As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Melhores práticas operacionais para a Lei Gramm Leach Bliley (GLBA)
Os pacotes de conformidade fornecem uma estrutura de conformidade de uso geral projetada para permitir que você crie verificações de governança de segurança, operacionais ou de otimização de custos usando controles gerenciados ou personalizadosAWS Configregras eAWS Configações de remediação. Os pacotes de conformidade, como modelos de exemplo, não foram projetados para garantir totalmente a conformidade com um padrão específico de governança ou conformidade. Você é responsável por fazer sua própria avaliação sobre se o uso dos Serviços atende aos requisitos legais e regulamentares aplicáveis.
O seguinte fornece um exemplo de mapeamento entre a Lei Gramm-Leach-Bliley (GLBA) eAWSregras de configuração gerenciadas. Cada regra de configuração se aplica a um específicoAWSrecurso e está relacionado a um ou mais controles GLBA. Um controle GLBA pode estar relacionado a várias regras de configuração. Consulte a tabela abaixo para obter mais detalhes e orientações relacionadas a esses mapeamentos.
| ID de controle | Descrição do controle | AWSRegra de configuração | Orientação |
|---|---|---|---|
| GLBA-SEC.501 (b) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas | Gerencie o acesso aoAWSNuvem, garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| GLBA-SEC.501 (b) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas | Gerencie o acesso aoAWSNuvem garantindo que os snapshots do EBS não possam ser restaurados publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| GLBA-SEC.501 (b) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas | Gerencie o acesso aoAWSNuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| GLBA-SEC.501 (b) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas | Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchServiço (OpenSearch(Serviço) Os domínios estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). UmOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entreOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| GLBA-SEC.501 (b) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas | Gerencie o acesso aoAWSNuvem, garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| GLBA-SEC.501 (b) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas | Implante instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços dentro da Amazon VPC, sem exigir um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Atribua instâncias do Amazon EC2 a uma Amazon VPC para gerenciar adequadamente o acesso. | |
| GLBA-SEC.501 (b) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas | Gerencie o acesso aos recursos noAWSNuvem garantindo que os gateways de internet estejam conectados somente à Amazon Virtual Private Cloud (Amazon VPC) autorizada. Os gateways da Internet permitem acesso bidirecional à Internet de e para o Amazon VPC, o que pode potencialmente levar ao acesso não autorizado aos recursos do Amazon VPC. | |
| GLBA-SEC.501 (b) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas | Gerencie o acesso aos recursos noAWSNuvem, garantindoAWSAs funções do Lambda não podem ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos. | |
| GLBA-SEC.501 (b) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas | ImplantarAWSO Lambda funciona em uma Amazon Virtual Private Cloud (Amazon VPC) para uma comunicação segura entre uma função e outros serviços dentro da Amazon VPC. Com essa configuração, não há necessidade de um gateway de Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece seguro dentro doAWSNuvem. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Para gerenciar adequadamente o acesso,AWSAs funções lambda devem ser atribuídas a uma VPC. | |
| GLBA-SEC.501 (b) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas. | |
| GLBA-SEC.501 (b) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| GLBA-SEC.501 (b) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas | Gerencie o acesso aos recursos noAWSNuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| GLBA-SEC.501 (b) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente oignorePublicAcls(Padrão de configuração: verdadeiro),blockPublicPolicy(Padrão de configuração: verdadeiro),blockPublicAcls(Config Default: True), erestrictPublicBucketsparâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização. | |
| GLBA-SEC.501 (b) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| GLBA-SEC.501 (b) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a AmazonSageMakeros notebooks não permitem acesso direto à internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| GLBA-SEC.501 (b) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas | Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. Os recursos do EC2 não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus aplicativos ou servidores. | |
| GLBA-SEC.501 (b) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| GLBA-SEC.501 (b) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| GLBA-SEC.501 (b) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas | GarantaAWSOs documentos do Systems Manager (SSM) não são públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos. | |
| GLBA-SEC.501 (b) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas | Gerencie o acesso aoAWSNuvem garantindo que as sub-redes Amazon Virtual Private Cloud (VPC) não recebam automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são lançadas em sub-redes que têm esse atributo ativado têm um endereço IP público atribuído à sua interface de rede primária. | |
| GLBA-SEC.501 (b) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos. | |
| GLBA-SEC.501 (b) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas | Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchOs domínios de serviço estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Uma AmazôniaOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entre a AmazonOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| GLBA-SEC.501 (b) (1) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (1) para garantir a segurança e a confidencialidade dos registros e informações dos clientes; | Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja ativada para o cache do estágio do API Gateway. Como dados confidenciais podem ser capturados pelo método da API, ative a criptografia em repouso para ajudar a proteger esses dados. | |
| GLBA-SEC.501 (b) (1) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (1) para garantir a segurança e a confidencialidade dos registros e informações dos clientes; | Como podem existir dados confidenciais e, para ajudar a proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seuAWS CloudTrailtrilhas. | |
| GLBA-SEC.501 (b) (1) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (1) para garantir a segurança e a confidencialidade dos registros e informações dos clientes; | Para ajudar a proteger dados confidenciais em repouso, garanta que a criptografia esteja habilitada para sua AmazonCloudWatchGrupos de registro. | |
| GLBA-SEC.501 (b) (1) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (1) para garantir a segurança e a confidencialidade dos registros e informações dos clientes; | Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seu Amazon Elastic File System (EFS). | |
| GLBA-SEC.501 (b) (1) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (1) para garantir a segurança e a confidencialidade dos registros e informações dos clientes; | Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para sua AmazonOpenSearchServiço (OpenSearchDomínios de serviço (). | |
| GLBA-SEC.501 (b) (1) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (1) para garantir a segurança e a confidencialidade dos registros e informações dos clientes; | Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seus volumes do Amazon Elastic Block Store (Amazon EBS). | |
| GLBA-SEC.501 (b) (1) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (1) para garantir a segurança e a confidencialidade dos registros e informações dos clientes; | Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para suas instâncias do Amazon Relational Database Service (Amazon RDS). Como dados confidenciais podem existir em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| GLBA-SEC.501 (b) (1) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (1) para garantir a segurança e a confidencialidade dos registros e informações dos clientes; | Para proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seus clusters do Amazon Redshift. Você também deve garantir que as configurações necessárias sejam implantadas nos clusters do Amazon Redshift. O registro de auditoria deve estar habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido paraclusterDbEncrypted(Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). Os valores reais devem refletir as políticas da sua organização. | |
| GLBA-SEC.501 (b) (1) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (1) para garantir a segurança e a confidencialidade dos registros e informações dos clientes; | Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a proteger esses dados. | |
| GLBA-SEC.501 (b) (1) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (1) para garantir a segurança e a confidencialidade dos registros e informações dos clientes; | Para ajudar a proteger os dados em repouso, garanta a criptografia comAWSServiço de gerenciamento de chaves (AWSO KMS) está habilitado para seuSageMakerponto final. Porque dados confidenciais podem existir em repouso noSageMakerendpoint, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| GLBA-SEC.501 (b) (1) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (1) para garantir a segurança e a confidencialidade dos registros e informações dos clientes; | Para ajudar a proteger os dados em repouso, garanta a criptografia comAWSServiço de gerenciamento de chaves (AWSO KMS) está habilitado para seuSageMakercaderno. Porque dados confidenciais podem existir em repouso noSageMakernotebook, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| GLBA-SEC.501 (b) (1) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (1) para garantir a segurança e a confidencialidade dos registros e informações dos clientes; | Para ajudar a proteger os dados em repouso, certifique-se de que seus tópicos do Amazon Simple Notification Service (Amazon SNS) exijam criptografia usandoAWSServiço de gerenciamento de chaves (AWSKMS). Como dados confidenciais podem existir em repouso nas mensagens publicadas, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| GLBA-SEC.501 (b) (1) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (1) para garantir a segurança e a confidencialidade dos registros e informações dos clientes; | Para ajudar a proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seus volumes do Amazon Elastic Block Store (Amazon EBS). Como dados confidenciais podem existir em repouso nesses volumes, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| GLBA-SEC.501 (b) (1) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (1) para garantir a segurança e a confidencialidade dos registros e informações dos clientes; | Certifique-se de que a criptografia esteja habilitada para suas tabelas do Amazon DynamoDB. Como dados confidenciais podem existir em repouso nessas tabelas, habilite a criptografia em repouso para ajudar a proteger esses dados. Por padrão, as tabelas do DynamoDB são criptografadas com umAWSchave mestra do cliente (CMK) de propriedade do cliente. | |
| GLBA-SEC.501 (b) (1) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (1) para garantir a segurança e a confidencialidade dos registros e informações dos clientes; | Certifique-se de que a criptografia esteja habilitada para seus snapshots do Amazon Relational Database Service (Amazon RDS). Como dados confidenciais podem existir em repouso, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| GLBA-SEC.501 (b) (1) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (1) para garantir a segurança e a confidencialidade dos registros e informações dos clientes; | Certifique-se de que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso em um bucket do Amazon S3, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| GLBA-SEC.501 (b) (1) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (1) para garantir a segurança e a confidencialidade dos registros e informações dos clientes; | Certifique-se de que a criptografia esteja habilitada para seuAWSPontos de recuperação de backup. Como dados confidenciais podem existir em repouso, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| GLBA-SEC.501 (b) (1) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (1) para garantir a segurança e a confidencialidade dos registros e informações dos clientes; | Garantanode-to-nodecriptografia para AmazonOpenSearchO serviço está ativado. Node-to-nodea criptografia permite a criptografia TLS 1.2 para todas as comunicações dentro da Amazon Virtual Private Cloud (Amazon VPC). Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| GLBA-SEC.501 (b) (1) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (1) para garantir a segurança e a confidencialidade dos registros e informações dos clientes; | Para ajudar a proteger dados confidenciais em repouso, certifique-se de que a criptografia esteja habilitada para seuAWS CodeBuildregistros armazenados no Amazon S3. | |
| GLBA-SEC.501 (b) (1) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (1) para garantir a segurança e a confidencialidade dos registros e informações dos clientes; | Para ajudar a proteger dados confidenciais em repouso, certifique-se de que a criptografia esteja habilitada para seuAWS CodeBuildartefatos. | |
| GLBA-SEC.501 (b) (1) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (1) para garantir a segurança e a confidencialidade dos registros e informações dos clientes; | Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para sua AmazonOpenSearchDomínios de serviço. | |
| GLBA-SEC.501 (b) (1) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (1) para garantir a segurança e a confidencialidade dos registros e informações dos clientes; | Garantanode-to-nodecriptografia para AmazonOpenSearchO serviço está ativado. Node-to-nodea criptografia permite a criptografia TLS 1.2 para todas as comunicações dentro da Amazon Virtual Private Cloud (Amazon VPC). Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| GLBA-SEC.501 (b) (1) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (1) para garantir a segurança e a confidencialidade dos registros e informações dos clientes; | Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seus Amazon Kinesis Streams. | |
| GLBA-SEC.501 (b) (2) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (2) para se proteger contra quaisquer ameaças ou riscos previstos à segurança ou integridade de tais registros; e | AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem. | |
| GLBA-SEC.501 (b) (2) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (2) para se proteger contra quaisquer ameaças ou riscos previstos à segurança ou integridade de tais registros; e | AWSO Security Hub ajuda a monitorar pessoal, conexões, dispositivos e software não autorizados.AWS O Security Hub agrega, organiza e prioriza os alertas de segurança, ou descobertas, de váriosAWSserviços. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie,AWSAnalisador de acesso de gerenciamento de identidade e acesso (IAM) eAWSFirewall Manager eAWSSoluções de parceiros. | |
| GLBA-SEC.501 (b) (3) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (3) para proteger contra o acesso ou uso não autorizado de tais registros ou informações que possam resultar em danos ou inconvenientes substanciais para qualquer cliente. | Esta regra garanteAWSOs segredos do Secrets Manager têm a rotação ativada. A rotação de segredos em um cronograma regular pode reduzir o período em que um segredo está ativo e, potencialmente, reduzir o impacto nos negócios se o segredo for comprometido. | |
| GLBA-SEC.501 (b) (3) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (3) para proteger contra o acesso ou uso não autorizado de tais registros ou informações que possam resultar em danos ou inconvenientes substanciais para qualquer cliente. | As credenciais são auditadas para dispositivos, usuários e processos autorizados, garantindo que as chaves de acesso do IAM sejam alternadas de acordo com a política organizacional. Alterar as chaves de acesso regularmente é uma prática recomendada de segurança. Isso reduz o período em que uma chave de acesso está ativa e reduz o impacto nos negócios se as chaves forem comprometidas. Essa regra exige um valor de rotação da chave de acesso (padrão de configuração: 90). O valor real deve refletir as políticas da sua organização. | |
| GLBA-SEC.501 (b) (3) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (3) para proteger contra o acesso ou uso não autorizado de tais registros ou informações que possam resultar em danos ou inconvenientes substanciais para qualquer cliente. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o mínimo de privilégios. | |
| GLBA-SEC.501 (b) (3) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (3) para proteger contra o acesso ou uso não autorizado de tais registros ou informações que possam resultar em danos ou inconvenientes substanciais para qualquer cliente. | As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política de senha organizacional do IAM. Eles atendem ou excedem os requisitos, conforme declarado pelo NIST SP 800-63 e peloAWSPadrão básico de melhores práticas de segurança para a segurança da senha. Essa regra permite que você defina opcionalmenteRequireUppercaseCharacters(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireLowercaseCharacters(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireSymbols(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireNumbers(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),MinimumPasswordLength(AWSValor fundamental das melhores práticas de segurança: 14),PasswordReusePrevention(AWSValor fundamental das melhores práticas de segurança: 24) eMaxPasswordAge(AWSValor fundamental das melhores práticas de segurança: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da sua organização. | |
| GLBA-SEC.501 (b) (3) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (3) para proteger contra o acesso ou uso não autorizado de tais registros ou informações que possam resultar em danos ou inconvenientes substanciais para qualquer cliente. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” em vez de “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| GLBA-SEC.501 (b) (3) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (3) para proteger contra o acesso ou uso não autorizado de tais registros ou informações que possam resultar em danos ou inconvenientes substanciais para qualquer cliente. | O acesso a sistemas e ativos pode ser controlado verificando se o usuário root não tem chaves de acesso anexadas aos seusAWSFunção de gerenciamento de identidade e acesso (IAM). Certifique-se de que as chaves de acesso root sejam excluídas. Em vez disso, crie e use com base em funçõesAWScontas para ajudar a incorporar o princípio da menor funcionalidade. | |
| GLBA-SEC.501 (b) (3) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (3) para proteger contra o acesso ou uso não autorizado de tais registros ou informações que possam resultar em danos ou inconvenientes substanciais para qualquer cliente. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a restringir as permissões e autorizações de acesso, garantindo que os usuários sejam membros de pelo menos um grupo. Permitir aos usuários mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| GLBA-SEC.501 (b) (3) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (3) para proteger contra o acesso ou uso não autorizado de tais registros ou informações que possam resultar em danos ou inconvenientes substanciais para qualquer cliente. | Esta regra garanteAWSAs políticas de gerenciamento de identidade e acesso (IAM) são vinculadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios no nível do grupo ou da função ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| GLBA-SEC.501 (b) (3) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (3) para proteger contra o acesso ou uso não autorizado de tais registros ou informações que possam resultar em danos ou inconvenientes substanciais para qualquer cliente. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período de tempo especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou remover as credenciais, pois isso pode violar o princípio do menor privilégio. Essa regra exige que você defina um valor paramaxCredentialUsageIdade (padrão de configuração: 90). O valor real deve refletir as políticas da sua organização. | |
| GLBA-SEC.501 (b) (3) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (3) para proteger contra o acesso ou uso não autorizado de tais registros ou informações que possam resultar em danos ou inconvenientes substanciais para qualquer cliente. | Gerencie o acesso aoAWSNuvem ativando s3_ bucket_policy_grantee_check. Essa regra verifica se o acesso concedido pelo bucket do Amazon S3 é restrito por qualquer um dosAWSdiretores, usuários federados, diretores de serviços, endereços IP ou IDs da Amazon Virtual Private Cloud (Amazon VPC) que você fornece. | |
| GLBA-SEC.501 (b) (3) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (3) para proteger contra o acesso ou uso não autorizado de tais registros ou informações que possam resultar em danos ou inconvenientes substanciais para qualquer cliente. | Certifique-se de que as ações do IAM sejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| GLBA-SEC.501 (b) (3) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (3) para proteger contra o acesso ou uso não autorizado de tais registros ou informações que possam resultar em danos ou inconvenientes substanciais para qualquer cliente. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a MFA esteja habilitada para todosAWSUsuários do Gerenciamento de Identidade e Acesso (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir a MFA para os usuários, você pode reduzir os incidentes de contas comprometidas e impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| GLBA-SEC.501 (b) (3) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (3) para proteger contra o acesso ou uso não autorizado de tais registros ou informações que possam resultar em danos ou inconvenientes substanciais para qualquer cliente. | Garanta que o controle de acesso refinado esteja ativado em sua AmazonOpenSearchDomínios de serviço. O controle de acesso refinado fornece mecanismos de autorização aprimorados para obter acesso menos privilegiado à AmazonOpenSearchDomínios de serviço. Ele permite o controle de acesso baseado em funções ao domínio, bem como a segurança em nível de índice, documento e campo, além de suporte paraOpenSearchPainéis de serviço, multilocação e autenticação básica HTTP paraOpenSearchService e Kibana. | |
| GLBA-SEC.501 (b) (3) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (3) para proteger contra o acesso ou uso não autorizado de tais registros ou informações que possam resultar em danos ou inconvenientes substanciais para qualquer cliente. | Habilitar o acesso somente para leitura aos contêineres do Amazon Elastic Container Service (ECS) pode ajudar a cumprir o princípio do menor privilégio. Essa opção pode reduzir os vetores de ataque, pois o sistema de arquivos da instância do contêiner não pode ser modificado a menos que tenha permissões explícitas de leitura e gravação. | |
| GLBA-SEC.501 (b) (3) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (3) para proteger contra o acesso ou uso não autorizado de tais registros ou informações que possam resultar em danos ou inconvenientes substanciais para qualquer cliente. | A aplicação de um diretório raiz para um ponto de acesso do Amazon Elastic File System (Amazon EFS) ajuda a restringir o acesso aos dados, garantindo que os usuários do ponto de acesso possam acessar somente os arquivos do subdiretório especificado. | |
| GLBA-SEC.501 (b) (3) | Em prol da política da subseção (a), cada agência ou autoridade descrita na seção 505 (a) deve estabelecer padrões apropriados para as instituições financeiras sujeitas à sua jurisdição em relação às salvaguardas administrativas, técnicas e físicas (3) para proteger contra o acesso ou uso não autorizado de tais registros ou informações que possam resultar em danos ou inconvenientes substanciais para qualquer cliente. | Para ajudar na implementação do princípio do menor privilégio, garanta que a imposição do usuário esteja habilitada para seu Amazon Elastic File System (Amazon EFS). Quando ativado, o Amazon EFS substitui os IDs de usuário e grupo do cliente NFS pela identidade configurada no ponto de acesso para todas as operações do sistema de arquivos e só concede acesso a essa identidade de usuário imposta. |
Modelo
O modelo está disponível emGitHub:Melhores práticas operacionais para a Lei Gramm Leach Bliley (GLBA)
