (valor das melhores práticas de segurança AWS básicas: verdadeiro), RequireLowercaseCharacters (valor das melhores práticas de segurança AWS básicas: verdadeiro), RequireSymbols (valor das melhores práticas de segurança AWS básicas: verdadeiro), RequireNumbers (valor das melhores práticas de segurança AWS básicas: verdadeiro), MinimumPasswordLength (valor das melhores práticas de segurança AWS básica: 14), PasswordReusePrevention (valor das melhores práticas de segurança AWS básica: 24) e MaxPasswordAge (valor das melhores práticas de segurança AWS básica: 90) para seu Política de senha do IAM. Os valores reais devem refletir as políticas da sua organização. | |
| IA.2.079 | Proibir a reutilização de senhas por um número específico de gerações. | As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Eles atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão AWS Foundational Security Best Practices para a força da senha. Essa regra permite que você defina opcionalmente RequireUppercaseCharacters (valor das melhores práticas de segurança AWS básicas: verdadeiro), RequireLowercaseCharacters (valor das melhores práticas de segurança AWS básicas: verdadeiro), RequireSymbols (valor das melhores práticas de segurança AWS básicas: verdadeiro), RequireNumbers (valor das melhores práticas de segurança AWS básicas: verdadeiro), MinimumPasswordLength (valor das melhores práticas de segurança AWS básica: 14), PasswordReusePrevention (valor das melhores práticas de segurança AWS básica: 24) e MaxPasswordAge (valor das melhores práticas de segurança AWS básica: 90) para seu Política de senha do IAM. Os valores reais devem refletir as políticas da sua organização. | |
| IA.2.081 | Armazene e transmita somente senhas protegidas criptograficamente. | Certifique-se de que seus Elastic Load Balancers (ELB) estejam configurados para descartar cabeçalhos http. Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados. | |
| IA.2.081 | Armazene e transmita somente senhas protegidas criptograficamente. | Para ajudar a proteger os dados em trânsito, certifique-se de que seu Application Load Balancer redirecione automaticamente as solicitações HTTP não criptografadas para HTTPS. Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados. | |
| IA.2.081 | Armazene e transmita somente senhas protegidas criptograficamente. | Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para o cache do estágio do API Gateway. Como dados confidenciais podem ser capturados pelo método de API, ative a criptografia em repouso para ajudar a proteger esses dados. | |
| IA.2.081 | Armazene e transmita somente senhas protegidas criptograficamente. | Certifique-se de que os estágios da API REST do Amazon API Gateway estejam configurados com certificados SSL para permitir que os sistemas de back-end autentiquem que as solicitações são originadas do API Gateway. | |
| IA.2.081 | Armazene e transmita somente senhas protegidas criptograficamente. | Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seus volumes do Amazon Elastic Block Store (Amazon EBS). Como dados confidenciais podem existir em repouso nesses volumes, ative a criptografia em repouso para ajudar a proteger esses dados. | |
| IA.2.081 | Armazene e transmita somente senhas protegidas criptograficamente. | Como dados confidenciais podem existir e para ajudar a proteger dados em repouso, assegure-se de que a criptografia esteja habilitada para seu Amazon Elastic File System (EFS). | |
| IA.2.081 | Armazene e transmita somente senhas protegidas criptograficamente. | Como dados confidenciais podem existir e para ajudar a proteger dados em repouso, assegure-se de que a criptografia esteja habilitada para seus domínios do Amazon OpenSearch OpenSearch Service (Service). | |
| IA.2.081 | Armazene e transmita somente senhas protegidas criptograficamente. | Certifique-se node-to-node de que a criptografia para o Amazon OpenSearch Service esteja ativada. A ode-to-node criptografia N habilita a criptografia TLS 1.2 para todas as comunicações dentro da Amazon Virtual Private Cloud (Amazon VPC). Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados. | |
| IA.2.081 | Armazene e transmita somente senhas protegidas criptograficamente. | Como dados confidenciais podem existir e para ajudar a proteger os dados em trânsito, garanta que a criptografia esteja habilitada para seu Elastic Load Balancing. Use o AWS Certificate Manager para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados com AWS serviços e recursos internos. | |
| IA.2.081 | Armazene e transmita somente senhas protegidas criptograficamente. | Como dados confidenciais podem existir e para ajudar a proteger os dados em trânsito, garanta que a criptografia esteja habilitada para seu Elastic Load Balancing. Use o AWS Certificate Manager para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados com AWS serviços e recursos internos. | |
| IA.2.081 | Armazene e transmita somente senhas protegidas criptograficamente. | Certifique-se de que seus Elastic Load Balancers (ELBs) estejam configurados com ouvintes SSL ou HTTPS. Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados. | |
| IA.2.081 | Armazene e transmita somente senhas protegidas criptograficamente. | Como dados confidenciais podem existir e para ajudar a proteger dados em repouso, garanta que a criptografia esteja habilitada para seus volumes do Amazon Elastic Block Store (Amazon EBS). | |
| IA.2.081 | Armazene e transmita somente senhas protegidas criptograficamente. | Certifique-se de que a criptografia esteja habilitada para seus snapshots do Amazon Relational Database Service (Amazon RDS). Como dados confidenciais podem existir em repouso, ative a criptografia em repouso para ajudar a proteger esses dados. | |
| IA.2.081 | Armazene e transmita somente senhas protegidas criptograficamente. | Para ajudar a proteger dados em repouso, garanta que a criptografia esteja habilitada para suas instâncias do Amazon Relational Database Service (Amazon RDS). Como dados confidenciais podem existir em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| IA.2.081 | Armazene e transmita somente senhas protegidas criptograficamente. | Para ajudar a proteger dados em repouso, garanta que a criptografia com o AWS Key Management Service (AWSKMS) esteja habilitada para seu cluster do Amazon Redshift. Como dados confidenciais podem existir em repouso nos clusters do Redshift, ative a criptografia em repouso para ajudar a proteger esses dados. | |
| IA.2.081 | Armazene e transmita somente senhas protegidas criptograficamente. | Certifique-se de que seus clusters do Amazon Redshift exijam criptografia TLS/SSL para se conectar aos clientes SQL. Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados. | |
| IA.2.081 | Armazene e transmita somente senhas protegidas criptograficamente. | Para ajudar a proteger dados em repouso, garanta que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a proteger esses dados. | |
| IA.2.081 | Armazene e transmita somente senhas protegidas criptograficamente. | Para ajudar a proteger os dados em trânsito, garanta que seus buckets do Amazon Simple Storage Service (Amazon S3) exijam solicitações para usar o Secure Socket Layer (SSL). Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados. | |
| IA.2.081 | Armazene e transmita somente senhas protegidas criptograficamente. | Certifique-se de que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso em um bucket do Amazon S3, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| IA.2.081 | Armazene e transmita somente senhas protegidas criptograficamente. | Para ajudar a proteger os dados em repouso, garanta que a criptografia com o AWS Key Management Service (AWSKMS) esteja habilitada para seu SageMaker endpoint. Como dados confidenciais podem existir em repouso no SageMaker endpoint, ative a criptografia em repouso para ajudar a proteger esses dados. | |
| IA.2.081 | Armazene e transmita somente senhas protegidas criptograficamente. | Para ajudar a proteger os dados em repouso, garanta que a criptografia com o AWS Key Management Service (AWSKMS) esteja habilitada para seu SageMaker notebook. Como dados confidenciais podem existir em repouso no SageMaker notebook, ative a criptografia em repouso para ajudar a proteger esses dados. | |
| IA.2.081 | Armazene e transmita somente senhas protegidas criptograficamente. | Para ajudar a proteger dados em repouso, certifique-se de que seus tópicos do Amazon Simple Notification Service (Amazon SNS) exijam criptografia AWS usando o Key Management Service AWS (KMS). Como dados confidenciais podem existir em repouso em mensagens publicadas, ative a criptografia em repouso para ajudar a proteger esses dados. | |
| IA.2.081 | Armazene e transmita somente senhas protegidas criptograficamente. | Como dados confidenciais podem existir e para ajudar a proteger dados em repouso, assegure-se de que a criptografia esteja habilitada para seus domínios do Amazon OpenSearch Service. | |
| IA.2.081 | Armazene e transmita somente senhas protegidas criptograficamente. | Certifique-se node-to-node de que a criptografia para o Amazon OpenSearch Service esteja ativada. A ode-to-node criptografia N habilita a criptografia TLS 1.2 para todas as comunicações dentro da Amazon Virtual Private Cloud (Amazon VPC). Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados. | |
| IA.3.083 | Use a autenticação multifatorial para acesso local e de rede a contas privilegiadas e para acesso de rede a contas não privilegiadas. | Ative essa regra para restringir o acesso aos recursos na AWS nuvem. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. O MFA adiciona uma camada extra de proteção às credenciais de login. Reduza os incidentes de contas comprometidas exigindo MFA para os usuários. | |
| IA.3.083 | Use a autenticação multifatorial para acesso local e de rede a contas privilegiadas e para acesso de rede a contas não privilegiadas. | Gerencie o acesso aos recursos na AWS nuvem garantindo que a MFA esteja habilitada para todos os usuários do AWS Identity and Access Management (IAM) que tenham uma senha de console. O MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir MFA para os usuários, você pode reduzir os incidentes de contas comprometidas e impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| IA.3.083 | Use a autenticação multifatorial para acesso local e de rede a contas privilegiadas e para acesso de rede a contas não privilegiadas. | Gerencie o acesso aos recursos na AWS nuvem garantindo que a MFA de hardware esteja habilitada para o usuário raiz. O usuário root é o usuário mais privilegiado em uma AWS conta. O MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir MFA para o usuário raiz, você pode reduzir os incidentes de contas comprometidas. AWS | |
| IA.3.083 | Use a autenticação multifatorial para acesso local e de rede a contas privilegiadas e para acesso de rede a contas não privilegiadas. | Gerencie o acesso aos recursos na AWS nuvem garantindo que a MFA esteja habilitada para o usuário raiz. O usuário root é o usuário mais privilegiado em uma AWS conta. O MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir MFA para o usuário raiz, você pode reduzir os incidentes de contas comprometidas. AWS | |
| IA.3.086 | Desative os identificadores após um período definido de inatividade. | As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Eles atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão AWS Foundational Security Best Practices para a força da senha. Essa regra permite que você defina opcionalmente RequireUppercaseCharacters (valor das melhores práticas de segurança AWS básicas: verdadeiro), RequireLowercaseCharacters (valor das melhores práticas de segurança AWS básicas: verdadeiro), RequireSymbols (valor das melhores práticas de segurança AWS básicas: verdadeiro), RequireNumbers (valor das melhores práticas de segurança AWS básicas: verdadeiro), MinimumPasswordLength (valor das melhores práticas de segurança AWS básica: 14), PasswordReusePrevention (valor das melhores práticas de segurança AWS básica: 24) e MaxPasswordAge (valor das melhores práticas de segurança AWS básica: 90) para seu Política de senha do IAM. Os valores reais devem refletir as políticas da sua organização. | |
| IA.3.086 | Desative os identificadores após um período definido de inatividade. | AWSO Identity and Access Management (IAM) pode ajudá-lo com permissões e autorizações de acesso verificando senhas e chaves de acesso do IAM que não são usadas por um período de tempo especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desativar e/ou remover as credenciais, pois isso pode violar o princípio do menor privilégio. Essa regra exige que você defina um valor como maxCredentialUsage Idade (Config Default: 90). O valor real deve refletir as políticas da sua organização. | |
| IR.2.092 | Estabeleça uma capacidade operacional de tratamento de incidentes para sistemas organizacionais que inclua atividades de preparação, detecção, análise, contenção, recuperação e resposta do usuário. | CloudWatch Os alarmes da Amazon alertam quando uma métrica ultrapassa o limite para um número específico de períodos de avaliação. O alarme realiza uma ou mais ações com base no valor da métrica ou na expressão relativa a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (Config Default: True), insufficientDataAction Obrigatório (Config Default: True), ( okActionRequired Config Default: False). O valor real deve refletir as ações de alarme do seu ambiente. | |
| IR.2.092 | Estabeleça uma capacidade operacional de tratamento de incidentes para sistemas organizacionais que inclua atividades de preparação, detecção, análise, contenção, recuperação e resposta do usuário. | A Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de cibersegurança usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seu ambiente de AWS nuvem. | |
| IR.2.092 | Estabeleça uma capacidade operacional de tratamento de incidentes para sistemas organizacionais que inclua atividades de preparação, detecção, análise, contenção, recuperação e resposta do usuário. | GuardDuty A Amazon ajuda você a entender o impacto de um incidente classificando as descobertas por gravidade: baixa, média e alta. Você pode usar essas classificações para determinar estratégias e prioridades de remediação. Essa regra permite que você defina opcionalmente daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) e daysHighSev (Config Default: 1) para descobertas não arquivadas, conforme exigido pelas políticas da sua organização. | |
| IR.2.092 | Estabeleça uma capacidade operacional de tratamento de incidentes para sistemas organizacionais que inclua atividades de preparação, detecção, análise, contenção, recuperação e resposta do usuário. | Ative essa regra para ajudar a notificar a equipe apropriada por meio do Amazon Simple Queue Service (Amazon SQS) ou do Amazon Simple Notification Service (Amazon SNS) quando uma função falhar. | |
| IR.2.092 | Estabeleça uma capacidade operacional de tratamento de incidentes para sistemas organizacionais que inclua atividades de preparação, detecção, análise, contenção, recuperação e resposta do usuário. | AWSO Security Hub ajuda a monitorar pessoas, conexões, dispositivos e software não autorizados. AWS O Security Hub agrega, organiza e prioriza os alertas ou descobertas de segurança de vários serviços. AWS Alguns desses serviços são Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer, Firewall AWS Manager e soluções de parceiros. AWS | |
| IR.2.093 | Detecte e relate eventos. | As verificações de saúde do Elastic Load Balancer (ELB) para grupos de Auto Scaling do Amazon Elastic Compute Cloud (Amazon EC2) apoiam a manutenção de capacidade e disponibilidade adequadas. O balanceador de carga envia periodicamente pings, tenta conexões ou envia solicitações para testar a integridade das instâncias do Amazon EC2 em um grupo de auto-scaling. Se uma instância não estiver reportando, o tráfego será enviado para uma nova instância do Amazon EC2. | |
| IR.2.093 | Detecte e relate eventos. | A Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de cibersegurança usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seu ambiente de AWS nuvem. | |
| IR.2.093 | Detecte e relate eventos. | Ative essa regra para ajudar a notificar a equipe apropriada por meio do Amazon Simple Queue Service (Amazon SQS) ou do Amazon Simple Notification Service (Amazon SNS) quando uma função falhar. | |
| IR.2.093 | Detecte e relate eventos. | AWSO Security Hub ajuda a monitorar pessoas, conexões, dispositivos e software não autorizados. AWS O Security Hub agrega, organiza e prioriza os alertas ou descobertas de segurança de vários serviços. AWS Alguns desses serviços são Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer, Firewall AWS Manager e soluções de parceiros. AWS | |
| MA.2.113 | Exija autenticação multifatorial para estabelecer sessões de manutenção não locais por meio de conexões de rede externas e encerrar essas conexões quando a manutenção não local for concluída. | Ative essa regra para restringir o acesso aos recursos na AWS nuvem. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. O MFA adiciona uma camada extra de proteção às credenciais de login. Reduza os incidentes de contas comprometidas exigindo MFA para os usuários. | |
| MA.2.113 | Exija autenticação multifatorial para estabelecer sessões de manutenção não locais por meio de conexões de rede externas e encerrar essas conexões quando a manutenção não local for concluída. | Gerencie o acesso aos recursos na AWS nuvem garantindo que a MFA esteja habilitada para todos os usuários do AWS Identity and Access Management (IAM) que tenham uma senha de console. O MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir MFA para os usuários, você pode reduzir os incidentes de contas comprometidas e impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| RE.2.137 | Execute e teste regularmente backups de dados. | Para ajudar nos processos de backup de dados, certifique-se de que seu plano de AWS backup esteja definido para uma frequência e retenção mínimas. AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e normativos de conformidade de backup. Essa regra permite que você defina os requiredFrequencyValue parâmetros (Config default: 1), ( requiredRetentionDays Config default: 35) e ( requiredFrequencyUnit Config default: days). O valor real deve refletir os requisitos da sua organização. | |
| RE.2.137 | Execute e teste regularmente backups de dados. | O recurso de backup do Amazon RDS cria backups de seus bancos de dados e registros de transações. O Amazon RDS cria automaticamente um snapshot do volume de armazenamento da sua instância de banco de dados, fazendo backup de toda a instância de banco de dados. O sistema permite que você defina períodos de retenção específicos para atender aos seus requisitos de resiliência. | |
| RE.2.137 | Execute e teste regularmente backups de dados. | Para ajudar nos processos de backup de dados, garanta que suas tabelas do Amazon DynamoDB façam parte de um plano de AWS backup. AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e normativos de conformidade de backup. | |
| RE.2.137 | Execute e teste regularmente backups de dados. | Ative essa regra para verificar se o backup das informações foi feito. Ele também mantém os backups, garantindo que a point-in-time recuperação seja habilitada no Amazon DynamoDB. A recuperação mantém backups contínuos da sua tabela nos últimos 35 dias. | |
| RE.2.137 | Execute e teste regularmente backups de dados. | Para ajudar nos processos de backup de dados, garanta que seus volumes do Amazon Elastic Block Store (Amazon EBS) façam parte de um plano de backup. AWS AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e normativos de conformidade de backup. | |
| RE.2.137 | Execute e teste regularmente backups de dados. | Para ajudar nos processos de backup de dados, garanta que seus sistemas de arquivos do Amazon Elastic File System (Amazon EFS) façam parte de um plano de AWS backup. AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e normativos de conformidade de backup. | |
| RE.2.137 | Execute e teste regularmente backups de dados. | Quando os backups automáticos estão habilitados, a Amazon ElastiCache cria um backup do cluster diariamente. O backup pode ser retido por vários dias, conforme especificado pela sua organização. Os backups automáticos podem ajudar a proteger contra a perda de dados. Se ocorrer uma falha, você poderá criar um novo cluster, que restaura seus dados do backup mais recente. | |
| RE.2.137 | Execute e teste regularmente backups de dados. | Para ajudar nos processos de backup de dados, garanta que suas instâncias do Amazon Relational Database Service (Amazon RDS) façam parte de um AWS plano de backup. AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e normativos de conformidade de backup. | |
| RE.2.137 | Execute e teste regularmente backups de dados. | Para ajudar nos processos de backup de dados, garanta que seus clusters do Amazon Redshift tenham snapshots automatizados. Quando os instantâneos automatizados são habilitados para um cluster, o Redshift tira periodicamente instantâneos desse cluster. Por padrão, o Redshift tira um instantâneo a cada oito horas ou a cada 5 GB por nó de alterações de dados, ou o que ocorrer primeiro. | |
| RE.2.137 | Execute e teste regularmente backups de dados. | A replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) suporta a manutenção de capacidade e disponibilidade adequadas. O CRR permite a cópia automática e assíncrona de objetos nos buckets do Amazon S3 para ajudar a garantir que a disponibilidade dos dados seja mantida. | |
| RE.2.137 | Execute e teste regularmente backups de dados. | O controle de versão do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter várias variantes de um objeto no mesmo bucket do Amazon S3. Use o controle de versão para preservar, recuperar e restaurar todas as versões de cada objeto armazenado em seu bucket do Amazon S3. O controle de versão ajuda você a se recuperar facilmente de ações não intencionais do usuário e falhas de aplicativos. | |
| RE.2.139 | Execute regularmente backups de dados completos, abrangentes e resilientes, conforme definido pela organização. | O controle de versão do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter várias variantes de um objeto no mesmo bucket do Amazon S3. Use o controle de versão para preservar, recuperar e restaurar todas as versões de cada objeto armazenado em seu bucket do Amazon S3. O controle de versão ajuda você a se recuperar facilmente de ações não intencionais do usuário e falhas de aplicativos. | |
| RE.3.139 | Execute regularmente backups de dados completos, abrangentes e resilientes, conforme definido pela organização. | Para ajudar nos processos de backup de dados, certifique-se de que seu plano de AWS backup esteja definido para uma frequência e retenção mínimas. AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e normativos de conformidade de backup. Essa regra permite que você defina os requiredFrequencyValue parâmetros (Config default: 1), ( requiredRetentionDays Config default: 35) e ( requiredFrequencyUnit Config default: days). O valor real deve refletir os requisitos da sua organização. | |
| RE.3.139 | Execute regularmente backups de dados completos, abrangentes e resilientes, conforme definido pela organização. | O recurso de backup do Amazon RDS cria backups de seus bancos de dados e registros de transações. O Amazon RDS cria automaticamente um snapshot do volume de armazenamento da sua instância de banco de dados, fazendo backup de toda a instância de banco de dados. O sistema permite que você defina períodos de retenção específicos para atender aos seus requisitos de resiliência. | |
| RE.3.139 | Execute regularmente backups de dados completos, abrangentes e resilientes, conforme definido pela organização. | Para ajudar nos processos de backup de dados, garanta que suas tabelas do Amazon DynamoDB façam parte de um plano de AWS backup. AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e normativos de conformidade de backup. | |
| RE.3.139 | Execute regularmente backups de dados completos, abrangentes e resilientes, conforme definido pela organização. | Ative essa regra para verificar se o backup das informações foi feito. Ele também mantém os backups, garantindo que a point-in-time recuperação seja habilitada no Amazon DynamoDB. A recuperação mantém backups contínuos da sua tabela nos últimos 35 dias. | |
| RE.3.139 | Execute regularmente backups de dados completos, abrangentes e resilientes, conforme definido pela organização. | Para ajudar nos processos de backup de dados, garanta que seus volumes do Amazon Elastic Block Store (Amazon EBS) façam parte de um plano de backup. AWS AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e normativos de conformidade de backup. | |
| RE.3.139 | Execute regularmente backups de dados completos, abrangentes e resilientes, conforme definido pela organização. | Para ajudar nos processos de backup de dados, garanta que seus sistemas de arquivos do Amazon Elastic File System (Amazon EFS) façam parte de um plano de AWS backup. AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e normativos de conformidade de backup. | |
| RE.3.139 | Execute regularmente backups de dados completos, abrangentes e resilientes, conforme definido pela organização. | Quando os backups automáticos estão habilitados, a Amazon ElastiCache cria um backup do cluster diariamente. O backup pode ser retido por vários dias, conforme especificado pela sua organização. Os backups automáticos podem ajudar a proteger contra a perda de dados. Se ocorrer uma falha, você poderá criar um novo cluster, que restaura seus dados do backup mais recente. | |
| RE.3.139 | Execute regularmente backups de dados completos, abrangentes e resilientes, conforme definido pela organização. | Para ajudar nos processos de backup de dados, garanta que suas instâncias do Amazon Relational Database Service (Amazon RDS) façam parte de um AWS plano de backup. AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e normativos de conformidade de backup. | |
| RE.3.139 | Execute regularmente backups de dados completos, abrangentes e resilientes, conforme definido pela organização. | Para ajudar nos processos de backup de dados, garanta que seus clusters do Amazon Redshift tenham snapshots automatizados. Quando os instantâneos automatizados são habilitados para um cluster, o Redshift tira periodicamente instantâneos desse cluster. Por padrão, o Redshift tira um instantâneo a cada oito horas ou a cada 5 GB por nó de alterações de dados, ou o que ocorrer primeiro. | |
| RE.3.139 | Execute regularmente backups de dados completos, abrangentes e resilientes, conforme definido pela organização. | A replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) suporta a manutenção de capacidade e disponibilidade adequadas. O CRR permite a cópia automática e assíncrona de objetos nos buckets do Amazon S3 para ajudar a garantir que a disponibilidade dos dados seja mantida. | |
| RM.2.142 | Verifique periodicamente as vulnerabilidades nos sistemas e aplicativos organizacionais e quando novas vulnerabilidades que afetam esses sistemas e aplicativos forem identificadas. | Ative essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se as instâncias do Amazon EC2 estão em conformidade com patches no AWS Systems Manager, conforme exigido pelas políticas e procedimentos da sua organização. | |
| RM.2.142 | Verifique periodicamente as vulnerabilidades nos sistemas e aplicativos organizacionais e quando novas vulnerabilidades que afetam esses sistemas e aplicativos forem identificadas. | A Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de cibersegurança usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seu ambiente de AWS nuvem. | |
| RM.2.142 | Verifique periodicamente as vulnerabilidades nos sistemas e aplicativos organizacionais e quando novas vulnerabilidades que afetam esses sistemas e aplicativos forem identificadas. | GuardDuty A Amazon ajuda você a entender o impacto de um incidente classificando as descobertas por gravidade: baixa, média e alta. Você pode usar essas classificações para determinar estratégias e prioridades de remediação. Essa regra permite que você defina opcionalmente daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) e daysHighSev (Config Default: 1) para descobertas não arquivadas, conforme exigido pelas políticas da sua organização. | |
| RM.2.142 | Verifique periodicamente as vulnerabilidades nos sistemas e aplicativos organizacionais e quando novas vulnerabilidades que afetam esses sistemas e aplicativos forem identificadas. | AWSO Security Hub ajuda a monitorar pessoas, conexões, dispositivos e software não autorizados. AWS O Security Hub agrega, organiza e prioriza os alertas ou descobertas de segurança de vários serviços. AWS Alguns desses serviços são Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer, Firewall AWS Manager e soluções de parceiros. AWS | |
| SC.1.175 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Certifique-se de que seus Elastic Load Balancers (ELB) estejam configurados para descartar cabeçalhos http. Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC.1.175 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Para ajudar a proteger os dados em trânsito, certifique-se de que seu Application Load Balancer redirecione automaticamente as solicitações HTTP não criptografadas para HTTPS. Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC.1.175 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Certifique-se de que o AWS WAF esteja ativado nos Elastic Load Balancers (ELB) para ajudar a proteger aplicativos da web. Um WAF ajuda a proteger seus aplicativos web ou APIs contra explorações comuns da web. Essas explorações da web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente. | |
| SC.1.175 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | AWSO WAF permite que você configure um conjunto de regras (chamado de lista de controle de acesso à web (Web ACL)) que permite, bloqueia ou conta solicitações da web com base nas regras e condições de segurança da web personalizáveis que você define. Certifique-se de que seu estágio do Amazon API Gateway esteja associado a uma WAF Web ACL para protegê-lo contra ataques maliciosos | |
| SC.1.175 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | CloudWatch Os alarmes da Amazon alertam quando uma métrica ultrapassa o limite para um número específico de períodos de avaliação. O alarme realiza uma ou mais ações com base no valor da métrica ou na expressão relativa a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (Config Default: True), insufficientDataAction Obrigatório (Config Default: True), ( okActionRequired Config Default: False). O valor real deve refletir as ações de alarme do seu ambiente. | |
| SC.1.175 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Gerencie o acesso à AWS nuvem garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| SC.1.175 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Gerencie o acesso à AWS nuvem garantindo que os instantâneos do EBS não sejam restauráveis publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| SC.1.175 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Gerencie o acesso à AWS nuvem garantindo que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Um domínio OpenSearch de serviço em uma Amazon VPC permite a comunicação segura entre o OpenSearch serviço e outros serviços dentro da Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| SC.1.175 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Certifique-se node-to-node de que a criptografia para o Amazon OpenSearch Service esteja ativada. A ode-to-node criptografia N habilita a criptografia TLS 1.2 para todas as comunicações dentro da Amazon Virtual Private Cloud (Amazon VPC). Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC.1.175 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Como dados confidenciais podem existir e para ajudar a proteger os dados em trânsito, garanta que a criptografia esteja habilitada para seu Elastic Load Balancing. Use o AWS Certificate Manager para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados com AWS serviços e recursos internos. | |
| SC.1.175 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Certifique-se de que seus Elastic Load Balancers (ELBs) estejam configurados com ouvintes SSL ou HTTPS. Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC.1.175 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | A Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de cibersegurança usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seu ambiente de AWS nuvem. | |
| SC.1.175 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem controlada do tráfego de entrada e saída da rede aos recursos. AWS Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto. | |
| SC.1.175 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Implante instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços dentro da Amazon VPC, sem exigir um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Por causa de seu isolamento lógico, os domínios que residem em uma Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Atribua instâncias do Amazon EC2 a uma Amazon VPC para gerenciar adequadamente o acesso. | |
| SC.1.175 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os gateways de internet estejam conectados somente à Amazon Virtual Private Cloud autorizada (Amazon VPC). Os gateways de Internet permitem acesso bidirecional à Internet de e para a Amazon VPC, o que pode potencialmente levar ao acesso não autorizado aos recursos da Amazon VPC. | |
| SC.1.175 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos. | |
| SC.1.175 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Implante funções AWS Lambda em uma Amazon Virtual Private Cloud (Amazon VPC) para uma comunicação segura entre uma função e outros serviços dentro da Amazon VPC. Com essa configuração, não há necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece seguro na nuvem. AWS Por causa de seu isolamento lógico, os domínios que residem em uma Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Para gerenciar adequadamente o acesso, as funções do AWS Lambda devem ser atribuídas a uma VPC. | |
| SC.1.175 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Certifique-se de que as tabelas de rotas do Amazon EC2 não tenham rotas irrestritas para um gateway de internet. Remover ou limitar o acesso à Internet para cargas de trabalho nas Amazon VPCs pode reduzir o acesso não intencional ao seu ambiente. | |
| SC.1.175 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas. | |
| SC.1.175 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| SC.1.175 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| SC.1.175 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Certifique-se de que seus clusters do Amazon Redshift exijam criptografia TLS/SSL para se conectar aos clientes SQL. Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC.1.175 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (Config Defaults: 20,21.3389.3306.4333). Os valores reais devem refletir as políticas da sua organização. | |
| SC.1.175 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização. | |
| SC.1.175 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| SC.1.175 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| SC.1.175 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| SC.1.175 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Para ajudar a proteger os dados em trânsito, garanta que seus buckets do Amazon Simple Storage Service (Amazon S3) exijam solicitações para usar o Secure Socket Layer (SSL). Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC.1.175 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os SageMaker notebooks da Amazon não permitam acesso direto à Internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| SC.1.175 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | AWSO Security Hub ajuda a monitorar pessoas, conexões, dispositivos e software não autorizados. AWS O Security Hub agrega, organiza e prioriza os alertas ou descobertas de segurança de vários serviços. AWS Alguns desses serviços são Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer, Firewall AWS Manager e soluções de parceiros. AWS | |
| SC.1.175 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Certifique-se AWS de que os documentos do Systems Manager (SSM) não sejam públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos. | |
| SC.1.175 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem monitorada do tráfego de entrada e saída da rede aos recursos. AWS Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto aos seus AWS recursos. | |
| SC.1.175 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos. | |
| SC.1.175 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Gerencie o acesso à AWS nuvem garantindo que os domínios do Amazon OpenSearch Service estejam dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service dentro de um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| SC.1.175 | Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação. | Certifique-se node-to-node de que a criptografia para o Amazon OpenSearch Service esteja ativada. A ode-to-node criptografia N habilita a criptografia TLS 1.2 para todas as comunicações dentro da Amazon Virtual Private Cloud (Amazon VPC). Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC.2.179 | Use sessões criptografadas para o gerenciamento de dispositivos de rede. | Para ajudar a proteger os dados em trânsito, certifique-se de que seu Application Load Balancer redirecione automaticamente as solicitações HTTP não criptografadas para HTTPS. Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC.2.179 | Use sessões criptografadas para o gerenciamento de dispositivos de rede. | Certifique-se de que os estágios da API REST do Amazon API Gateway estejam configurados com certificados SSL para permitir que os sistemas de back-end autentiquem que as solicitações são originadas do API Gateway. | |
| SC.2.179 | Use sessões criptografadas para o gerenciamento de dispositivos de rede. | Como dados confidenciais podem existir e para ajudar a proteger os dados em trânsito, garanta que a criptografia esteja habilitada para seu Elastic Load Balancing. Use o AWS Certificate Manager para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados com AWS serviços e recursos internos. | |
| SC.2.179 | Use sessões criptografadas para o gerenciamento de dispositivos de rede. | Como dados confidenciais podem existir e para ajudar a proteger os dados em trânsito, garanta que a criptografia esteja habilitada para seu Elastic Load Balancing. Use o AWS Certificate Manager para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados com AWS serviços e recursos internos. | |
| SC.2.179 | Use sessões criptografadas para o gerenciamento de dispositivos de rede. | Certifique-se de que seus Elastic Load Balancers (ELBs) estejam configurados com ouvintes SSL ou HTTPS. Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | O gerenciamento centralizado de AWS contas dentro do AWS Organizations ajuda a garantir que as contas estejam em conformidade. A falta de governança centralizada da conta pode levar a configurações de contas inconsistentes, o que pode expor recursos e dados confidenciais. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Certifique-se de que o AWS WAF esteja ativado nos Elastic Load Balancers (ELB) para ajudar a proteger aplicativos da web. Um WAF ajuda a proteger seus aplicativos web ou APIs contra explorações comuns da web. Essas explorações da web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | AWSO WAF permite que você configure um conjunto de regras (chamado de lista de controle de acesso à web (Web ACL)) que permite, bloqueia ou conta solicitações da web com base nas regras e condições de segurança da web personalizáveis que você define. Certifique-se de que seu estágio do Amazon API Gateway esteja associado a uma WAF Web ACL para protegê-lo contra ataques maliciosos | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. Os recursos do EC2 não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus aplicativos ou servidores. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Para ajudar nos processos de backup de dados, certifique-se de que seu plano de AWS backup esteja definido para uma frequência e retenção mínimas. AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e normativos de conformidade de backup. Essa regra permite que você defina os requiredFrequencyValue parâmetros (Config default: 1), ( requiredRetentionDays Config default: 35) e ( requiredFrequencyUnit Config default: days). O valor real deve refletir os requisitos da sua organização. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Essa regra ajuda a garantir o uso das melhores práticas de segurança AWS recomendadas para AWS CloudTrail, verificando a ativação de várias configurações. Isso inclui o uso de criptografia de registros, validação de registros e habilitação AWS CloudTrail em várias regiões. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Certifique-se de que as credenciais de autenticação AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY não existam nos ambientes do projeto Codebuild. AWS Não armazene essas variáveis em texto não criptografado. Armazenar essas variáveis em texto não criptografado leva à exposição não intencional dos dados e ao acesso não autorizado. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Certifique-se de que o GitHub URL do repositório de origem do Bitbucket não contenha tokens de acesso pessoais e credenciais de login nos ambientes do projeto Codebuild. AWS Use OAuth em vez de tokens de acesso pessoal ou credenciais de login para conceder autorização para acessar nossos repositórios do Bitbucket. GitHub | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | O recurso de backup do Amazon RDS cria backups de seus bancos de dados e registros de transações. O Amazon RDS cria automaticamente um snapshot do volume de armazenamento da sua instância de banco de dados, fazendo backup de toda a instância de banco de dados. O sistema permite que você defina períodos de retenção específicos para atender aos seus requisitos de resiliência. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Gerencie o acesso à AWS nuvem garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | O Amazon DynamoDB auto scaling usa o serviço Application AWS Auto Scaling para ajustar a capacidade de transferência provisionada que responde automaticamente aos padrões reais de tráfego. Isso permite que uma tabela ou um índice secundário global aumente sua capacidade provisionada de leitura/gravação para lidar com aumentos repentinos no tráfego, sem limitação. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Para ajudar nos processos de backup de dados, garanta que suas tabelas do Amazon DynamoDB façam parte de um plano de AWS backup. AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e normativos de conformidade de backup. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Ative essa regra para verificar se o backup das informações foi feito. Ele também mantém os backups, garantindo que a point-in-time recuperação seja habilitada no Amazon DynamoDB. A recuperação mantém backups contínuos da sua tabela nos últimos 35 dias. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Para ajudar nos processos de backup de dados, garanta que seus volumes do Amazon Elastic Block Store (Amazon EBS) façam parte de um plano de backup. AWS AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e normativos de conformidade de backup. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Uma instância otimizada no Amazon Elastic Block Store (Amazon EBS) fornece capacidade adicional dedicada para operações de E/S do Amazon EBS. Essa otimização fornece o desempenho mais eficiente para seus volumes do EBS, minimizando a contenção entre as operações de E/S do Amazon EBS e outros tráfegos da sua instância. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Gerencie o acesso à AWS nuvem garantindo que os instantâneos do EBS não sejam restauráveis publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Gerencie o acesso à AWS nuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Para ajudar nos processos de backup de dados, garanta que seus sistemas de arquivos do Amazon Elastic File System (Amazon EFS) façam parte de um plano de AWS backup. AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e normativos de conformidade de backup. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Quando os backups automáticos estão habilitados, a Amazon ElastiCache cria um backup do cluster diariamente. O backup pode ser retido por vários dias, conforme especificado pela sua organização. Os backups automáticos podem ajudar a proteger contra a perda de dados. Se ocorrer uma falha, você poderá criar um novo cluster, que restaura seus dados do backup mais recente. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Gerencie o acesso à AWS nuvem garantindo que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Um domínio OpenSearch de serviço em uma Amazon VPC permite a comunicação segura entre o OpenSearch serviço e outros serviços dentro da Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Habilite o balanceamento de carga entre zonas para seus Elastic Load Balancers (ELBs) para ajudar a manter a capacidade e a disponibilidade adequadas. O balanceamento de carga entre zonas reduz a necessidade de manter números equivalentes de instâncias em cada zona de disponibilidade habilitada. Também melhora a capacidade do seu aplicativo de lidar com a perda de uma ou mais instâncias. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Essa regra garante que o Elastic Load Balancing tenha a proteção contra exclusão ativada. Use esse recurso para evitar que seu balanceador de carga seja excluído acidentalmente ou maliciosamente, o que pode levar à perda de disponibilidade de seus aplicativos. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Gerencie o acesso à AWS nuvem garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem controlada do tráfego de entrada e saída da rede aos recursos. AWS Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Implante instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços dentro da Amazon VPC, sem exigir um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Por causa de seu isolamento lógico, os domínios que residem em uma Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Atribua instâncias do Amazon EC2 a uma Amazon VPC para gerenciar adequadamente o acesso. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os gateways de internet estejam conectados somente à Amazon Virtual Private Cloud autorizada (Amazon VPC). Os gateways de Internet permitem acesso bidirecional à Internet de e para a Amazon VPC, o que pode potencialmente levar ao acesso não autorizado aos recursos da Amazon VPC. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Implante funções AWS Lambda em uma Amazon Virtual Private Cloud (Amazon VPC) para uma comunicação segura entre uma função e outros serviços dentro da Amazon VPC. Com essa configuração, não há necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece seguro na nuvem. AWS Por causa de seu isolamento lógico, os domínios que residem em uma Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Para gerenciar adequadamente o acesso, as funções do AWS Lambda devem ser atribuídas a uma VPC. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Certifique-se de que as tabelas de rotas do Amazon EC2 não tenham rotas irrestritas para um gateway de internet. Remover ou limitar o acesso à Internet para cargas de trabalho nas Amazon VPCs pode reduzir o acesso não intencional ao seu ambiente. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Certifique-se de que as instâncias do Amazon Relational Database Service (Amazon RDS) tenham a proteção contra exclusão ativada. Use a proteção contra exclusão para evitar que suas instâncias do Amazon RDS sejam excluídas acidentalmente ou maliciosamente, o que pode levar à perda de disponibilidade de seus aplicativos. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Para ajudar nos processos de backup de dados, garanta que suas instâncias do Amazon Relational Database Service (Amazon RDS) façam parte de um AWS plano de backup. AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e normativos de conformidade de backup. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | O suporte Multi-AZ no Amazon Relational Database Service (Amazon RDS) fornece maior disponibilidade e durabilidade para instâncias de banco de dados. Quando você provisiona uma instância de banco de dados Multi-AZ, o Amazon RDS cria automaticamente uma instância de banco de dados primária e replica de forma síncrona os dados para uma instância em espera em uma zona de disponibilidade diferente. Cada zona de disponibilidade funciona em sua própria infraestrutura independente e fisicamente distinta e é projetada para ser altamente confiável. No caso de uma falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Para ajudar nos processos de backup de dados, garanta que seus clusters do Amazon Redshift tenham snapshots automatizados. Quando os instantâneos automatizados são habilitados para um cluster, o Redshift tira periodicamente instantâneos desse cluster. Por padrão, o Redshift tira um instantâneo a cada oito horas ou a cada 5 GB por nó de alterações de dados, ou o que ocorrer primeiro. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (Config Defaults: 20,21.3389.3306.4333). Os valores reais devem refletir as políticas da sua organização. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Certifique-se de que seu bucket do Amazon Simple Storage Service (Amazon S3) tenha o bloqueio ativado, por padrão. Como dados confidenciais podem existir em repouso nos buckets do S3, aplique bloqueios de objetos em repouso para ajudar a proteger esses dados. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | A replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) suporta a manutenção de capacidade e disponibilidade adequadas. O CRR permite a cópia automática e assíncrona de objetos nos buckets do Amazon S3 para ajudar a garantir que a disponibilidade dos dados seja mantida. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | O controle de versão do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter várias variantes de um objeto no mesmo bucket do Amazon S3. Use o controle de versão para preservar, recuperar e restaurar todas as versões de cada objeto armazenado em seu bucket do Amazon S3. O controle de versão ajuda você a se recuperar facilmente de ações não intencionais do usuário e falhas de aplicativos. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os SageMaker notebooks da Amazon não permitam acesso direto à Internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Certifique-se AWS de que os documentos do Systems Manager (SSM) não sejam públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Gerencie o acesso à AWS nuvem garantindo que as sub-redes da Amazon Virtual Private Cloud (VPC) não recebam automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são lançadas em sub-redes com esse atributo ativado têm um endereço IP público atribuído à sua interface de rede primária. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem monitorada do tráfego de entrada e saída da rede aos recursos. AWS Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto aos seus AWS recursos. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Túneis VPN redundantes de site a site podem ser implementados para atingir os requisitos de resiliência. Ele usa dois túneis para ajudar a garantir a conectividade caso uma das conexões VPN Site-to-Site fique indisponível. Para se proteger contra a perda de conectividade, caso o gateway do cliente fique indisponível, você pode configurar uma segunda conexão VPN Site-to-Site com a Amazon Virtual Private Cloud (Amazon VPC) e o gateway privado virtual usando um segundo gateway do cliente. | |
| SC.3.180 | Empregue projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais. | Gerencie o acesso à AWS nuvem garantindo que os domínios do Amazon OpenSearch Service estejam dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service dentro de um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| SC.3.182 | Evite a transferência não autorizada e não intencional de informações por meio de recursos compartilhados do sistema. | Gerencie o acesso à AWS nuvem garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| SC.3.182 | Evite a transferência não autorizada e não intencional de informações por meio de recursos compartilhados do sistema. | Gerencie o acesso à AWS nuvem garantindo que os instantâneos do EBS não sejam restauráveis publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| SC.3.182 | Evite a transferência não autorizada e não intencional de informações por meio de recursos compartilhados do sistema. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem controlada do tráfego de entrada e saída da rede aos recursos. AWS Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto. | |
| SC.3.182 | Evite a transferência não autorizada e não intencional de informações por meio de recursos compartilhados do sistema. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os gateways de internet estejam conectados somente à Amazon Virtual Private Cloud autorizada (Amazon VPC). Os gateways de Internet permitem acesso bidirecional à Internet de e para a Amazon VPC, o que pode potencialmente levar ao acesso não autorizado aos recursos da Amazon VPC. | |
| SC.3.182 | Evite a transferência não autorizada e não intencional de informações por meio de recursos compartilhados do sistema. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos. | |
| SC.3.182 | Evite a transferência não autorizada e não intencional de informações por meio de recursos compartilhados do sistema. | Certifique-se de que as tabelas de rotas do Amazon EC2 não tenham rotas irrestritas para um gateway de internet. Remover ou limitar o acesso à Internet para cargas de trabalho nas Amazon VPCs pode reduzir o acesso não intencional ao seu ambiente. | |
| SC.3.182 | Evite a transferência não autorizada e não intencional de informações por meio de recursos compartilhados do sistema. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas. | |
| SC.3.182 | Evite a transferência não autorizada e não intencional de informações por meio de recursos compartilhados do sistema. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| SC.3.182 | Evite a transferência não autorizada e não intencional de informações por meio de recursos compartilhados do sistema. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| SC.3.182 | Evite a transferência não autorizada e não intencional de informações por meio de recursos compartilhados do sistema. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (Config Defaults: 20,21.3389.3306.4333). Os valores reais devem refletir as políticas da sua organização. | |
| SC.3.182 | Evite a transferência não autorizada e não intencional de informações por meio de recursos compartilhados do sistema. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização. | |
| SC.3.182 | Evite a transferência não autorizada e não intencional de informações por meio de recursos compartilhados do sistema. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| SC.3.182 | Evite a transferência não autorizada e não intencional de informações por meio de recursos compartilhados do sistema. | Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| SC.3.182 | Evite a transferência não autorizada e não intencional de informações por meio de recursos compartilhados do sistema. | Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| SC.3.182 | Evite a transferência não autorizada e não intencional de informações por meio de recursos compartilhados do sistema. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os SageMaker notebooks da Amazon não permitam acesso direto à Internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| SC.3.182 | Evite a transferência não autorizada e não intencional de informações por meio de recursos compartilhados do sistema. | Certifique-se AWS de que os documentos do Systems Manager (SSM) não sejam públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos. | |
| SC.3.182 | Evite a transferência não autorizada e não intencional de informações por meio de recursos compartilhados do sistema. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem monitorada do tráfego de entrada e saída da rede aos recursos. AWS Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto aos seus AWS recursos. | |
| SC.3.182 | Evite a transferência não autorizada e não intencional de informações por meio de recursos compartilhados do sistema. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos. | |
| SC.3.185 | Implemente mecanismos criptográficos para evitar a divulgação não autorizada de CUI durante a transmissão, a menos que seja protegida de outra forma por salvaguardas físicas alternativas. | Garanta que a integridade da rede seja protegida garantindo que os certificados X509 sejam emitidos pelo AWS ACM. Esses certificados devem ser válidos e não expirados. Essa regra exige um valor para daysToExpiration (valor das melhores práticas de segurança AWS básicas: 90). O valor real deve refletir as políticas da sua organização. | |
| SC.3.185 | Implemente mecanismos criptográficos para evitar a divulgação não autorizada de CUI durante a transmissão, a menos que seja protegida de outra forma por salvaguardas físicas alternativas. | Certifique-se de que seus Elastic Load Balancers (ELB) estejam configurados para descartar cabeçalhos http. Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC.3.185 | Implemente mecanismos criptográficos para evitar a divulgação não autorizada de CUI durante a transmissão, a menos que seja protegida de outra forma por salvaguardas físicas alternativas. | Para ajudar a proteger os dados em trânsito, certifique-se de que seu Application Load Balancer redirecione automaticamente as solicitações HTTP não criptografadas para HTTPS. Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC.3.185 | Implemente mecanismos criptográficos para evitar a divulgação não autorizada de CUI durante a transmissão, a menos que seja protegida de outra forma por salvaguardas físicas alternativas. | Certifique-se de que os estágios da API REST do Amazon API Gateway estejam configurados com certificados SSL para permitir que os sistemas de back-end autentiquem que as solicitações são originadas do API Gateway. | |
| SC.3.185 | Implemente mecanismos criptográficos para evitar a divulgação não autorizada de CUI durante a transmissão, a menos que seja protegida de outra forma por salvaguardas físicas alternativas. | Certifique-se node-to-node de que a criptografia para o Amazon OpenSearch Service esteja ativada. A ode-to-node criptografia N habilita a criptografia TLS 1.2 para todas as comunicações dentro da Amazon Virtual Private Cloud (Amazon VPC). Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC.3.185 | Implemente mecanismos criptográficos para evitar a divulgação não autorizada de CUI durante a transmissão, a menos que seja protegida de outra forma por salvaguardas físicas alternativas. | Como dados confidenciais podem existir e para ajudar a proteger os dados em trânsito, garanta que a criptografia esteja habilitada para seu Elastic Load Balancing. Use o AWS Certificate Manager para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados com AWS serviços e recursos internos. | |
| SC.3.185 | Implemente mecanismos criptográficos para evitar a divulgação não autorizada de CUI durante a transmissão, a menos que seja protegida de outra forma por salvaguardas físicas alternativas. | Como dados confidenciais podem existir e para ajudar a proteger os dados em trânsito, garanta que a criptografia esteja habilitada para seu Elastic Load Balancing. Use o AWS Certificate Manager para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados com AWS serviços e recursos internos. | |
| SC.3.185 | Implemente mecanismos criptográficos para evitar a divulgação não autorizada de CUI durante a transmissão, a menos que seja protegida de outra forma por salvaguardas físicas alternativas. | Certifique-se de que seus Elastic Load Balancers (ELBs) estejam configurados com ouvintes SSL ou HTTPS. Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC.3.185 | Implemente mecanismos criptográficos para evitar a divulgação não autorizada de CUI durante a transmissão, a menos que seja protegida de outra forma por salvaguardas físicas alternativas. | Certifique-se de que seus clusters do Amazon Redshift exijam criptografia TLS/SSL para se conectar aos clientes SQL. Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC.3.185 | Implemente mecanismos criptográficos para evitar a divulgação não autorizada de CUI durante a transmissão, a menos que seja protegida de outra forma por salvaguardas físicas alternativas. | Para ajudar a proteger os dados em trânsito, garanta que seus buckets do Amazon Simple Storage Service (Amazon S3) exijam solicitações para usar o Secure Socket Layer (SSL). Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC.3.185 | Implemente mecanismos criptográficos para evitar a divulgação não autorizada de CUI durante a transmissão, a menos que seja protegida de outra forma por salvaguardas físicas alternativas. | Certifique-se node-to-node de que a criptografia para o Amazon OpenSearch Service esteja ativada. A ode-to-node criptografia N habilita a criptografia TLS 1.2 para todas as comunicações dentro da Amazon Virtual Private Cloud (Amazon VPC). Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC.3.187 | Estabeleça e gerencie chaves criptográficas para criptografia empregada em sistemas organizacionais. | Ative a rotação de chaves para garantir que as chaves sejam giradas quando atingirem o final do período criptográfico. | |
| SC.3.187 | Estabeleça e gerencie chaves criptográficas para criptografia empregada em sistemas organizacionais. | Para ajudar a proteger os dados em repouso, certifique-se de que as chaves mestras do cliente (CMKs) necessárias não estejam programadas para exclusão no AWS Key Management Service (AWSKMS). Como às vezes a exclusão da chave é necessária, essa regra pode ajudar na verificação de todas as chaves programadas para exclusão, caso uma chave tenha sido agendada involuntariamente. | |
| SC.3.190 | Proteja a autenticidade das sessões de comunicação. | Para ajudar a proteger os dados em trânsito, certifique-se de que seu Application Load Balancer redirecione automaticamente as solicitações HTTP não criptografadas para HTTPS. Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC.3.190 | Proteja a autenticidade das sessões de comunicação. | Certifique-se de que os estágios da API REST do Amazon API Gateway estejam configurados com certificados SSL para permitir que os sistemas de back-end autentiquem que as solicitações são originadas do API Gateway. | |
| SC.3.190 | Proteja a autenticidade das sessões de comunicação. | Como dados confidenciais podem existir e para ajudar a proteger os dados em trânsito, garanta que a criptografia esteja habilitada para seu Elastic Load Balancing. Use o AWS Certificate Manager para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados com AWS serviços e recursos internos. | |
| SC.3.190 | Proteja a autenticidade das sessões de comunicação. | Como dados confidenciais podem existir e para ajudar a proteger os dados em trânsito, garanta que a criptografia esteja habilitada para seu Elastic Load Balancing. Use o AWS Certificate Manager para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados com AWS serviços e recursos internos. | |
| SC.3.190 | Proteja a autenticidade das sessões de comunicação. | Certifique-se de que seus Elastic Load Balancers (ELBs) estejam configurados com ouvintes SSL ou HTTPS. Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC.3.190 | Proteja a autenticidade das sessões de comunicação. | Certifique-se de que seus clusters do Amazon Redshift exijam criptografia TLS/SSL para se conectar aos clientes SQL. Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC.3.191 | Proteja a confidencialidade do CUI em repouso. | Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para o cache do estágio do API Gateway. Como dados confidenciais podem ser capturados pelo método de API, ative a criptografia em repouso para ajudar a proteger esses dados. | |
| SC.3.191 | Proteja a confidencialidade do CUI em repouso. | Para ajudar a proteger dados confidenciais em repouso, certifique-se de que a criptografia esteja habilitada para seus grupos de CloudWatch registros da Amazon. | |
| SC.3.191 | Proteja a confidencialidade do CUI em repouso. | Como podem existir dados confidenciais e para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para suas AWS CloudTrail trilhas. | |
| SC.3.191 | Proteja a confidencialidade do CUI em repouso. | Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seus volumes do Amazon Elastic Block Store (Amazon EBS). Como dados confidenciais podem existir em repouso nesses volumes, ative a criptografia em repouso para ajudar a proteger esses dados. | |
| SC.3.191 | Proteja a confidencialidade do CUI em repouso. | Como dados confidenciais podem existir e para ajudar a proteger dados em repouso, assegure-se de que a criptografia esteja habilitada para seu Amazon Elastic File System (EFS). | |
| SC.3.191 | Proteja a confidencialidade do CUI em repouso. | Como dados confidenciais podem existir e para ajudar a proteger dados em repouso, assegure-se de que a criptografia esteja habilitada para seus domínios do Amazon OpenSearch OpenSearch Service (Service). | |
| SC.3.191 | Proteja a confidencialidade do CUI em repouso. | Como dados confidenciais podem existir e para ajudar a proteger dados em repouso, garanta que a criptografia esteja habilitada para seus volumes do Amazon Elastic Block Store (Amazon EBS). | |
| SC.3.191 | Proteja a confidencialidade do CUI em repouso. | Certifique-se de que a criptografia esteja habilitada para seus snapshots do Amazon Relational Database Service (Amazon RDS). Como dados confidenciais podem existir em repouso, ative a criptografia em repouso para ajudar a proteger esses dados. | |
| SC.3.191 | Proteja a confidencialidade do CUI em repouso. | Para ajudar a proteger dados em repouso, garanta que a criptografia esteja habilitada para suas instâncias do Amazon Relational Database Service (Amazon RDS). Como dados confidenciais podem existir em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| SC.3.191 | Proteja a confidencialidade do CUI em repouso. | Para ajudar a proteger dados em repouso, garanta que a criptografia com o AWS Key Management Service (AWSKMS) esteja habilitada para seu cluster do Amazon Redshift. Como dados confidenciais podem existir em repouso nos clusters do Redshift, ative a criptografia em repouso para ajudar a proteger esses dados. | |
| SC.3.191 | Proteja a confidencialidade do CUI em repouso. | Para ajudar a proteger dados em repouso, garanta que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a proteger esses dados. | |
| SC.3.191 | Proteja a confidencialidade do CUI em repouso. | Certifique-se de que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso em um bucket do Amazon S3, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| SC.3.191 | Proteja a confidencialidade do CUI em repouso. | Para ajudar a proteger os dados em repouso, garanta que a criptografia com o AWS Key Management Service (AWSKMS) esteja habilitada para seu SageMaker endpoint. Como dados confidenciais podem existir em repouso no SageMaker endpoint, ative a criptografia em repouso para ajudar a proteger esses dados. | |
| SC.3.191 | Proteja a confidencialidade do CUI em repouso. | Para ajudar a proteger os dados em repouso, garanta que a criptografia com o AWS Key Management Service (AWSKMS) esteja habilitada para seu SageMaker notebook. Como dados confidenciais podem existir em repouso no SageMaker notebook, ative a criptografia em repouso para ajudar a proteger esses dados. | |
| SC.3.191 | Proteja a confidencialidade do CUI em repouso. | Para ajudar a proteger dados em repouso, certifique-se de que seus tópicos do Amazon Simple Notification Service (Amazon SNS) exijam criptografia AWS usando o Key Management Service AWS (KMS). Como dados confidenciais podem existir em repouso em mensagens publicadas, ative a criptografia em repouso para ajudar a proteger esses dados. | |
| SC.3.191 | Proteja a confidencialidade do CUI em repouso. | Como dados confidenciais podem existir e para ajudar a proteger dados em repouso, assegure-se de que a criptografia esteja habilitada para seus domínios do Amazon OpenSearch Service. | |
| SI.1.210 | Identifique, relate e corrija as informações e as falhas do sistema de informação em tempo hábil. | CloudWatch Os alarmes da Amazon alertam quando uma métrica ultrapassa o limite para um número específico de períodos de avaliação. O alarme realiza uma ou mais ações com base no valor da métrica ou na expressão relativa a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (Config Default: True), insufficientDataAction Obrigatório (Config Default: True), ( okActionRequired Config Default: False). O valor real deve refletir as ações de alarme do seu ambiente. | |
| SI.1.210 | Identifique, relate e corrija as informações e as falhas do sistema de informação em tempo hábil. | A Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de cibersegurança usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seu ambiente de AWS nuvem. | |
| SI.1.210 | Identifique, relate e corrija as informações e as falhas do sistema de informação em tempo hábil. | AWSO Security Hub ajuda a monitorar pessoas, conexões, dispositivos e software não autorizados. AWS O Security Hub agrega, organiza e prioriza os alertas ou descobertas de segurança de vários serviços. AWS Alguns desses serviços são Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer, Firewall AWS Manager e soluções de parceiros. AWS | |
| SI.1.211 | Forneça proteção contra códigos maliciosos em locais apropriados nos sistemas de informações organizacionais. | A Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de cibersegurança usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seu ambiente de AWS nuvem. | |
| SI.1.213 | Execute varreduras periódicas do sistema de informações e varreduras em tempo real de arquivos de fontes externas à medida que os arquivos são baixados, abertos ou executados. | A digitalização de imagens do Amazon Elastic Container Repository (ECR) ajuda a identificar vulnerabilidades de software nas imagens do seu contêiner. Habilitar a digitalização de imagens em repositórios ECR adiciona uma camada de verificação da integridade e segurança das imagens que estão sendo armazenadas. | |
| SI.2.214 | Monitore alertas e recomendações de segurança do sistema e tome medidas em resposta. | Certifique-se de que o AWS WAF esteja ativado nos Elastic Load Balancers (ELB) para ajudar a proteger aplicativos da web. Um WAF ajuda a proteger seus aplicativos web ou APIs contra explorações comuns da web. Essas explorações da web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente. | |
| SI.2.214 | Monitore alertas e recomendações de segurança do sistema e tome medidas em resposta. | AWSO WAF permite que você configure um conjunto de regras (chamado de lista de controle de acesso à web (Web ACL)) que permite, bloqueia ou conta solicitações da web com base nas regras e condições de segurança da web personalizáveis que você define. Certifique-se de que seu estágio do Amazon API Gateway esteja associado a uma WAF Web ACL para protegê-lo contra ataques maliciosos | |
| SI.2.214 | Monitore alertas e recomendações de segurança do sistema e tome medidas em resposta. | CloudWatch Os alarmes da Amazon alertam quando uma métrica ultrapassa o limite para um número específico de períodos de avaliação. O alarme realiza uma ou mais ações com base no valor da métrica ou na expressão relativa a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (Config Default: True), insufficientDataAction Obrigatório (Config Default: True), ( okActionRequired Config Default: False). O valor real deve refletir as ações de alarme do seu ambiente. | |
| SI.2.214 | Monitore alertas e recomendações de segurança do sistema e tome medidas em resposta. | Use CloudWatch a Amazon para coletar e gerenciar centralmente a atividade de eventos de log. A inclusão de AWS CloudTrail dados fornece detalhes da atividade de chamadas de API em sua AWS conta. | |
| SI.2.214 | Monitore alertas e recomendações de segurança do sistema e tome medidas em resposta. | AWS CloudTrail pode ajudar na não repúdio gravando ações do AWS Management Console e chamadas de API. Você pode identificar os usuários e AWS as contas que ligaram para um AWS serviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos no Conteúdo do AWS CloudTrail Registro. | |
| SI.2.214 | Monitore alertas e recomendações de segurança do sistema e tome medidas em resposta. | Use o AWS Systems Manager Associations para ajudar no inventário de plataformas e aplicativos de software em uma organização. AWS O Systems Manager atribui um estado de configuração às suas instâncias gerenciadas e permite que você defina linhas de base dos níveis de patch do sistema operacional, instalações de software, configurações de aplicativos e outros detalhes sobre seu ambiente. | |
| SI.2.214 | Monitore alertas e recomendações de segurança do sistema e tome medidas em resposta. | A Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de cibersegurança usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seu ambiente de AWS nuvem. | |
| SI.2.214 | Monitore alertas e recomendações de segurança do sistema e tome medidas em resposta. | AWS CloudTrail registra as ações do AWS Management Console e as chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando elas ocorreram. CloudTrail entregará arquivos de log de todas as AWS regiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, ao AWS lançar uma nova região, CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| SI.2.214 | Monitore alertas e recomendações de segurança do sistema e tome medidas em resposta. | AWSO Security Hub ajuda a monitorar pessoas, conexões, dispositivos e software não autorizados. AWS O Security Hub agrega, organiza e prioriza os alertas ou descobertas de segurança de vários serviços. AWS Alguns desses serviços são Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer, Firewall AWS Manager e soluções de parceiros. AWS | |
| SI.2.216 | Monitore sistemas organizacionais, incluindo tráfego de comunicação de entrada e saída, para detectar ataques e indicadores de possíveis ataques. | Certifique-se de que o AWS WAF esteja ativado nos Elastic Load Balancers (ELB) para ajudar a proteger aplicativos da web. Um WAF ajuda a proteger seus aplicativos web ou APIs contra explorações comuns da web. Essas explorações da web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente. | |
| SI.2.216 | Monitore sistemas organizacionais, incluindo tráfego de comunicação de entrada e saída, para detectar ataques e indicadores de possíveis ataques. | AWSO WAF permite que você configure um conjunto de regras (chamado de lista de controle de acesso à web (Web ACL)) que permite, bloqueia ou conta solicitações da web com base nas regras e condições de segurança da web personalizáveis que você define. Certifique-se de que seu estágio do Amazon API Gateway esteja associado a uma WAF Web ACL para protegê-lo contra ataques maliciosos | |
| SI.2.216 | Monitore sistemas organizacionais, incluindo tráfego de comunicação de entrada e saída, para detectar ataques e indicadores de possíveis ataques. | Use CloudWatch a Amazon para coletar e gerenciar centralmente a atividade de eventos de log. A inclusão de AWS CloudTrail dados fornece detalhes da atividade de chamadas de API em sua AWS conta. | |
| SI.2.216 | Monitore sistemas organizacionais, incluindo tráfego de comunicação de entrada e saída, para detectar ataques e indicadores de possíveis ataques. | AWS CloudTrail pode ajudar na não repúdio gravando ações do AWS Management Console e chamadas de API. Você pode identificar os usuários e AWS as contas que ligaram para um AWS serviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos no Conteúdo do AWS CloudTrail Registro. | |
| SI.2.216 | Monitore sistemas organizacionais, incluindo tráfego de comunicação de entrada e saída, para detectar ataques e indicadores de possíveis ataques. | A Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de cibersegurança usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seu ambiente de AWS nuvem. | |
| SI.2.216 | Monitore sistemas organizacionais, incluindo tráfego de comunicação de entrada e saída, para detectar ataques e indicadores de possíveis ataques. | AWS CloudTrail registra as ações do AWS Management Console e as chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando elas ocorreram. CloudTrail entregará arquivos de log de todas as AWS regiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, ao AWS lançar uma nova região, CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| SI.2.216 | Monitore sistemas organizacionais, incluindo tráfego de comunicação de entrada e saída, para detectar ataques e indicadores de possíveis ataques. | AWSO Security Hub ajuda a monitorar pessoas, conexões, dispositivos e software não autorizados. AWS O Security Hub agrega, organiza e prioriza os alertas ou descobertas de segurança de vários serviços. AWS Alguns desses serviços são Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer, Firewall AWS Manager e soluções de parceiros. AWS | |
| SI.2.216 | Monitore sistemas organizacionais, incluindo tráfego de comunicação de entrada e saída, para detectar ataques e indicadores de possíveis ataques. | Para ajudar com o registro e o monitoramento em seu ambiente, habilite o registro do AWS WAF (V2) em ACLs da web regionais e globais. AWS O registro do WAF fornece informações detalhadas sobre o tráfego que é analisado pela sua ACL da web. Os registros registram a hora em que o AWS WAF recebeu a solicitação do seu AWS recurso, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu. | |
| SI.2.217 | Identifique o uso não autorizado de sistemas organizacionais. | O registro do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles acessaram a API. Esse insight permite a visibilidade das atividades do usuário. | |
| SI.2.217 | Identifique o uso não autorizado de sistemas organizacionais. | A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda na detecção de qualquer atividade anômala. Os detalhes incluem informações AWS da conta que acessou um bucket do Amazon S3, endereço IP e horário do evento. | |
| SI.2.217 | Identifique o uso não autorizado de sistemas organizacionais. | Use CloudWatch a Amazon para coletar e gerenciar centralmente a atividade de eventos de log. A inclusão de AWS CloudTrail dados fornece detalhes da atividade de chamadas de API em sua AWS conta. | |
| SI.2.217 | Identifique o uso não autorizado de sistemas organizacionais. | AWS CloudTrail pode ajudar na não repúdio gravando ações do AWS Management Console e chamadas de API. Você pode identificar os usuários e AWS as contas que ligaram para um AWS serviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos no Conteúdo do AWS CloudTrail Registro. | |
| SI.2.217 | Identifique o uso não autorizado de sistemas organizacionais. | Use o AWS Systems Manager Associations para ajudar no inventário de plataformas e aplicativos de software em uma organização. AWS O Systems Manager atribui um estado de configuração às suas instâncias gerenciadas e permite que você defina linhas de base dos níveis de patch do sistema operacional, instalações de software, configurações de aplicativos e outros detalhes sobre seu ambiente. | |
| SI.2.217 | Identifique o uso não autorizado de sistemas organizacionais. | A atividade do Elastic Load Balancing é um ponto central de comunicação dentro de um ambiente. Certifique-se de que o registro do ELB esteja ativado. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor. | |
| SI.2.217 | Identifique o uso não autorizado de sistemas organizacionais. | A Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de cibersegurança usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seu ambiente de AWS nuvem. | |
| SI.2.217 | Identifique o uso não autorizado de sistemas organizacionais. | AWS CloudTrail registra as ações do AWS Management Console e as chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando elas ocorreram. CloudTrail entregará arquivos de log de todas as AWS regiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, ao AWS lançar uma nova região, CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| SI.2.217 | Identifique o uso não autorizado de sistemas organizacionais. | Para ajudar com o registro e o monitoramento em seu ambiente, garanta que o registro em log do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| SI.2.217 | Identifique o uso não autorizado de sistemas organizacionais. | O registro de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de cibersegurança. Os eventos são monitorados por meio da captura de registros detalhados das solicitações feitas a um bucket do Amazon S3. Cada registro de registro de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem o solicitante, o nome do bucket, o horário da solicitação, a ação da solicitação, o status da resposta e um código de erro, se relevante. | |
| SI.2.217 | Identifique o uso não autorizado de sistemas organizacionais. | AWSO Security Hub ajuda a monitorar pessoas, conexões, dispositivos e software não autorizados. AWS O Security Hub agrega, organiza e prioriza os alertas ou descobertas de segurança de vários serviços. AWS Alguns desses serviços são Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer, Firewall AWS Manager e soluções de parceiros. AWS | |
| SI.2.217 | Identifique o uso não autorizado de sistemas organizacionais. | Para ajudar com o registro e o monitoramento em seu ambiente, habilite o registro do AWS WAF (V2) em ACLs da web regionais e globais. AWS O registro do WAF fornece informações detalhadas sobre o tráfego que é analisado pela sua ACL da web. Os registros registram a hora em que o AWS WAF recebeu a solicitação do seu AWS recurso, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu. |
Modelo
O modelo está disponível em GitHub: Melhores práticas operacionais para CMMC de nível 3
