As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Melhores práticas operacionais para o IRS 1075
Os pacotes de conformidade fornecem uma estrutura de conformidade de uso geral projetada para permitir que você crie verificações de governança de segurança, operacionais ou de otimização de custos usando controles gerenciados ou personalizadosAWS Configregras eAWS Configações de remediação. Os pacotes de conformidade, como modelos de exemplo, não foram projetados para garantir totalmente a conformidade com um padrão específico de governança ou conformidade. Você é responsável por fazer sua própria avaliação sobre se o uso dos Serviços atende aos requisitos legais e regulamentares aplicáveis.
O seguinte fornece um exemplo de mapeamento entre o IRS 1075 eAWSregras de configuração gerenciadas. Cada regra de configuração se aplica a um específicoAWSrecurso e se refere a um ou mais controles do IRS 1075. Um controle IRS 1075 pode estar relacionado a várias regras de configuração. Consulte a tabela abaixo para obter mais detalhes e orientações relacionadas a esses mapeamentos.
| ID de controle | Descrição do controle | AWSRegra de configuração | Orientação |
|---|---|---|---|
| 3.3.1 Computação em nuvem d. Criptografia de dados em trânsito | O FTI deve ser criptografado em trânsito no ambiente de nuvem. Todos os mecanismos usados para criptografar o FTI devem ter a certificação FIPS 140 e operar utilizando os mais recentes módulos compatíveis com FIPS 140. Esse requisito deve ser incluído no SLA. | Para ajudar a proteger os dados em trânsito, certifique-se de que seu Application Load Balancer redirecione automaticamente solicitações HTTP não criptografadas para HTTPS. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| 3.3.1 Computação em nuvem d. Criptografia de dados em trânsito | O FTI deve ser criptografado em trânsito no ambiente de nuvem. Todos os mecanismos usados para criptografar o FTI devem ter a certificação FIPS 140 e operar utilizando os mais recentes módulos compatíveis com FIPS 140. Esse requisito deve ser incluído no SLA. | Garantanode-to-nodecriptografia para AmazonOpenSearchO serviço está ativado. Node-to-nodea criptografia permite a criptografia TLS 1.2 para todas as comunicações dentro da Amazon Virtual Private Cloud (Amazon VPC). Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| 3.3.1 Computação em nuvem d. Criptografia de dados em trânsito | O FTI deve ser criptografado em trânsito no ambiente de nuvem. Todos os mecanismos usados para criptografar o FTI devem ter a certificação FIPS 140 e operar utilizando os mais recentes módulos compatíveis com FIPS 140. Esse requisito deve ser incluído no SLA. | Certifique-se de que seus Elastic Load Balancers (ELBs) estejam configurados com ouvintes SSL ou HTTPS. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| 3.3.1 Computação em nuvem d. Criptografia de dados em trânsito | O FTI deve ser criptografado em trânsito no ambiente de nuvem. Todos os mecanismos usados para criptografar o FTI devem ter a certificação FIPS 140 e operar utilizando os mais recentes módulos compatíveis com FIPS 140. Esse requisito deve ser incluído no SLA. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em trânsito, certifique-se de que o HTTPS esteja habilitado para conexões com sua AmazonOpenSearchDomínios de serviço. | |
| 3.3.1 Computação em nuvem d. Criptografia de dados em trânsito | O FTI deve ser criptografado em trânsito no ambiente de nuvem. Todos os mecanismos usados para criptografar o FTI devem ter a certificação FIPS 140 e operar utilizando os mais recentes módulos compatíveis com FIPS 140. Esse requisito deve ser incluído no SLA. | Garantanode-to-nodecriptografia para AmazonOpenSearchO serviço está ativado. Node-to-nodea criptografia permite a criptografia TLS 1.2 para todas as comunicações dentro da Amazon Virtual Private Cloud (Amazon VPC). Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| 3.3.1 Computação em nuvem d. Criptografia de dados em trânsito | O FTI deve ser criptografado em trânsito no ambiente de nuvem. Todos os mecanismos usados para criptografar o FTI devem ter a certificação FIPS 140 e operar utilizando os mais recentes módulos compatíveis com FIPS 140. Esse requisito deve ser incluído no SLA. | Certifique-se de que seus clusters do Amazon Redshift exijam criptografia TLS/SSL para se conectar aos clientes SQL. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| 3.3.1 Computação em nuvem d. Criptografia de dados em trânsito | O FTI deve ser criptografado em trânsito no ambiente de nuvem. Todos os mecanismos usados para criptografar o FTI devem ter a certificação FIPS 140 e operar utilizando os mais recentes módulos compatíveis com FIPS 140. Esse requisito deve ser incluído no SLA. | Para ajudar a proteger os dados em trânsito, certifique-se de que seus buckets do Amazon Simple Storage Service (Amazon S3) exijam solicitações para usar o Secure Socket Layer (SSL). Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| 3.3.1 Computação em nuvem e. Criptografia de dados em repouso | Criptografia de dados em repouso: o FTI deve ser criptografado enquanto estiver em repouso na nuvem usando o mais recente mecanismo de criptografia certificado FIPS 140. Esse requisito deve ser incluído no SLA. | Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja ativada para o cache do estágio do API Gateway. Como dados confidenciais podem ser capturados pelo método da API, ative a criptografia em repouso para ajudar a proteger esses dados. | |
| 3.3.1 Computação em nuvem e. Criptografia de dados em repouso | Criptografia de dados em repouso: o FTI deve ser criptografado enquanto estiver em repouso na nuvem usando o mais recente mecanismo de criptografia certificado FIPS 140. Esse requisito deve ser incluído no SLA. | Certifique-se de que a criptografia esteja habilitada para seuAWSPontos de recuperação de backup. Como dados confidenciais podem existir em repouso, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| 3.3.1 Computação em nuvem e. Criptografia de dados em repouso | Criptografia de dados em repouso: o FTI deve ser criptografado enquanto estiver em repouso na nuvem usando o mais recente mecanismo de criptografia certificado FIPS 140. Esse requisito deve ser incluído no SLA. | Como podem existir dados confidenciais e, para ajudar a proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seuAWS CloudTrailtrilhas. | |
| 3.3.1 Computação em nuvem e. Criptografia de dados em repouso | Criptografia de dados em repouso: o FTI deve ser criptografado enquanto estiver em repouso na nuvem usando o mais recente mecanismo de criptografia certificado FIPS 140. Esse requisito deve ser incluído no SLA. | Certifique-se de que a criptografia esteja habilitada para suas tabelas do Amazon DynamoDB. Como dados confidenciais podem existir em repouso nessas tabelas, habilite a criptografia em repouso para ajudar a proteger esses dados. Por padrão, as tabelas do DynamoDB são criptografadas com umAWSchave mestra do cliente (CMK) de propriedade do cliente. | |
| 3.3.1 Computação em nuvem e. Criptografia de dados em repouso | Criptografia de dados em repouso: o FTI deve ser criptografado enquanto estiver em repouso na nuvem usando o mais recente mecanismo de criptografia certificado FIPS 140. Esse requisito deve ser incluído no SLA. | Para ajudar a proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seus volumes do Amazon Elastic Block Store (Amazon EBS). Como dados confidenciais podem existir em repouso nesses volumes, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| 3.3.1 Computação em nuvem e. Criptografia de dados em repouso | Criptografia de dados em repouso: o FTI deve ser criptografado enquanto estiver em repouso na nuvem usando o mais recente mecanismo de criptografia certificado FIPS 140. Esse requisito deve ser incluído no SLA. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seu Amazon Elastic File System (EFS). | |
| 3.3.1 Computação em nuvem e. Criptografia de dados em repouso | Criptografia de dados em repouso: o FTI deve ser criptografado enquanto estiver em repouso na nuvem usando o mais recente mecanismo de criptografia certificado FIPS 140. Esse requisito deve ser incluído no SLA. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para sua AmazonOpenSearchServiço (OpenSearchDomínios de serviço). | |
| 3.3.1 Computação em nuvem e. Criptografia de dados em repouso | Criptografia de dados em repouso: o FTI deve ser criptografado enquanto estiver em repouso na nuvem usando o mais recente mecanismo de criptografia certificado FIPS 140. Esse requisito deve ser incluído no SLA. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seus volumes do Amazon Elastic Block Store (Amazon EBS). | |
| 3.3.1 Computação em nuvem e. Criptografia de dados em repouso | Criptografia de dados em repouso: o FTI deve ser criptografado enquanto estiver em repouso na nuvem usando o mais recente mecanismo de criptografia certificado FIPS 140. Esse requisito deve ser incluído no SLA. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seus Amazon Kinesis Streams. | |
| 3.3.1 Computação em nuvem e. Criptografia de dados em repouso | Criptografia de dados em repouso: o FTI deve ser criptografado enquanto estiver em repouso na nuvem usando o mais recente mecanismo de criptografia certificado FIPS 140. Esse requisito deve ser incluído no SLA. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para sua AmazonOpenSearchDomínios de serviço. | |
| 3.3.1 Computação em nuvem e. Criptografia de dados em repouso | Criptografia de dados em repouso: o FTI deve ser criptografado enquanto estiver em repouso na nuvem usando o mais recente mecanismo de criptografia certificado FIPS 140. Esse requisito deve ser incluído no SLA. | Certifique-se de que a criptografia esteja habilitada para seus snapshots do Amazon Relational Database Service (Amazon RDS). Como dados confidenciais podem existir em repouso, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| 3.3.1 Computação em nuvem e. Criptografia de dados em repouso | Criptografia de dados em repouso: o FTI deve ser criptografado enquanto estiver em repouso na nuvem usando o mais recente mecanismo de criptografia certificado FIPS 140. Esse requisito deve ser incluído no SLA. | Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para suas instâncias do Amazon Relational Database Service (Amazon RDS). Como dados confidenciais podem existir em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| 3.3.1 Computação em nuvem e. Criptografia de dados em repouso | Criptografia de dados em repouso: o FTI deve ser criptografado enquanto estiver em repouso na nuvem usando o mais recente mecanismo de criptografia certificado FIPS 140. Esse requisito deve ser incluído no SLA. | Para proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seus clusters do Amazon Redshift. Você também deve garantir que as configurações necessárias sejam implantadas nos clusters do Amazon Redshift. O registro de auditoria deve estar habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido paraclusterDbEncrypted(Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). Os valores reais devem refletir as políticas da sua organização. | |
| 3.3.1 Computação em nuvem e. Criptografia de dados em repouso | Criptografia de dados em repouso: o FTI deve ser criptografado enquanto estiver em repouso na nuvem usando o mais recente mecanismo de criptografia certificado FIPS 140. Esse requisito deve ser incluído no SLA. | Para ajudar a proteger os dados em repouso, garanta a criptografia comAWSServiço de gerenciamento de chaves (AWSO KMS) está habilitado para seu cluster do Amazon Redshift. Como dados confidenciais podem existir em repouso nos clusters do Redshift, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| 3.3.1 Computação em nuvem e. Criptografia de dados em repouso | Criptografia de dados em repouso: o FTI deve ser criptografado enquanto estiver em repouso na nuvem usando o mais recente mecanismo de criptografia certificado FIPS 140. Esse requisito deve ser incluído no SLA. | Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a proteger esses dados. | |
| 3.3.1 Computação em nuvem e. Criptografia de dados em repouso | Criptografia de dados em repouso: o FTI deve ser criptografado enquanto estiver em repouso na nuvem usando o mais recente mecanismo de criptografia certificado FIPS 140. Esse requisito deve ser incluído no SLA. | Certifique-se de que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso em um bucket do Amazon S3, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| 3.3.1 Computação em nuvem e. Criptografia de dados em repouso | Criptografia de dados em repouso: o FTI deve ser criptografado enquanto estiver em repouso na nuvem usando o mais recente mecanismo de criptografia certificado FIPS 140. Esse requisito deve ser incluído no SLA. | Para ajudar a proteger os dados em repouso, garanta a criptografia comAWSServiço de gerenciamento de chaves (AWSO KMS) está habilitado para seuSageMakerponto final. Porque dados confidenciais podem existir em repouso noSageMakerendpoint, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| 3.3.1 Computação em nuvem e. Criptografia de dados em repouso | Criptografia de dados em repouso: o FTI deve ser criptografado enquanto estiver em repouso na nuvem usando o mais recente mecanismo de criptografia certificado FIPS 140. Esse requisito deve ser incluído no SLA. | Para ajudar a proteger os dados em repouso, garanta a criptografia comAWSServiço de gerenciamento de chaves (AWSO KMS) está habilitado para seuSageMakercaderno. Porque dados confidenciais podem existir em repouso noSageMakernotebook, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| 3.3.1 Computação em nuvem e. Criptografia de dados em repouso | Criptografia de dados em repouso: o FTI deve ser criptografado enquanto estiver em repouso na nuvem usando o mais recente mecanismo de criptografia certificado FIPS 140. Esse requisito deve ser incluído no SLA. | Para ajudar a proteger os dados em repouso, garanta a criptografia comAWSServiço de gerenciamento de chaves (AWSO KMS) está habilitado paraAWSSegredos do Secrets Manager. Como dados confidenciais podem existir em repouso nos segredos do Secrets Manager, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| 3.3.1 Computação em nuvem k. Autenticação multifatorial | As agências devem implementar autenticação multifatorial suficiente quando suas soluções em nuvem estiverem disponíveis na Internet (ou seja, há acesso à solução em nuvem de fora da rede confiável da agência). | Ative essa regra para restringir o acesso aos recursos noAWSNuvem. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção às credenciais de login. Reduza os incidentes de contas comprometidas exigindo MFA para os usuários. | |
| 3.3.1 Computação em nuvem k. Autenticação multifatorial | As agências devem implementar autenticação multifatorial suficiente quando suas soluções em nuvem estiverem disponíveis na Internet (ou seja, há acesso à solução em nuvem de fora da rede confiável da agência). | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a MFA esteja habilitada para todosAWSUsuários do Gerenciamento de Identidade e Acesso (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir a MFA para os usuários, você pode reduzir os incidentes de contas comprometidas e impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| 3.3.1 Computação em nuvem k. Autenticação multifatorial | As agências devem implementar autenticação multifatorial suficiente quando suas soluções em nuvem estiverem disponíveis na Internet (ou seja, há acesso à solução em nuvem de fora da rede confiável da agência). | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a MFA de hardware esteja habilitada para o usuário root. O usuário root é o usuário mais privilegiado em umAWSconta. O MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir MFA para o usuário root, você pode reduzir os incidentes de comprometimentoAWScontas. | |
| 3.3.1 Computação em nuvem k. Autenticação multifatorial | As agências devem implementar autenticação multifatorial suficiente quando suas soluções em nuvem estiverem disponíveis na Internet (ou seja, há acesso à solução em nuvem de fora da rede confiável da agência). | Gerencie o acesso aos recursos noAWSNuvem, garantindo que o MFA esteja habilitado para o usuário root. O usuário root é o usuário mais privilegiado em umAWSconta. O MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir MFA para o usuário root, você pode reduzir os incidentes de comprometimentoAWScontas. | |
| 3.3.1 Computação em nuvem i. Avaliação de risco: | A agência deve realizar uma avaliação anual dos controles de segurança e privacidade em vigor em todos os sistemas de informação usados para receber, processar, armazenar, acessar, proteger e/ou transmitir FTI. | annual-risk-assessment-performed(Verificação do processo) | Faça uma avaliação anual de risco em sua organização. As avaliações de risco podem ajudar a determinar a probabilidade e o impacto dos riscos e/ou vulnerabilidades identificados que afetam uma organização. |
| 3.3.6 Limite e infraestrutura da rede | As agências devem implementar dispositivos de proteção de limites em toda a arquitetura do sistema, incluindo roteadores, firewalls, switches e sistemas de detecção de intrusão para proteger os sistemas FTI e FTI. | AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem. | |
| 3.3.6 Limite e infraestrutura da rede | As agências devem implementar dispositivos de proteção de limites em toda a arquitetura do sistema, incluindo roteadores, firewalls, switches e sistemas de detecção de intrusão para proteger os sistemas FTI e FTI. | AmazôniaGuardDutyajuda você a entender o impacto de um incidente classificando as descobertas por gravidade: baixa, média e alta. Você pode usar essas classificações para determinar as estratégias e prioridades de remediação. Essa regra permite que você defina opcionalmente odaysLowSev(Configuração padrão: 30),daysMediumSev(Configuração padrão: 7) edaysHighSev(Padrão de configuração: 1) para descobertas não arquivadas, conforme exigido pelas políticas da sua organização. | |
| 3.3.6 Limite e infraestrutura da rede | As agências devem implementar dispositivos de proteção de limites em toda a arquitetura do sistema, incluindo roteadores, firewalls, switches e sistemas de detecção de intrusão para proteger os sistemas FTI e FTI. | UmAWSA política de firewall de rede define como seu firewall monitora e gerencia o tráfego em um Amazon VPC. Você configura grupos de regras sem estado e com estado para filtrar pacotes e fluxos de tráfego e define o tratamento de tráfego padrão. | |
| 3.3.6 Limite e infraestrutura da rede | As agências devem implementar dispositivos de proteção de limites em toda a arquitetura do sistema, incluindo roteadores, firewalls, switches e sistemas de detecção de intrusão para proteger os sistemas FTI e FTI. | UmAWSO grupo de regras do Network Firewall contém regras que definem como seu firewall processa o tráfego em sua VPC. Um grupo de regras vazio sem estado, quando presente em uma política de firewall, não processa o tráfego. | |
| 3.3.6 Limite e infraestrutura da rede | As agências devem implementar dispositivos de proteção de limites em toda a arquitetura do sistema, incluindo roteadores, firewalls, switches e sistemas de detecção de intrusão para proteger os sistemas FTI e FTI. | AWSO Security Hub ajuda a monitorar pessoal, conexões, dispositivos e software não autorizados.AWS O Security Hub agrega, organiza e prioriza os alertas de segurança, ou descobertas, de váriosAWSserviços. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie,AWSAnalisador de acesso de gerenciamento de identidade e acesso (IAM) eAWSGerenciador de Firewall eAWSSoluções de parceiros. | |
| 3.3.6 Limite e infraestrutura da rede | As agências devem implementar dispositivos de proteção de limites em toda a arquitetura do sistema, incluindo roteadores, firewalls, switches e sistemas de detecção de intrusão para proteger os sistemas FTI e FTI. | Garanta suaAWSO WAF tem uma regra que não está vazia. Uma regra sem condições pode resultar em comportamento não intencional. | |
| 3.3.6 Limite e infraestrutura da rede | As agências devem implementar dispositivos de proteção de limites em toda a arquitetura do sistema, incluindo roteadores, firewalls, switches e sistemas de detecção de intrusão para proteger os sistemas FTI e FTI. | Garanta suaAWSO WAF tem um grupo de regras que não está vazio. Um grupo de regras vazio pode resultar em comportamento não intencional. | |
| 3.3.6 Limite e infraestrutura da rede | As agências devem implementar dispositivos de proteção de limites em toda a arquitetura do sistema, incluindo roteadores, firewalls, switches e sistemas de detecção de intrusão para proteger os sistemas FTI e FTI. | Uma ACL da Web anexada a umAWSO WAF pode conter uma coleção de regras e grupos de regras para inspecionar e controlar solicitações da Web. Se uma ACL da Web estiver vazia, o tráfego da web passará sem ser detectado ou acionado pelo WAF. | |
| 3.3.6 Limite e infraestrutura da rede | As agências devem implementar dispositivos de proteção de limites em toda a arquitetura do sistema, incluindo roteadores, firewalls, switches e sistemas de detecção de intrusão para proteger os sistemas FTI e FTI. | GarantaAWSO WAF está habilitado nos Elastic Load Balancers (ELB) para ajudar a proteger os aplicativos da web. Um WAF ajuda a proteger seus aplicativos ou APIs da web contra explorações comuns da web. Essas explorações na web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente. | |
| 3.3.6 Limite e infraestrutura da rede | As agências devem implementar dispositivos de proteção de limites em toda a arquitetura do sistema, incluindo roteadores, firewalls, switches e sistemas de detecção de intrusão para proteger os sistemas FTI e FTI. | AWSO WAF permite que você configure um conjunto de regras (chamado de lista de controle de acesso à web (ACL da web)) que permitem, bloqueiam ou contam solicitações da Web com base nas regras e condições de segurança da Web personalizáveis que você define. Certifique-se de que seu estágio do Amazon API Gateway esteja associado a uma WAF Web ACL para protegê-lo contra ataques maliciosos | |
| Gerenciamento de contas AC-2 (f) | Criar, ativar, modificar, desativar e remover contas de acordo com os pré-requisitos dos procedimentos de gerenciamento de contas da agência; | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período de tempo especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou remover as credenciais, pois isso pode violar o princípio do menor privilégio. Essa regra exige que você defina um valor para omaxCredentialUsageIdade (padrão de configuração: 90). O valor real deve refletir as políticas da sua organização. | |
| Gerenciamento de contas AC-2 (f) | Criar, ativar, modificar, desativar e remover contas de acordo com os pré-requisitos dos procedimentos de gerenciamento de contas da agência; | Gerenciamento centralizado deAWScontas dentroAWSAs organizações ajudam a garantir a conformidade das contas. A falta de governança centralizada da conta pode levar a configurações de conta inconsistentes, o que pode expor recursos e dados confidenciais. | |
| Gerenciamento de contas AC-2 (f) | Criar, ativar, modificar, desativar e remover contas de acordo com os pré-requisitos dos procedimentos de gerenciamento de contas da agência; | O acesso a sistemas e ativos pode ser controlado verificando se o usuário root não tem chaves de acesso anexadas aos seusAWSFunção de gerenciamento de identidade e acesso (IAM). Certifique-se de que as chaves de acesso root sejam excluídas. Em vez disso, crie e use com base em funçõesAWScontas para ajudar a incorporar o princípio da menor funcionalidade. | |
| Gerenciamento de contas AC-2 (f) | Criar, ativar, modificar, desativar e remover contas de acordo com os pré-requisitos dos procedimentos de gerenciamento de contas da agência; | Ative essa regra para restringir o acesso aos recursos noAWSNuvem. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção às credenciais de login. Reduza os incidentes de contas comprometidas exigindo MFA para os usuários. | |
| Gerenciamento de contas AC-2 (f) | Criar, ativar, modificar, desativar e remover contas de acordo com os pré-requisitos dos procedimentos de gerenciamento de contas da agência; | Esta regra garanteAWSAs políticas de gerenciamento de identidade e acesso (IAM) são vinculadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios no nível do grupo ou da função ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| Gerenciamento de contas AC-2 (g) | Monitore o uso de contas | AWS CloudTrailpode ajudar na não repúdio gravandoAWSAções do Management Console e chamadas de API. Você pode identificar os usuários eAWScontas que chamaram umAWSserviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos emAWS CloudTrailGravar conteúdo. | |
| Gerenciamento de contas AC-2 (g) | Monitore o uso de contas | Use a AmazonCloudWatchpara coletar e gerenciar centralmente a atividade de eventos de registro. Inclusão deAWS CloudTrailos dados fornecem detalhes da atividade de chamadas de API em seuAWSconta. | |
| Gerenciamento de contas AC-2 (g) | Monitore o uso de contas | UtilizeAWS CloudTrailvalidação do arquivo de log para verificar a integridade doCloudTrailtroncos. A validação do arquivo de log ajuda a determinar se um arquivo de log foi modificado, excluído ou inalterado apósCloudTrailentregou. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log CloudTrail sem detectar tais ações. | |
| Gerenciamento de contas AC-2 (g) | Monitore o uso de contas | AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem. | |
| Gerenciamento de contas AC-2 (g) | Monitore o uso de contas | Para ajudar com o registro e o monitoramento em seu ambiente, certifique-se de que o registro do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| Gerenciamento de contas AC-2 (g) | Monitore o uso de contas | Para proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seus clusters do Amazon Redshift. Você também deve garantir que as configurações necessárias sejam implantadas nos clusters do Amazon Redshift. O registro de auditoria deve estar habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido paraclusterDbEncrypted(Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). Os valores reais devem refletir as políticas da sua organização. | |
| Gerenciamento de contas AC-2 (g) | Monitore o uso de contas | O registro de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados por meio da captura de registros detalhados das solicitações feitas a um bucket do Amazon S3. Cada registro de registro de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem o solicitante, nome do bucket, hora da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante. | |
| Gerenciamento de contas AC-2 (g) | Monitore o uso de contas | AWSO Security Hub ajuda a monitorar pessoal, conexões, dispositivos e software não autorizados.AWS O Security Hub agrega, organiza e prioriza os alertas de segurança, ou descobertas, de váriosAWSserviços. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie,AWSAnalisador de acesso de gerenciamento de identidade e acesso (IAM) eAWSGerenciador de Firewall eAWSSoluções de parceiros. | |
| Gerenciamento de contas AC-2 (j) | Analise as contas para verificar a conformidade com os requisitos de gerenciamento de contas | Gerencie o acesso aos recursos noAWSNuvem, garantindo que o MFA esteja habilitado para o usuário root. O usuário root é o usuário mais privilegiado em umAWSconta. O MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir MFA para o usuário root, você pode reduzir os incidentes de comprometimentoAWScontas. | |
| Gerenciamento de contas AC-2 (j) | Analise as contas para verificar a conformidade com os requisitos de gerenciamento de contas | Essa regra garante queAWSOs segredos do Secrets Manager foram alternados com sucesso de acordo com o cronograma de rotação. A rotação de segredos em um cronograma regular pode reduzir o período em que um segredo está ativo e, potencialmente, reduzir o impacto nos negócios se ele for comprometido. | |
| Gerenciamento de contas AC-2 (j) | Analise as contas para verificar a conformidade com os requisitos de gerenciamento de contas | Esta regra garanteAWSOs segredos do Secrets Manager têm a rotação periódica ativada. A rotação de segredos em um cronograma regular pode reduzir o período em que um segredo está ativo e, potencialmente, reduzir o impacto nos negócios se o segredo for comprometido. O valor padrão é 90 dias. | |
| Gerenciamento de contas AC-2 (j) | Analise as contas para verificar a conformidade com os requisitos de gerenciamento de contas | Se existirem credenciais não usadas emAWSSecrets Manager, você deve desativar e/ou remover as credenciais, pois isso pode violar o princípio do menor privilégio. Essa regra permite que você defina um valor para ounusedForDays(Configuração padrão: 90). O valor real deve refletir as políticas da sua organização. | |
| Gerenciamento de contas AC-2 (j) | Analise as contas para verificar a conformidade com os requisitos de gerenciamento de contas | As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política de senha organizacional do IAM. Eles atendem ou excedem os requisitos, conforme declarado pelo NIST SP 800-63 e peloAWSPadrão básico de melhores práticas de segurança para a segurança da senha. Essa regra permite que você defina opcionalmenteRequireUppercaseCharacters(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireLowercaseCharacters(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireSymbols(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireNumbers(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),MinimumPasswordLength(AWSValor fundamental das melhores práticas de segurança: 14),PasswordReusePrevention(AWSValor fundamental das melhores práticas de segurança: 24) eMaxPasswordAge(AWSValor fundamental das melhores práticas de segurança: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da sua organização. | |
| Gerenciamento de contas AC-2 (j) | Analise as contas para verificar a conformidade com os requisitos de gerenciamento de contas | As credenciais são auditadas para dispositivos, usuários e processos autorizados, garantindo que as chaves de acesso do IAM sejam alternadas de acordo com a política organizacional. Alterar as chaves de acesso regularmente é uma prática recomendada de segurança. Isso reduz o período em que uma chave de acesso está ativa e reduz o impacto nos negócios se as chaves forem comprometidas. Essa regra exige um valor de rotação da chave de acesso (padrão de configuração: 90). O valor real deve refletir as políticas da sua organização. | |
| Gerenciamento de contas AC-2 (j) | Analise as contas para verificar a conformidade com os requisitos de gerenciamento de contas | Certifique-se de que as ações do IAM sejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| Gerenciamento de contas AC-2 (j) | Analise as contas para verificar a conformidade com os requisitos de gerenciamento de contas | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” em vez de “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| Gerenciamento de contas AC-2 (j) | Analise as contas para verificar a conformidade com os requisitos de gerenciamento de contas | O acesso a sistemas e ativos pode ser controlado verificando se o usuário root não tem chaves de acesso anexadas aos seusAWSFunção de gerenciamento de identidade e acesso (IAM). Certifique-se de que as chaves de acesso root sejam excluídas. Em vez disso, crie e use com base em funçõesAWScontas para ajudar a incorporar o princípio da menor funcionalidade. | |
| Gerenciamento de contas AC-2 (j) | Analise as contas para verificar a conformidade com os requisitos de gerenciamento de contas | Esta regra garanteAWSAs políticas de gerenciamento de identidade e acesso (IAM) são vinculadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios no nível do grupo ou da função ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| Gerenciamento de contas AC-2 (j) | Analise as contas para verificar a conformidade com os requisitos de gerenciamento de contas | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período de tempo especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou remover as credenciais, pois isso pode violar o princípio do menor privilégio. Essa regra exige que você defina um valor para omaxCredentialUsageIdade (padrão de configuração: 90). O valor real deve refletir as políticas da sua organização. | |
| (CE-1) Gerenciamento automatizado de contas do sistema | Apoie o gerenciamento de contas do sistema usando mecanismos automatizados. | As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política de senha organizacional do IAM. Eles atendem ou excedem os requisitos, conforme declarado pelo NIST SP 800-63 e peloAWSPadrão básico de melhores práticas de segurança para a segurança da senha. Essa regra permite que você defina opcionalmenteRequireUppercaseCharacters(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireLowercaseCharacters(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireSymbols(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireNumbers(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),MinimumPasswordLength(AWSValor fundamental das melhores práticas de segurança: 14),PasswordReusePrevention(AWSValor fundamental das melhores práticas de segurança: 24) eMaxPasswordAge(AWSValor fundamental das melhores práticas de segurança: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da sua organização. | |
| (CE-1) Gerenciamento automatizado de contas do sistema | Apoie o gerenciamento de contas do sistema usando mecanismos automatizados. | As credenciais são auditadas para dispositivos, usuários e processos autorizados, garantindo que as chaves de acesso do IAM sejam alternadas de acordo com a política organizacional. Alterar as chaves de acesso regularmente é uma prática recomendada de segurança. Isso reduz o período em que uma chave de acesso está ativa e reduz o impacto nos negócios se as chaves forem comprometidas. Essa regra exige um valor de rotação da chave de acesso (padrão de configuração: 90). O valor real deve refletir as políticas da sua organização. | |
| (CE-1) Gerenciamento automatizado de contas do sistema | Apoie o gerenciamento de contas do sistema usando mecanismos automatizados. | Essa regra garante queAWSOs segredos do Secrets Manager foram alternados com sucesso de acordo com o cronograma de rotação. A rotação de segredos em um cronograma regular pode reduzir o período em que um segredo está ativo e, potencialmente, reduzir o impacto nos negócios se ele for comprometido. | |
| (CE-3): Desativar contas | Desative as contas dentro de 120 dias quando as contas: a. Expiraram; b. Não estão mais associados a um usuário ou indivíduo; c. Estão violando a política organizacional; ou d. Ficou inativo por 120 dias para contas não privilegiadas e 60 dias para contas privilegiadas | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período de tempo especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou remover as credenciais, pois isso pode violar o princípio do menor privilégio. Essa regra exige que você defina um valor para omaxCredentialUsageIdade (padrão de configuração: 90). O valor real deve refletir as políticas da sua organização. | |
| (CE-12) Monitoramento de contas para uso atípico | Monitore as contas do sistema quanto ao uso atípico definido pela agência; e reporte o uso atípico das contas do sistema para funcionários ou funções definidas pela agência. | AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem. | |
| Privilégio mínimo do AC-6 | Empregue o princípio do menor privilégio, permitindo somente acessos autorizados para usuários (ou processos que atuam em nome dos usuários) que sejam necessários para realizar as tarefas organizacionais atribuídas. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todosAWSChaves do serviço de gerenciamento de chaves. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. Essa regra permite que você defina oblockedActionsPatternsparâmetro. (AWSValor fundamental das melhores práticas de segurança: kms:decrypt, kms:ReEncryptFrom). Os valores reais devem refletir as políticas da sua organização | |
| Privilégio mínimo do AC-6 | Empregue o princípio do menor privilégio, permitindo somente acessos autorizados para usuários (ou processos que atuam em nome dos usuários) que sejam necessários para realizar as tarefas organizacionais atribuídas. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” em vez de “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| Privilégio mínimo do AC-6 | Empregue o princípio do menor privilégio, permitindo somente acessos autorizados para usuários (ou processos que atuam em nome dos usuários) que sejam necessários para realizar as tarefas organizacionais atribuídas. | Certifique-se de que as ações do IAM sejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| Privilégio mínimo do AC-6 | Empregue o princípio do menor privilégio, permitindo somente acessos autorizados para usuários (ou processos que atuam em nome dos usuários) que sejam necessários para realizar as tarefas organizacionais atribuídas. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período de tempo especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou remover as credenciais, pois isso pode violar o princípio do menor privilégio. Essa regra exige que você defina um valor para omaxCredentialUsageIdade (padrão de configuração: 90). O valor real deve refletir as políticas da sua organização. | |
| Privilégio mínimo do AC-6 | Empregue o princípio do menor privilégio, permitindo somente acessos autorizados para usuários (ou processos que atuam em nome dos usuários) que sejam necessários para realizar as tarefas organizacionais atribuídas. | Garanta que o controle de acesso refinado esteja ativado em sua AmazonOpenSearchDomínios de serviço. O controle de acesso refinado fornece mecanismos de autorização aprimorados para obter acesso menos privilegiado à AmazonOpenSearchDomínios de serviço. Ele permite o controle de acesso baseado em funções ao domínio, bem como a segurança em nível de índice, documento e campo, além de suporte paraOpenSearchPainéis de serviço, multilocação e autenticação básica HTTP paraOpenSearchService e Kibana. | |
| Privilégio mínimo do AC-6 | Empregue o princípio do menor privilégio, permitindo somente acessos autorizados para usuários (ou processos que atuam em nome dos usuários) que sejam necessários para realizar as tarefas organizacionais atribuídas. | Se existirem credenciais não usadas emAWSSecrets Manager, você deve desativar e/ou remover as credenciais, pois isso pode violar o princípio do menor privilégio. Essa regra permite que você defina um valor para ounusedForDays(Configuração padrão: 90). O valor real deve refletir as políticas da sua organização. | |
| Privilégio mínimo do AC-6 | Empregue o princípio do menor privilégio, permitindo somente acessos autorizados para usuários (ou processos que atuam em nome dos usuários) que sejam necessários para realizar as tarefas organizacionais atribuídas. | Para ajudar na implementação do princípio do menor privilégio, garanta sua AmazonCodeBuildo ambiente do projeto não tem o modo privilegiado ativado. Essa configuração deve ser desativada para evitar o acesso não intencional às APIs do Docker, bem como ao hardware subjacente do contêiner. | |
| Privilégio mínimo do AC-6 | Empregue o princípio do menor privilégio, permitindo somente acessos autorizados para usuários (ou processos que atuam em nome dos usuários) que sejam necessários para realizar as tarefas organizacionais atribuídas. | Os perfis de instância do EC2 transmitem uma função do IAM para uma instância do EC2. Anexar um perfil de instância às suas instâncias pode ajudar no menor gerenciamento de privilégios e permissões. | |
| Privilégio mínimo do AC-6 | Empregue o princípio do menor privilégio, permitindo somente acessos autorizados para usuários (ou processos que atuam em nome dos usuários) que sejam necessários para realizar as tarefas organizacionais atribuídas. | Para ajudar na implementação do princípio do menor privilégio, as definições de tarefas do Amazon Elastic Container Service (Amazon ECS) não devem ter o privilégio elevado ativado. Quando esse parâmetro é verdadeiro, o contêiner recebe privilégios elevados na instância de contêiner host (semelhante ao usuário raiz). | |
| Privilégio mínimo do AC-6 | Empregue o princípio do menor privilégio, permitindo somente acessos autorizados para usuários (ou processos que atuam em nome dos usuários) que sejam necessários para realizar as tarefas organizacionais atribuídas. | Habilitar o acesso somente para leitura aos contêineres do Amazon Elastic Container Service (ECS) pode ajudar a cumprir o princípio do menor privilégio. Essa opção pode reduzir os vetores de ataque, pois o sistema de arquivos da instância do contêiner não pode ser modificado a menos que tenha permissões explícitas de leitura e gravação. | |
| Privilégio mínimo do AC-6 | Empregue o princípio do menor privilégio, permitindo somente acessos autorizados para usuários (ou processos que atuam em nome dos usuários) que sejam necessários para realizar as tarefas organizacionais atribuídas. | Para ajudar na implementação do princípio do menor privilégio, garanta que um usuário não root seja designado para acessar suas definições de tarefas do Amazon Elastic Container Service (Amazon ECS). | |
| Privilégio mínimo do AC-6 | Empregue o princípio do menor privilégio, permitindo somente acessos autorizados para usuários (ou processos que atuam em nome dos usuários) que sejam necessários para realizar as tarefas organizacionais atribuídas. | Para ajudar na implementação do princípio do menor privilégio, garanta que a imposição do usuário esteja habilitada para seu Amazon Elastic File System (Amazon EFS). Quando ativado, o Amazon EFS substitui os IDs de usuário e grupo do cliente NFS pela identidade configurada no ponto de acesso para todas as operações do sistema de arquivos e só concede acesso a essa identidade de usuário imposta. | |
| Privilégio mínimo do AC-6 | Empregue o princípio do menor privilégio, permitindo somente acessos autorizados para usuários (ou processos que atuam em nome dos usuários) que sejam necessários para realizar as tarefas organizacionais atribuídas. | As permissões e autorizações de acesso podem ser gerenciadas e incorporadas com os princípios de menor privilégio e separação de funções, habilitando o Kerberos para clusters do Amazon EMR. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como principais. Os diretores existem dentro de um reino de Kerberos. Dentro do reino, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para os diretores se autenticarem. O KDC se autentica emitindo tíquetes para autenticação. O KDC mantém um banco de dados das entidades principais dentro do realm, as senhas e outras informações administrativas sobre cada principal. | |
| Privilégio mínimo do AC-6 | Empregue o princípio do menor privilégio, permitindo somente acessos autorizados para usuários (ou processos que atuam em nome dos usuários) que sejam necessários para realizar as tarefas organizacionais atribuídas. | Esta regra garanteAWSAs políticas de gerenciamento de identidade e acesso (IAM) são vinculadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios no nível do grupo ou da função ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| AC-17: Acesso remoto | Estabeleça e documente restrições de uso, requisitos de configuração/conexão e diretrizes de implementação para cada tipo de acesso remoto permitido; e autorize cada tipo de acesso remoto ao sistema antes de permitir tais conexões. | As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política de senha organizacional do IAM. Eles atendem ou excedem os requisitos, conforme declarado pelo NIST SP 800-63 e peloAWSPadrão básico de melhores práticas de segurança para a segurança da senha. Essa regra permite que você defina opcionalmenteRequireUppercaseCharacters(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireLowercaseCharacters(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireSymbols(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireNumbers(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),MinimumPasswordLength(AWSValor fundamental das melhores práticas de segurança: 14),PasswordReusePrevention(AWSValor fundamental das melhores práticas de segurança: 24) eMaxPasswordAge(AWSValor fundamental das melhores práticas de segurança: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da sua organização. | |
| AC-17: Acesso remoto | Estabeleça e documente restrições de uso, requisitos de configuração/conexão e diretrizes de implementação para cada tipo de acesso remoto permitido; e autorize cada tipo de acesso remoto ao sistema antes de permitir tais conexões. | Ative essa regra para restringir o acesso aos recursos noAWSNuvem. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção às credenciais de login. Reduza os incidentes de contas comprometidas exigindo MFA para os usuários. | |
| AC-17: Acesso remoto | Estabeleça e documente restrições de uso, requisitos de configuração/conexão e diretrizes de implementação para cada tipo de acesso remoto permitido; e autorize cada tipo de acesso remoto ao sistema antes de permitir tais conexões. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a MFA esteja habilitada para todosAWSUsuários do Gerenciamento de Identidade e Acesso (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir a MFA para os usuários, você pode reduzir os incidentes de contas comprometidas e impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| AC-17: Acesso remoto | Estabeleça e documente restrições de uso, requisitos de configuração/conexão e diretrizes de implementação para cada tipo de acesso remoto permitido; e autorize cada tipo de acesso remoto ao sistema antes de permitir tais conexões. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a MFA de hardware esteja habilitada para o usuário root. O usuário root é o usuário mais privilegiado em umAWSconta. O MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir MFA para o usuário root, você pode reduzir os incidentes de comprometimentoAWScontas. | |
| AC-17: Acesso remoto | Estabeleça e documente restrições de uso, requisitos de configuração/conexão e diretrizes de implementação para cada tipo de acesso remoto permitido; e autorize cada tipo de acesso remoto ao sistema antes de permitir tais conexões. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que o MFA esteja habilitado para o usuário root. O usuário root é o usuário mais privilegiado em umAWSconta. O MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir MFA para o usuário root, você pode reduzir os incidentes de comprometimentoAWScontas. | |
| AC-17: Acesso remoto | Estabeleça e documente restrições de uso, requisitos de configuração/conexão e diretrizes de implementação para cada tipo de acesso remoto permitido; e autorize cada tipo de acesso remoto ao sistema antes de permitir tais conexões. | O registro do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como acessaram a API. Esse insight permite a visibilidade das atividades do usuário. | |
| AC-17: Acesso remoto | Estabeleça e documente restrições de uso, requisitos de configuração/conexão e diretrizes de implementação para cada tipo de acesso remoto permitido; e autorize cada tipo de acesso remoto ao sistema antes de permitir tais conexões. | Use a AmazonCloudWatchpara coletar e gerenciar centralmente a atividade de eventos de registro. Inclusão deAWS CloudTrailos dados fornecem detalhes da atividade de chamadas de API em seuAWSconta. | |
| AC-17: Acesso remoto | Estabeleça e documente restrições de uso, requisitos de configuração/conexão e diretrizes de implementação para cada tipo de acesso remoto permitido; e autorize cada tipo de acesso remoto ao sistema antes de permitir tais conexões. | Garanta a AmazonOpenSearchOs domínios de serviço têm registros de erros habilitados e transmitidos para a AmazonCloudWatchRegistros para retenção e resposta. Os registros de erros do domínio podem ajudar nas auditorias de segurança e acesso e podem ajudar a diagnosticar problemas de disponibilidade. | |
| AC-17: Acesso remoto | Estabeleça e documente restrições de uso, requisitos de configuração/conexão e diretrizes de implementação para cada tipo de acesso remoto permitido; e autorize cada tipo de acesso remoto ao sistema antes de permitir tais conexões. | AWS CloudTrailpode ajudar na não repúdio gravandoAWSAções do Management Console e chamadas de API. Você pode identificar os usuários eAWScontas que chamaram umAWSserviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos emAWS CloudTrailGravar conteúdo. | |
| AC-17: Acesso remoto | Estabeleça e documente restrições de uso, requisitos de configuração/conexão e diretrizes de implementação para cada tipo de acesso remoto permitido; e autorize cada tipo de acesso remoto ao sistema antes de permitir tais conexões. | Garanta a AmazonOpenSearchOs domínios de serviço têm registros de erros habilitados e transmitidos para a AmazonCloudWatchRegistros para retenção e resposta. OpenSearchOs registros de erros do serviço podem ajudar nas auditorias de segurança e acesso e podem ajudar a diagnosticar problemas de disponibilidade. | |
| AC-17: Acesso remoto | Estabeleça e documente restrições de uso, requisitos de configuração/conexão e diretrizes de implementação para cada tipo de acesso remoto permitido; e autorize cada tipo de acesso remoto ao sistema antes de permitir tais conexões. | A atividade do Elastic Load Balancing é um ponto central de comunicação dentro de um ambiente. Certifique-se de que o registro do ELB esteja ativado. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor. | |
| AC-17: Acesso remoto | Estabeleça e documente restrições de uso, requisitos de configuração/conexão e diretrizes de implementação para cada tipo de acesso remoto permitido; e autorize cada tipo de acesso remoto ao sistema antes de permitir tais conexões. | Para ajudar com o registro e o monitoramento em seu ambiente, certifique-se de que o registro do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| AC-17: Acesso remoto | Estabeleça e documente restrições de uso, requisitos de configuração/conexão e diretrizes de implementação para cada tipo de acesso remoto permitido; e autorize cada tipo de acesso remoto ao sistema antes de permitir tais conexões. | O registro de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados por meio da captura de registros detalhados das solicitações feitas a um bucket do Amazon S3. Cada registro de registro de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem o solicitante, nome do bucket, hora da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante. | |
| AC-17: Acesso remoto | Estabeleça e documente restrições de uso, requisitos de configuração/conexão e diretrizes de implementação para cada tipo de acesso remoto permitido; e autorize cada tipo de acesso remoto ao sistema antes de permitir tais conexões. | AWSO Security Hub ajuda a monitorar pessoal, conexões, dispositivos e software não autorizados.AWS O Security Hub agrega, organiza e prioriza os alertas de segurança, ou descobertas, de váriosAWSserviços. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie,AWSAnalisador de acesso de gerenciamento de identidade e acesso (IAM) eAWSGerenciador de Firewall eAWSSoluções de parceiros. | |
| AC-17: Acesso remoto | Estabeleça e documente restrições de uso, requisitos de configuração/conexão e diretrizes de implementação para cada tipo de acesso remoto permitido; e autorize cada tipo de acesso remoto ao sistema antes de permitir tais conexões. | Os registros de fluxo do VPC fornecem registros detalhados de informações sobre o tráfego IP que vai e vem das interfaces de rede em sua Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro do log de fluxo inclui valores para os diferentes componentes do fluxo IP, incluindo a origem, o destino e o protocolo. | |
| AC-17: Acesso remoto | Estabeleça e documente restrições de uso, requisitos de configuração/conexão e diretrizes de implementação para cada tipo de acesso remoto permitido; e autorize cada tipo de acesso remoto ao sistema antes de permitir tais conexões. | Para ajudar com o registro e o monitoramento em seu ambiente, habiliteAWSRegistro WAF (V2) em ACLs da web regionais e globais.AWS O registro do WAF fornece informações detalhadas sobre o tráfego que é analisado pela sua ACL da web. Os registros registram a hora em queAWSO WAF recebeu a solicitação do seuAWSrecurso, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu. | |
| AC-17: Acesso remoto | Estabeleça e documente restrições de uso, requisitos de configuração/conexão e diretrizes de implementação para cada tipo de acesso remoto permitido; e autorize cada tipo de acesso remoto ao sistema antes de permitir tais conexões. | AmazôniaCloudWatchalertam quando uma métrica ultrapassa o limite de um determinado número de períodos de avaliação. O alarme realiza uma ou mais ações com base no valor da métrica ou na expressão relativa a um limite em alguns períodos. Essa regra exige um valor paraalarmActionRequired(Padrão de configuração: verdadeiro),insufficientDataActionObrigatório (padrão de configuração: verdadeiro),okActionRequired(Padrão de configuração: falso). O valor real deve refletir as ações de alarme do seu ambiente. | |
| AC-17: Acesso remoto | Estabeleça e documente restrições de uso, requisitos de configuração/conexão e diretrizes de implementação para cada tipo de acesso remoto permitido; e autorize cada tipo de acesso remoto ao sistema antes de permitir tais conexões. | Para proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seus clusters do Amazon Redshift. Você também deve garantir que as configurações necessárias sejam implantadas nos clusters do Amazon Redshift. O registro de auditoria deve estar habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido paraclusterDbEncrypted(Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). Os valores reais devem refletir as políticas da sua organização. | |
| AC-17: Acesso remoto | Estabeleça e documente restrições de uso, requisitos de configuração/conexão e diretrizes de implementação para cada tipo de acesso remoto permitido; e autorize cada tipo de acesso remoto ao sistema antes de permitir tais conexões. | O roteamento aprimorado da VPC força todo o tráfego COPY e UNLOAD entre o cluster e os repositórios de dados a passar pelo Amazon VPC. Em seguida, você pode usar os recursos da VPC, como grupos de segurança e listas de controle de acesso à rede, para proteger o tráfego da rede. Você também pode usar os registros de fluxo da VPC para monitorar o tráfego da rede. | |
| AT-1: Conscientização e treinamento | Ofereça treinamento de alfabetização em segurança e privacidade para usuários do sistema (incluindo gerentes, executivos seniores e prestadores de serviços) | security-awareness-program-exists(Verificação do processo) | Estabeleça e mantenha um programa de conscientização sobre segurança para sua organização. Os programas de conscientização sobre segurança instruem os funcionários sobre como proteger sua organização contra várias violações ou incidentes de segurança. |
| AU-2: Eventos de auditoria | Identifique os tipos de eventos que o sistema é capaz de registrar para apoiar a função de auditoria | audit-log-policy-exists(Verificação do processo) | Estabeleça e mantenha uma política de gerenciamento de registros de auditoria que defina os requisitos de registro da sua organização. Isso inclui, mas não está limitado a, revisão e retenção de registros de auditoria. |
| AU-16: Registro de auditoria interorganizacional | Empregue métodos definidos pela agência para coordenar as informações de auditoria definidas pela agência entre organizações externas quando as informações de auditoria são transmitidas além das fronteiras organizacionais. | audit-log-policy-exists(Verificação do processo) | Estabeleça e mantenha uma política de gerenciamento de registros de auditoria que defina os requisitos de registro da sua organização. Isso inclui, mas não está limitado a, revisão e retenção de registros de auditoria. |
| CA-7: Monitoramento contínuo | Desenvolva uma estratégia de monitoramento contínuo em nível de sistema e implemente o monitoramento contínuo de acordo com a estratégia de monitoramento contínuo no nível da organização: Estabeleça métricas definidas pela agência a serem monitoradas; Avaliações de controle contínuas de acordo com a estratégia de monitoramento contínuo; Monitoramento contínuo de métricas definidas pelo sistema e pela organização de acordo com a estratégia de monitoramento contínuo; Correlação e análise de informações geradas por avaliações de controle e monitoramento; Ações de resposta para abordar os resultados da análise de controle informações de avaliação e monitoramento; e relatar o status de segurança e privacidade do sistema ao pessoal definido pela agência anualmente, no mínimo. | AWSO Security Hub ajuda a monitorar pessoal, conexões, dispositivos e software não autorizados.AWS O Security Hub agrega, organiza e prioriza os alertas de segurança, ou descobertas, de váriosAWSserviços. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie,AWSAnalisador de acesso de gerenciamento de identidade e acesso (IAM) eAWSGerenciador de Firewall eAWSSoluções de parceiros. | |
| CP-9: Backup do sistema | a. Realize backups das informações em nível de usuário contidas na documentação do sistema, incluindo documentação relacionada à segurança, semanalmente; b. Realizar backups das informações em nível de sistema contidas no sistema semanalmente; c. Realize backups semanais da documentação do sistema, incluindo documentação relacionada à segurança e privacidade; e d. Proteja a confidencialidade, a integridade e a disponibilidade das informações de backup. | Para ajudar nos processos de backup de dados, garanta que seus recursos do Amazon Aurora sejam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| CP-9: Backup do sistema | a. Realize backups das informações em nível de usuário contidas na documentação do sistema, incluindo documentação relacionada à segurança, semanalmente; b. Realizar backups das informações em nível de sistema contidas no sistema semanalmente; c. Realize backups semanais da documentação do sistema, incluindo documentação relacionada à segurança e privacidade; e d. Proteja a confidencialidade, a integridade e a disponibilidade das informações de backup. | Para ajudar nos processos de backup de dados, garanta queAWSO plano de backup está definido para uma frequência e retenção mínimas.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. Essa regra permite que você defina orequiredFrequencyValue(Configuração padrão: 1),requiredRetentionDays(Configuração padrão: 35) erequiredFrequencyUnit(Padrão de configuração: dias) parâmetros. O valor real deve refletir os requisitos de sua organização. | |
| CP-9: Backup do sistema | a. Realize backups das informações em nível de usuário contidas na documentação do sistema, incluindo documentação relacionada à segurança, semanalmente; b. Realizar backups das informações em nível de sistema contidas no sistema semanalmente; c. Realize backups semanais da documentação do sistema, incluindo documentação relacionada à segurança e privacidade; e d. Proteja a confidencialidade, a integridade e a disponibilidade das informações de backup. | Certifique-se de que a criptografia esteja habilitada para seuAWSPontos de recuperação de backup. Como dados confidenciais podem existir em repouso, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| CP-9: Backup do sistema | a. Realize backups das informações em nível de usuário contidas na documentação do sistema, incluindo documentação relacionada à segurança, semanalmente; b. Realizar backups das informações em nível de sistema contidas no sistema semanalmente; c. Realize backups semanais da documentação do sistema, incluindo documentação relacionada à segurança e privacidade; e d. Proteja a confidencialidade, a integridade e a disponibilidade das informações de backup. | Certifique-se de que seuAWSOs pontos de recuperação de backup têm uma política anexada baseada em recursos que impede a exclusão dos pontos de recuperação. O uso de uma política baseada em recursos para evitar a exclusão dos pontos de recuperação pode ajudar a evitar a exclusão acidental ou intencional. | |
| CP-9: Backup do sistema | a. Realize backups das informações em nível de usuário contidas na documentação do sistema, incluindo documentação relacionada à segurança, semanalmente; b. Realizar backups das informações em nível de sistema contidas no sistema semanalmente; c. Realize backups semanais da documentação do sistema, incluindo documentação relacionada à segurança e privacidade; e d. Proteja a confidencialidade, a integridade e a disponibilidade das informações de backup. | Para ajudar nos processos de backup de dados, garanta queAWSOs pontos de recuperação de backup têm um período mínimo de retenção definido.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. Essa regra permite que você defina orequiredRetentionDays(padrão de configuração: 35) parâmetro. O valor real deve refletir os requisitos de sua organização. | |
| CP-9: Backup do sistema | a. Realize backups das informações em nível de usuário contidas na documentação do sistema, incluindo documentação relacionada à segurança, semanalmente; b. Realizar backups das informações em nível de sistema contidas no sistema semanalmente; c. Realize backups semanais da documentação do sistema, incluindo documentação relacionada à segurança e privacidade; e d. Proteja a confidencialidade, a integridade e a disponibilidade das informações de backup. | O recurso de backup do Amazon RDS cria backups de seus bancos de dados e registros de transações. O Amazon RDS cria automaticamente um snapshot do volume de armazenamento da sua instância de banco de dados, fazendo backup de toda a instância de banco de dados. O sistema permite que você defina períodos de retenção específicos para atender aos seus requisitos de resiliência. | |
| CP-9: Backup do sistema | a. Realize backups das informações em nível de usuário contidas na documentação do sistema, incluindo documentação relacionada à segurança, semanalmente; b. Realizar backups das informações em nível de sistema contidas no sistema semanalmente; c. Realize backups semanais da documentação do sistema, incluindo documentação relacionada à segurança e privacidade; e d. Proteja a confidencialidade, a integridade e a disponibilidade das informações de backup. | Para ajudar nos processos de backup de dados, garanta que suas tabelas do Amazon DynamoDB façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| CP-9: Backup do sistema | a. Realize backups das informações em nível de usuário contidas na documentação do sistema, incluindo documentação relacionada à segurança, semanalmente; b. Realizar backups das informações em nível de sistema contidas no sistema semanalmente; c. Realize backups semanais da documentação do sistema, incluindo documentação relacionada à segurança e privacidade; e d. Proteja a confidencialidade, a integridade e a disponibilidade das informações de backup. | Ative essa regra para verificar se as informações foram copiadas. Ele também mantém os backups, garantindo quepoint-in-timea recuperação está habilitada no Amazon DynamoDB. A recuperação mantém backups contínuos de sua tabela nos últimos 35 dias. | |
| CP-9: Backup do sistema | a. Realize backups das informações em nível de usuário contidas na documentação do sistema, incluindo documentação relacionada à segurança, semanalmente; b. Realizar backups das informações em nível de sistema contidas no sistema semanalmente; c. Realize backups semanais da documentação do sistema, incluindo documentação relacionada à segurança e privacidade; e d. Proteja a confidencialidade, a integridade e a disponibilidade das informações de backup. | Para ajudar nos processos de backup de dados, garanta que seus volumes do Amazon Elastic Block Store (Amazon EBS) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| CP-9: Backup do sistema | a. Realize backups das informações em nível de usuário contidas na documentação do sistema, incluindo documentação relacionada à segurança, semanalmente; b. Realizar backups das informações em nível de sistema contidas no sistema semanalmente; c. Realize backups semanais da documentação do sistema, incluindo documentação relacionada à segurança e privacidade; e d. Proteja a confidencialidade, a integridade e a disponibilidade das informações de backup. | Para ajudar nos processos de backup de dados, garanta que seus recursos do Amazon Elastic Compute Cloud (Amazon EC2) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| CP-9: Backup do sistema | a. Realize backups das informações em nível de usuário contidas na documentação do sistema, incluindo documentação relacionada à segurança, semanalmente; b. Realizar backups das informações em nível de sistema contidas no sistema semanalmente; c. Realize backups semanais da documentação do sistema, incluindo documentação relacionada à segurança e privacidade; e d. Proteja a confidencialidade, a integridade e a disponibilidade das informações de backup. | Para ajudar nos processos de backup de dados, garanta que seus sistemas de arquivos do Amazon Elastic File System (Amazon EFS) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| CP-9: Backup do sistema | a. Realize backups das informações em nível de usuário contidas na documentação do sistema, incluindo documentação relacionada à segurança, semanalmente; b. Realizar backups das informações em nível de sistema contidas no sistema semanalmente; c. Realize backups semanais da documentação do sistema, incluindo documentação relacionada à segurança e privacidade; e d. Proteja a confidencialidade, a integridade e a disponibilidade das informações de backup. | Quando os backups automáticos estão habilitados, a AmazonElastiCachecria um backup do cluster diariamente. O backup pode ser retido por alguns dias, conforme especificado pela sua organização. Os backups automáticos podem ajudar a proteger contra a perda de dados. Se ocorrer uma falha, você poderá criar um novo cluster, que restaura seus dados do backup mais recente. | |
| CP-9: Backup do sistema | a. Realize backups das informações em nível de usuário contidas na documentação do sistema, incluindo documentação relacionada à segurança, semanalmente; b. Realizar backups das informações em nível de sistema contidas no sistema semanalmente; c. Realize backups semanais da documentação do sistema, incluindo documentação relacionada à segurança e privacidade; e d. Proteja a confidencialidade, a integridade e a disponibilidade das informações de backup. | Para ajudar nos processos de backup de dados, garanta que seus sistemas de arquivos Amazon FSx façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| CP-9: Backup do sistema | a. Realize backups das informações em nível de usuário contidas na documentação do sistema, incluindo documentação relacionada à segurança, semanalmente; b. Realizar backups das informações em nível de sistema contidas no sistema semanalmente; c. Realize backups semanais da documentação do sistema, incluindo documentação relacionada à segurança e privacidade; e d. Proteja a confidencialidade, a integridade e a disponibilidade das informações de backup. | Para ajudar nos processos de backup de dados, garanta que suas instâncias do Amazon Relational Database Service (Amazon RDS) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| CP-9: Backup do sistema | a. Realize backups das informações em nível de usuário contidas na documentação do sistema, incluindo documentação relacionada à segurança, semanalmente; b. Realizar backups das informações em nível de sistema contidas no sistema semanalmente; c. Realize backups semanais da documentação do sistema, incluindo documentação relacionada à segurança e privacidade; e d. Proteja a confidencialidade, a integridade e a disponibilidade das informações de backup. | Para ajudar nos processos de backup de dados, garanta que seus recursos do Amazon Relational Database Service (Amazon RDS) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| CP-9: Backup do sistema | a. Realize backups das informações em nível de usuário contidas na documentação do sistema, incluindo documentação relacionada à segurança, semanalmente; b. Realizar backups das informações em nível de sistema contidas no sistema semanalmente; c. Realize backups semanais da documentação do sistema, incluindo documentação relacionada à segurança e privacidade; e d. Proteja a confidencialidade, a integridade e a disponibilidade das informações de backup. | Para ajudar nos processos de backup de dados, garanta que seus clusters do Amazon Redshift tenham snapshots automatizados. Quando os instantâneos automatizados são habilitados para um cluster, o Redshift tira instantâneos desse cluster periodicamente. Por padrão, o Redshift tira um instantâneo a cada oito horas ou a cada 5 GB por nó de alterações de dados, ou o que ocorrer primeiro. | |
| CP-9: Backup do sistema | a. Realize backups das informações em nível de usuário contidas na documentação do sistema, incluindo documentação relacionada à segurança, semanalmente; b. Realizar backups das informações em nível de sistema contidas no sistema semanalmente; c. Realize backups semanais da documentação do sistema, incluindo documentação relacionada à segurança e privacidade; e d. Proteja a confidencialidade, a integridade e a disponibilidade das informações de backup. | A replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) suporta a manutenção de capacidade e disponibilidade adequadas. A CRR permite a cópia automática e assíncrona de objetos em buckets do Amazon S3 para ajudar a garantir que a disponibilidade dos dados seja mantida. | |
| IA-2: Identificação e autenticação (usuários organizacionais) (CE-1) Autenticação multifatorial para contas privilegiadas | Implemente a autenticação multifatorial para acesso a contas privilegiadas | Gerencie o acesso aos recursos noAWSNuvem, garantindo que o MFA esteja habilitado para o usuário root. O usuário root é o usuário mais privilegiado em umAWSconta. O MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir MFA para o usuário root, você pode reduzir os incidentes de comprometimentoAWScontas. | |
| IA-2: Identificação e autenticação (usuários organizacionais) (CE-1) Autenticação multifatorial para contas privilegiadas | Implemente a autenticação multifatorial para acesso a contas privilegiadas | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a MFA de hardware esteja habilitada para o usuário root. O usuário root é o usuário mais privilegiado em umAWSconta. O MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir MFA para o usuário root, você pode reduzir os incidentes de comprometimentoAWScontas. | |
| IA-2: Identificação e autenticação (usuários organizacionais) (CE-2) Autenticação multifatorial para contas não privilegiadas | Implemente a autenticação multifatorial para acesso a contas não privilegiadas. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a MFA esteja habilitada para todosAWSUsuários do Gerenciamento de Identidade e Acesso (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir a MFA para os usuários, você pode reduzir os incidentes de contas comprometidas e impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| IA-5: Gerenciamento do autenticador: (CE-1) Autenticação baseada em senha: Para autenticação baseada em senha | Aplique as seguintes regras de composição e complexidade: 1. Imponha o tamanho mínimo da senha de quatorze (14) caracteres. 2. Imponha a complexidade mínima da senha para conter uma combinação de números, letras maiúsculas, minúsculas e caracteres especiais. 3. Imponha a alteração de pelo menos um (1) caractere quando novas senhas forem selecionadas para uso. 4. Armazene e transmita somente senhas protegidas criptograficamente. 5. Imponha restrições de vida útil da senha: i. Mínimo de um (1) dia e máximo de 90 dias. ii. As senhas das contas de serviço expirarão em 366 dias (inclusive). | As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política de senha organizacional do IAM. Eles atendem ou excedem os requisitos, conforme declarado pelo NIST SP 800-63 e peloAWSPadrão básico de melhores práticas de segurança para a segurança da senha. Essa regra permite que você defina opcionalmenteRequireUppercaseCharacters(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireLowercaseCharacters(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireSymbols(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireNumbers(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),MinimumPasswordLength(AWSValor fundamental das melhores práticas de segurança: 14),PasswordReusePrevention(AWSValor fundamental das melhores práticas de segurança: 24) eMaxPasswordAge(AWSValor fundamental das melhores práticas de segurança: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da sua organização. | |
| PM-5: Inventário do sistema | Desenvolva e atualize continuamente um inventário dos sistemas organizacionais. | É possível fazer um inventário das plataformas de software e aplicativos dentro da organização gerenciando instâncias do Amazon Elastic Compute Cloud (Amazon EC2) comAWSGerente de sistemas. UseAWSSystems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome do aplicativo, editor e versão e outros detalhes sobre seu ambiente. | |
| PM-5: Inventário do sistema | Desenvolva e atualize continuamente um inventário dos sistemas organizacionais. | UseAWSAssociações de gerentes de sistemas para ajudar no inventário de plataformas e aplicativos de software em uma organização.AWS O Systems Manager atribui um estado de configuração às suas instâncias gerenciadas e permite que você defina linhas de base dos níveis de patch do sistema operacional, instalações de software, configurações de aplicativos e outros detalhes sobre seu ambiente. | |
| PM-5: Inventário do sistema | Desenvolva e atualize continuamente um inventário dos sistemas organizacionais. | Essa regra garante que as listas de controle de acesso à rede Amazon Virtual Private Cloud (VPC) estejam em uso. O monitoramento de listas de controle de acesso à rede não utilizadas pode ajudar no inventário e no gerenciamento precisos do seu ambiente. | |
| PM-5: Inventário do sistema | Desenvolva e atualize continuamente um inventário dos sistemas organizacionais. | Essa regra garante que os volumes do Amazon Elastic Block Store anexados às instâncias do Amazon Elastic Compute Cloud (Amazon EC2) sejam marcados para exclusão quando uma instância for encerrada. Se um volume do Amazon EBS não for excluído quando a instância à qual ele está conectado for encerrada, ele poderá violar o conceito de menor funcionalidade. | |
| RA-5: Monitoramento e verificação de vulnerabilidades | Monitore e verifique vulnerabilidades no sistema e nos aplicativos hospedados a cada trinta (30) dias, antes de colocar um novo sistema de informações na rede da agência, para confirmar as ações de remediação e quando novas vulnerabilidades potencialmente afetando o sistema forem identificadas e relatadas | vuln-scans-performed(Verificação do processo) | Garanta que as verificações de vulnerabilidade sejam realizadas de acordo com seus requisitos de conformidade. A cadência do escaneamento, as ferramentas usadas e o uso dos resultados devem ser definidos pela sua organização. |
| SA-10: Gerenciamento de configuração do desenvolvedor (e.) | Acompanhe as falhas de segurança e a resolução de falhas no sistema, componente ou serviço e reporte as descobertas para [Atribuição: pessoal definido pela organização]. | AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem. | |
| SA-10: Gerenciamento de configuração do desenvolvedor (e.) | Acompanhe as falhas de segurança e a resolução de falhas no sistema, componente ou serviço e reporte as descobertas para [Atribuição: pessoal definido pela organização]. | AmazôniaGuardDutyajuda você a entender o impacto de um incidente classificando as descobertas por gravidade: baixa, média e alta. Você pode usar essas classificações para determinar as estratégias e prioridades de remediação. Essa regra permite que você defina opcionalmente odaysLowSev(Configuração padrão: 30),daysMediumSev(Configuração padrão: 7) edaysHighSev(Padrão de configuração: 1) para descobertas não arquivadas, conforme exigido pelas políticas da sua organização. | |
| SA-10: Gerenciamento de configuração do desenvolvedor (e.) | Acompanhe as falhas de segurança e a resolução de falhas no sistema, componente ou serviço e reporte as descobertas para [Atribuição: pessoal definido pela organização]. | AWSO Security Hub ajuda a monitorar pessoal, conexões, dispositivos e software não autorizados.AWS O Security Hub agrega, organiza e prioriza os alertas de segurança, ou descobertas, de váriosAWSserviços. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie,AWSAnalisador de acesso de gerenciamento de identidade e acesso (IAM) eAWSGerenciador de Firewall eAWSSoluções de parceiros. | |
| SA-10: Gerenciamento de configuração do desenvolvedor (a) (c.) | Executar o gerenciamento da configuração durante o projeto, desenvolvimento, implementação e operação do sistema, componente ou serviço; implementar somente alterações aprovadas pela organização no sistema, componente ou serviço; | É possível fazer um inventário das plataformas de software e aplicativos dentro da organização gerenciando instâncias do Amazon Elastic Compute Cloud (Amazon EC2) comAWSGerente de sistemas. UseAWSSystems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome do aplicativo, editor e versão e outros detalhes sobre seu ambiente. | |
| SC-4: Informações em recursos do sistema compartilhado | Evite a transferência não autorizada e não intencional de informações por meio de recursos compartilhados do sistema | Essa regra garante que os volumes do Amazon Elastic Block Store anexados às instâncias do Amazon Elastic Compute Cloud (Amazon EC2) sejam marcados para exclusão quando uma instância for encerrada. Se um volume do Amazon EBS não for excluído quando a instância à qual ele está conectado for encerrada, ele poderá violar o conceito de menor funcionalidade. | |
| SC-7: Proteção de limites | Monitore e controle as comunicações nos limites externos do sistema e nos principais limites internos do sistema; implemente sub-redes para componentes do sistema acessíveis ao público que estejam separados das redes organizacionais internas; e conecte-se a redes externas ou sistemas de informação somente por meio de interfaces gerenciadas que consistem em dispositivos de proteção de limites organizados de acordo com uma arquitetura de segurança organizacional. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas. | |
| SC-7: Proteção de limites | Monitore e controle as comunicações nos limites externos do sistema e nos principais limites internos do sistema; implemente sub-redes para componentes do sistema acessíveis ao público que estejam separados das redes organizacionais internas; e conecte-se a redes externas ou sistemas de informação somente por meio de interfaces gerenciadas que consistem em dispositivos de proteção de limites organizados de acordo com uma arquitetura de segurança organizacional. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| SC-7: Proteção de limites | Monitore e controle as comunicações nos limites externos do sistema e nos principais limites internos do sistema; implemente sub-redes para componentes do sistema acessíveis ao público que estejam separados das redes organizacionais internas; e conecte-se a redes externas ou sistemas de informação somente por meio de interfaces gerenciadas que consistem em dispositivos de proteção de limites organizados de acordo com uma arquitetura de segurança organizacional. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| SC-7: Proteção de limites | Monitore e controle as comunicações nos limites externos do sistema e nos principais limites internos do sistema; implemente sub-redes para componentes do sistema acessíveis ao público que estejam separados das redes organizacionais internas; e conecte-se a redes externas ou sistemas de informação somente por meio de interfaces gerenciadas que consistem em dispositivos de proteção de limites organizados de acordo com uma arquitetura de segurança organizacional. | Gerencie o acesso aoAWSNuvem garantindo que os snapshots do EBS não possam ser restaurados publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| SC-7: Proteção de limites | Monitore e controle as comunicações nos limites externos do sistema e nos principais limites internos do sistema; implemente sub-redes para componentes do sistema acessíveis ao público que estejam separados das redes organizacionais internas; e conecte-se a redes externas ou sistemas de informação somente por meio de interfaces gerenciadas que consistem em dispositivos de proteção de limites organizados de acordo com uma arquitetura de segurança organizacional. | Gerencie o acesso aoAWSNuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| SC-7: Proteção de limites | Monitore e controle as comunicações nos limites externos do sistema e nos principais limites internos do sistema; implemente sub-redes para componentes do sistema acessíveis ao público que estejam separados das redes organizacionais internas; e conecte-se a redes externas ou sistemas de informação somente por meio de interfaces gerenciadas que consistem em dispositivos de proteção de limites organizados de acordo com uma arquitetura de segurança organizacional. | Gerencie o acesso aos recursos noAWSNuvem, garantindoAWSAs funções do Lambda não podem ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos. | |
| SC-7: Proteção de limites | Monitore e controle as comunicações nos limites externos do sistema e nos principais limites internos do sistema; implemente sub-redes para componentes do sistema acessíveis ao público que estejam separados das redes organizacionais internas; e conecte-se a redes externas ou sistemas de informação somente por meio de interfaces gerenciadas que consistem em dispositivos de proteção de limites organizados de acordo com uma arquitetura de segurança organizacional. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente oignorePublicAcls(Padrão de configuração: verdadeiro),blockPublicPolicy(Padrão de configuração: verdadeiro),blockPublicAcls(Config Default: True), erestrictPublicBucketsparâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização. | |
| SC-7: Proteção de limites | Monitore e controle as comunicações nos limites externos do sistema e nos principais limites internos do sistema; implemente sub-redes para componentes do sistema acessíveis ao público que estejam separados das redes organizacionais internas; e conecte-se a redes externas ou sistemas de informação somente por meio de interfaces gerenciadas que consistem em dispositivos de proteção de limites organizados de acordo com uma arquitetura de segurança organizacional. | Gerencie o acesso aoAWSNuvem ativando s3_ bucket_policy_grantee_check. Essa regra verifica se o acesso concedido pelo bucket do Amazon S3 é restrito por qualquer um dosAWSdiretores, usuários federados, diretores de serviços, endereços IP ou IDs da Amazon Virtual Private Cloud (Amazon VPC) que você fornece. | |
| SC-7: Proteção de limites | Monitore e controle as comunicações nos limites externos do sistema e nos principais limites internos do sistema; implemente sub-redes para componentes do sistema acessíveis ao público que estejam separados das redes organizacionais internas; e conecte-se a redes externas ou sistemas de informação somente por meio de interfaces gerenciadas que consistem em dispositivos de proteção de limites organizados de acordo com uma arquitetura de segurança organizacional. | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| SC-7: Proteção de limites | Monitore e controle as comunicações nos limites externos do sistema e nos principais limites internos do sistema; implemente sub-redes para componentes do sistema acessíveis ao público que estejam separados das redes organizacionais internas; e conecte-se a redes externas ou sistemas de informação somente por meio de interfaces gerenciadas que consistem em dispositivos de proteção de limites organizados de acordo com uma arquitetura de segurança organizacional. | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| SC-7: Proteção de limites | Monitore e controle as comunicações nos limites externos do sistema e nos principais limites internos do sistema; implemente sub-redes para componentes do sistema acessíveis ao público que estejam separados das redes organizacionais internas; e conecte-se a redes externas ou sistemas de informação somente por meio de interfaces gerenciadas que consistem em dispositivos de proteção de limites organizados de acordo com uma arquitetura de segurança organizacional. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a AmazonSageMakeros notebooks não permitem acesso direto à internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| SC-7: Proteção de limites | Monitore e controle as comunicações nos limites externos do sistema e nos principais limites internos do sistema; implemente sub-redes para componentes do sistema acessíveis ao público que estejam separados das redes organizacionais internas; e conecte-se a redes externas ou sistemas de informação somente por meio de interfaces gerenciadas que consistem em dispositivos de proteção de limites organizados de acordo com uma arquitetura de segurança organizacional. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos. | |
| SC-7: Proteção de limites (CE-9) Restringe o tráfego ameaçador de comunicações de saída | Detecte e negue o tráfego de comunicações de saída que represente uma ameaça aos sistemas externos; e audite a identidade dos usuários internos associados às comunicações negadas. | Para ajudar com o registro e o monitoramento em seu ambiente, habiliteAWSRegistro WAF (V2) em ACLs da web regionais e globais.AWS O registro do WAF fornece informações detalhadas sobre o tráfego que é analisado pela sua ACL da web. Os registros registram a hora em queAWSO WAF recebeu a solicitação do seuAWSrecurso, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu. | |
| SC-7: Proteção de limites (CE-9) Restringe o tráfego ameaçador de comunicações de saída | Detecte e negue o tráfego de comunicações de saída que represente uma ameaça aos sistemas externos; e audite a identidade dos usuários internos associados às comunicações negadas. | GarantaAWSO WAF está habilitado nos Elastic Load Balancers (ELB) para ajudar a proteger os aplicativos da web. Um WAF ajuda a proteger seus aplicativos ou APIs da web contra explorações comuns da web. Essas explorações na web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente. | |
| SC-7: Proteção de limites (CE-9) Restringe o tráfego ameaçador de comunicações de saída | Detecte e negue o tráfego de comunicações de saída que represente uma ameaça aos sistemas externos; e audite a identidade dos usuários internos associados às comunicações negadas. | AWSO WAF permite que você configure um conjunto de regras (chamado de lista de controle de acesso à web (ACL da web)) que permitem, bloqueiam ou contam solicitações da Web com base nas regras e condições de segurança da Web personalizáveis que você define. Certifique-se de que seu estágio do Amazon API Gateway esteja associado a uma WAF Web ACL para protegê-lo contra ataques maliciosos | |
| SC-7: Proteção de limite (definida pelo IRS) | As agências devem implementar e gerenciar a proteção de limites (normalmente usando firewalls) dentro dos limites de confiança. Cada limite de confiança deve ser monitorado e as comunicações em cada limite devem ser controladas. | UmAWSA política de firewall de rede define como seu firewall monitora e gerencia o tráfego em um Amazon VPC. Você configura grupos de regras sem estado e com estado para filtrar pacotes e fluxos de tráfego e define o tratamento de tráfego padrão. | |
| SC-7: Proteção de limite (definida pelo IRS) | As agências devem implementar e gerenciar a proteção de limites (normalmente usando firewalls) dentro dos limites de confiança. Cada limite de confiança deve ser monitorado e as comunicações em cada limite devem ser controladas. | UmAWSO grupo de regras do Network Firewall contém regras que definem como seu firewall processa o tráfego em sua VPC. Um grupo de regras vazio sem estado, quando presente em uma política de firewall, não processa o tráfego. | |
| SC-8: Proteção criptográfica de confidencialidade e integridade de transmissão (CE-1) | Implemente mecanismos criptográficos para evitar a divulgação não autorizada de informações e detectar alterações nas informações durante a transmissão. | Para ajudar a proteger os dados em trânsito, certifique-se de que seu Application Load Balancer redirecione automaticamente solicitações HTTP não criptografadas para HTTPS. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC-8: Proteção criptográfica de confidencialidade e integridade de transmissão (CE-1) | Implemente mecanismos criptográficos para evitar a divulgação não autorizada de informações e detectar alterações nas informações durante a transmissão. | Garantanode-to-nodecriptografia para AmazonOpenSearchO serviço está ativado. Node-to-nodea criptografia permite a criptografia TLS 1.2 para todas as comunicações dentro da Amazon Virtual Private Cloud (Amazon VPC). Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC-8: Proteção criptográfica de confidencialidade e integridade de transmissão (CE-1) | Implemente mecanismos criptográficos para evitar a divulgação não autorizada de informações e detectar alterações nas informações durante a transmissão. | Certifique-se de que seus Elastic Load Balancers (ELBs) estejam configurados com ouvintes SSL ou HTTPS. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC-8: Proteção criptográfica de confidencialidade e integridade de transmissão (CE-1) | Implemente mecanismos criptográficos para evitar a divulgação não autorizada de informações e detectar alterações nas informações durante a transmissão. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em trânsito, certifique-se de que o HTTPS esteja habilitado para conexões com sua AmazonOpenSearchDomínios de serviço. | |
| SC-8: Proteção criptográfica de confidencialidade e integridade de transmissão (CE-1) | Implemente mecanismos criptográficos para evitar a divulgação não autorizada de informações e detectar alterações nas informações durante a transmissão. | Garantanode-to-nodecriptografia para AmazonOpenSearchO serviço está ativado. Node-to-nodea criptografia permite a criptografia TLS 1.2 para todas as comunicações dentro da Amazon Virtual Private Cloud (Amazon VPC). Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC-8: Proteção criptográfica de confidencialidade e integridade de transmissão (CE-1) | Implemente mecanismos criptográficos para evitar a divulgação não autorizada de informações e detectar alterações nas informações durante a transmissão. | Certifique-se de que seus clusters do Amazon Redshift exijam criptografia TLS/SSL para se conectar aos clientes SQL. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC-8: Proteção criptográfica de confidencialidade e integridade de transmissão (CE-1) | Implemente mecanismos criptográficos para evitar a divulgação não autorizada de informações e detectar alterações nas informações durante a transmissão. | Para ajudar a proteger os dados em trânsito, certifique-se de que seus buckets do Amazon Simple Storage Service (Amazon S3) exijam solicitações para usar o Secure Socket Layer (SSL). Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC-12: Estabelecimento e gerenciamento de chaves criptográficas | A agência deve estabelecer e gerenciar chaves criptográficas quando a criptografia é empregada no sistema, de acordo com os seguintes requisitos de gerenciamento de chaves: NIST SP 800-57, Recomendação para gerenciamento de chaves, para geração, distribuição, armazenamento, acesso e destruição de chaves. | Para ajudar a proteger os dados em repouso, certifique-se de que as chaves mestras do cliente (CMKs) necessárias não estejam programadas para exclusão noAWSServiço de gerenciamento de chaves (AWSKMS). Como a exclusão da chave às vezes é necessária, essa regra pode ajudar a verificar todas as chaves programadas para exclusão, caso uma chave tenha sido agendada sem querer. | |
| SC-12: Estabelecimento e gerenciamento de chaves criptográficas | A agência deve estabelecer e gerenciar chaves criptográficas quando a criptografia é empregada no sistema, de acordo com os seguintes requisitos de gerenciamento de chaves: NIST SP 800-57, Recomendação para gerenciamento de chaves, para geração, distribuição, armazenamento, acesso e destruição de chaves. | Ative a rotação de chaves para garantir que as chaves sejam giradas quando chegarem ao final do período criptográfico. | |
| SC-13: Proteção criptográfica | Implemente os seguintes tipos de criptografia necessários para cada uso criptográfico especificado: Mecanismo de criptografia mais recente validado pelo FIPS-140, NIST 800-52, Diretrizes para seleção, configuração e uso de implementações de segurança de camada de transporte (TLS), criptografia em trânsito (criptografia de carga útil). O uso do SHA-1 para assinaturas digitais é proibido. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em trânsito, garanta que a criptografia esteja habilitada para seu Elastic Load Balancing. UseAWSGerenciador de certificados para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados comAWSserviços e recursos internos. | |
| SC-13: Proteção criptográfica | Implemente os seguintes tipos de criptografia necessários para cada uso criptográfico especificado: Mecanismo de criptografia mais recente validado pelo FIPS-140, NIST 800-52, Diretrizes para seleção, configuração e uso de implementações de segurança de camada de transporte (TLS), criptografia em trânsito (criptografia de carga útil). O uso do SHA-1 para assinaturas digitais é proibido. | Para ajudar a proteger os dados em trânsito, certifique-se de que seu Application Load Balancer redirecione automaticamente solicitações HTTP não criptografadas para HTTPS. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC-13: Proteção criptográfica | Implemente os seguintes tipos de criptografia necessários para cada uso criptográfico especificado: Mecanismo de criptografia mais recente validado pelo FIPS-140, NIST 800-52, Diretrizes para seleção, configuração e uso de implementações de segurança de camada de transporte (TLS), criptografia em trânsito (criptografia de carga útil). O uso do SHA-1 para assinaturas digitais é proibido. | Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja ativada para o cache do estágio do API Gateway. Como dados confidenciais podem ser capturados pelo método da API, ative a criptografia em repouso para ajudar a proteger esses dados. | |
| SC-13: Proteção criptográfica | Implemente os seguintes tipos de criptografia necessários para cada uso criptográfico especificado: Mecanismo de criptografia mais recente validado pelo FIPS-140, NIST 800-52, Diretrizes para seleção, configuração e uso de implementações de segurança de camada de transporte (TLS), criptografia em trânsito (criptografia de carga útil). O uso do SHA-1 para assinaturas digitais é proibido. | Garantanode-to-nodecriptografia para AmazonOpenSearchO serviço está ativado. Node-to-nodea criptografia permite a criptografia TLS 1.2 para todas as comunicações dentro da Amazon Virtual Private Cloud (Amazon VPC). Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC-13: Proteção criptográfica | Implemente os seguintes tipos de criptografia necessários para cada uso criptográfico especificado: Mecanismo de criptografia mais recente validado pelo FIPS-140, NIST 800-52, Diretrizes para seleção, configuração e uso de implementações de segurança de camada de transporte (TLS), criptografia em trânsito (criptografia de carga útil). O uso do SHA-1 para assinaturas digitais é proibido. | Certifique-se de que seus Elastic Load Balancers (ELBs) estejam configurados com ouvintes SSL ou HTTPS. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC-13: Proteção criptográfica | Implemente os seguintes tipos de criptografia necessários para cada uso criptográfico especificado: Mecanismo de criptografia mais recente validado pelo FIPS-140, NIST 800-52, Diretrizes para seleção, configuração e uso de implementações de segurança de camada de transporte (TLS), criptografia em trânsito (criptografia de carga útil). O uso do SHA-1 para assinaturas digitais é proibido. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em trânsito, certifique-se de que o HTTPS esteja habilitado para conexões com sua AmazonOpenSearchDomínios de serviço. | |
| SC-13: Proteção criptográfica | Implemente os seguintes tipos de criptografia necessários para cada uso criptográfico especificado: Mecanismo de criptografia mais recente validado pelo FIPS-140, NIST 800-52, Diretrizes para seleção, configuração e uso de implementações de segurança de camada de transporte (TLS), criptografia em trânsito (criptografia de carga útil). O uso do SHA-1 para assinaturas digitais é proibido. | Garantanode-to-nodecriptografia para AmazonOpenSearchO serviço está ativado. Node-to-nodea criptografia permite a criptografia TLS 1.2 para todas as comunicações dentro da Amazon Virtual Private Cloud (Amazon VPC). Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC-13: Proteção criptográfica | Implemente os seguintes tipos de criptografia necessários para cada uso criptográfico especificado: Mecanismo de criptografia mais recente validado pelo FIPS-140, NIST 800-52, Diretrizes para seleção, configuração e uso de implementações de segurança de camada de transporte (TLS), criptografia em trânsito (criptografia de carga útil). O uso do SHA-1 para assinaturas digitais é proibido. | Certifique-se de que a criptografia esteja habilitada para seuAWSPontos de recuperação de backup. Como dados confidenciais podem existir em repouso, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| SC-13: Proteção criptográfica | Implemente os seguintes tipos de criptografia necessários para cada uso criptográfico especificado: Mecanismo de criptografia mais recente validado pelo FIPS-140, NIST 800-52, Diretrizes para seleção, configuração e uso de implementações de segurança de camada de transporte (TLS), criptografia em trânsito (criptografia de carga útil). O uso do SHA-1 para assinaturas digitais é proibido. | Certifique-se de que a criptografia esteja habilitada para suas tabelas do Amazon DynamoDB. Como dados confidenciais podem existir em repouso nessas tabelas, habilite a criptografia em repouso para ajudar a proteger esses dados. Por padrão, as tabelas do DynamoDB são criptografadas com umAWSchave mestra do cliente (CMK) de propriedade do cliente. | |
| SC-13: Proteção criptográfica | Implemente os seguintes tipos de criptografia necessários para cada uso criptográfico especificado: Mecanismo de criptografia mais recente validado pelo FIPS-140, NIST 800-52, Diretrizes para seleção, configuração e uso de implementações de segurança de camada de transporte (TLS), criptografia em trânsito (criptografia de carga útil). O uso do SHA-1 para assinaturas digitais é proibido. | Para ajudar a proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seus volumes do Amazon Elastic Block Store (Amazon EBS). Como dados confidenciais podem existir em repouso nesses volumes, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| SC-13: Proteção criptográfica | Implemente os seguintes tipos de criptografia necessários para cada uso criptográfico especificado: Mecanismo de criptografia mais recente validado pelo FIPS-140, NIST 800-52, Diretrizes para seleção, configuração e uso de implementações de segurança de camada de transporte (TLS), criptografia em trânsito (criptografia de carga útil). O uso do SHA-1 para assinaturas digitais é proibido. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seus Amazon Kinesis Streams. | |
| SC-13: Proteção criptográfica | Implemente os seguintes tipos de criptografia necessários para cada uso criptográfico especificado: Mecanismo de criptografia mais recente validado pelo FIPS-140, NIST 800-52, Diretrizes para seleção, configuração e uso de implementações de segurança de camada de transporte (TLS), criptografia em trânsito (criptografia de carga útil). O uso do SHA-1 para assinaturas digitais é proibido. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para sua AmazonOpenSearchDomínios de serviço. | |
| SC-13: Proteção criptográfica | Implemente os seguintes tipos de criptografia necessários para cada uso criptográfico especificado: Mecanismo de criptografia mais recente validado pelo FIPS-140, NIST 800-52, Diretrizes para seleção, configuração e uso de implementações de segurança de camada de transporte (TLS), criptografia em trânsito (criptografia de carga útil). O uso do SHA-1 para assinaturas digitais é proibido. | Certifique-se de que a criptografia esteja habilitada para seus snapshots do Amazon Relational Database Service (Amazon RDS). Como dados confidenciais podem existir em repouso, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| SC-13: Proteção criptográfica | Implemente os seguintes tipos de criptografia necessários para cada uso criptográfico especificado: Mecanismo de criptografia mais recente validado pelo FIPS-140, NIST 800-52, Diretrizes para seleção, configuração e uso de implementações de segurança de camada de transporte (TLS), criptografia em trânsito (criptografia de carga útil). O uso do SHA-1 para assinaturas digitais é proibido. | Para ajudar a proteger os dados em repouso, garanta a criptografia comAWSServiço de gerenciamento de chaves (AWSO KMS) está habilitado para seu cluster do Amazon Redshift. Como dados confidenciais podem existir em repouso nos clusters do Redshift, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| SC-13: Proteção criptográfica | Implemente os seguintes tipos de criptografia necessários para cada uso criptográfico especificado: Mecanismo de criptografia mais recente validado pelo FIPS-140, NIST 800-52, Diretrizes para seleção, configuração e uso de implementações de segurança de camada de transporte (TLS), criptografia em trânsito (criptografia de carga útil). O uso do SHA-1 para assinaturas digitais é proibido. | Certifique-se de que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso em um bucket do Amazon S3, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| SC-13: Proteção criptográfica | Implemente os seguintes tipos de criptografia necessários para cada uso criptográfico especificado: Mecanismo de criptografia mais recente validado pelo FIPS-140, NIST 800-52, Diretrizes para seleção, configuração e uso de implementações de segurança de camada de transporte (TLS), criptografia em trânsito (criptografia de carga útil). O uso do SHA-1 para assinaturas digitais é proibido. | Para ajudar a proteger os dados em repouso, garanta a criptografia comAWSServiço de gerenciamento de chaves (AWSO KMS) está habilitado paraAWSSegredos do Secrets Manager. Como dados confidenciais podem existir em repouso nos segredos do Secrets Manager, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| SC-13: Proteção criptográfica | Implemente os seguintes tipos de criptografia necessários para cada uso criptográfico especificado: Mecanismo de criptografia mais recente validado pelo FIPS-140, NIST 800-52, Diretrizes para seleção, configuração e uso de implementações de segurança de camada de transporte (TLS), criptografia em trânsito (criptografia de carga útil). O uso do SHA-1 para assinaturas digitais é proibido. | Para ajudar a proteger dados confidenciais em repouso, garanta que a criptografia esteja habilitada para sua AmazonCloudWatchGrupos de registro. | |
| SC-13: Proteção criptográfica | Implemente os seguintes tipos de criptografia necessários para cada uso criptográfico especificado: Mecanismo de criptografia mais recente validado pelo FIPS-140, NIST 800-52, Diretrizes para seleção, configuração e uso de implementações de segurança de camada de transporte (TLS), criptografia em trânsito (criptografia de carga útil). O uso do SHA-1 para assinaturas digitais é proibido. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seu Amazon Elastic File System (EFS). | |
| SC-13: Proteção criptográfica | Implemente os seguintes tipos de criptografia necessários para cada uso criptográfico especificado: Mecanismo de criptografia mais recente validado pelo FIPS-140, NIST 800-52, Diretrizes para seleção, configuração e uso de implementações de segurança de camada de transporte (TLS), criptografia em trânsito (criptografia de carga útil). O uso do SHA-1 para assinaturas digitais é proibido. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para sua AmazonOpenSearchServiço (OpenSearchDomínios de serviço). | |
| SC-13: Proteção criptográfica | Implemente os seguintes tipos de criptografia necessários para cada uso criptográfico especificado: Mecanismo de criptografia mais recente validado pelo FIPS-140, NIST 800-52, Diretrizes para seleção, configuração e uso de implementações de segurança de camada de transporte (TLS), criptografia em trânsito (criptografia de carga útil). O uso do SHA-1 para assinaturas digitais é proibido. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seus volumes do Amazon Elastic Block Store (Amazon EBS). | |
| SC-13: Proteção criptográfica | Implemente os seguintes tipos de criptografia necessários para cada uso criptográfico especificado: Mecanismo de criptografia mais recente validado pelo FIPS-140, NIST 800-52, Diretrizes para seleção, configuração e uso de implementações de segurança de camada de transporte (TLS), criptografia em trânsito (criptografia de carga útil). O uso do SHA-1 para assinaturas digitais é proibido. | Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para suas instâncias do Amazon Relational Database Service (Amazon RDS). Como dados confidenciais podem existir em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| SC-13: Proteção criptográfica | Implemente os seguintes tipos de criptografia necessários para cada uso criptográfico especificado: Mecanismo de criptografia mais recente validado pelo FIPS-140, NIST 800-52, Diretrizes para seleção, configuração e uso de implementações de segurança de camada de transporte (TLS), criptografia em trânsito (criptografia de carga útil). O uso do SHA-1 para assinaturas digitais é proibido. | Para proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seus clusters do Amazon Redshift. Você também deve garantir que as configurações necessárias sejam implantadas nos clusters do Amazon Redshift. O registro de auditoria deve estar habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido paraclusterDbEncrypted(Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). Os valores reais devem refletir as políticas da sua organização. | |
| SC-13: Proteção criptográfica | Implemente os seguintes tipos de criptografia necessários para cada uso criptográfico especificado: Mecanismo de criptografia mais recente validado pelo FIPS-140, NIST 800-52, Diretrizes para seleção, configuração e uso de implementações de segurança de camada de transporte (TLS), criptografia em trânsito (criptografia de carga útil). O uso do SHA-1 para assinaturas digitais é proibido. | Certifique-se de que seus clusters do Amazon Redshift exijam criptografia TLS/SSL para se conectar aos clientes SQL. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC-13: Proteção criptográfica | Implemente os seguintes tipos de criptografia necessários para cada uso criptográfico especificado: Mecanismo de criptografia mais recente validado pelo FIPS-140, NIST 800-52, Diretrizes para seleção, configuração e uso de implementações de segurança de camada de transporte (TLS), criptografia em trânsito (criptografia de carga útil). O uso do SHA-1 para assinaturas digitais é proibido. | Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a proteger esses dados. | |
| SC-13: Proteção criptográfica | Implemente os seguintes tipos de criptografia necessários para cada uso criptográfico especificado: Mecanismo de criptografia mais recente validado pelo FIPS-140, NIST 800-52, Diretrizes para seleção, configuração e uso de implementações de segurança de camada de transporte (TLS), criptografia em trânsito (criptografia de carga útil). O uso do SHA-1 para assinaturas digitais é proibido. | Para ajudar a proteger os dados em trânsito, certifique-se de que seus buckets do Amazon Simple Storage Service (Amazon S3) exijam solicitações para usar o Secure Socket Layer (SSL). Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| SC-13: Proteção criptográfica | Implemente os seguintes tipos de criptografia necessários para cada uso criptográfico especificado: Mecanismo de criptografia mais recente validado pelo FIPS-140, NIST 800-52, Diretrizes para seleção, configuração e uso de implementações de segurança de camada de transporte (TLS), criptografia em trânsito (criptografia de carga útil). O uso do SHA-1 para assinaturas digitais é proibido. | Para ajudar a proteger os dados em repouso, garanta a criptografia comAWSServiço de gerenciamento de chaves (AWSO KMS) está habilitado para seuSageMakerponto final. Porque dados confidenciais podem existir em repouso noSageMakerendpoint, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| SC-13: Proteção criptográfica | Implemente os seguintes tipos de criptografia necessários para cada uso criptográfico especificado: Mecanismo de criptografia mais recente validado pelo FIPS-140, NIST 800-52, Diretrizes para seleção, configuração e uso de implementações de segurança de camada de transporte (TLS), criptografia em trânsito (criptografia de carga útil). O uso do SHA-1 para assinaturas digitais é proibido. | Para ajudar a proteger os dados em repouso, garanta a criptografia comAWSServiço de gerenciamento de chaves (AWSO KMS) está habilitado para seuSageMakercaderno. Porque dados confidenciais podem existir em repouso noSageMakernotebook, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| SC-13: Proteção criptográfica | Implemente os seguintes tipos de criptografia necessários para cada uso criptográfico especificado: Mecanismo de criptografia mais recente validado pelo FIPS-140, NIST 800-52, Diretrizes para seleção, configuração e uso de implementações de segurança de camada de transporte (TLS), criptografia em trânsito (criptografia de carga útil). O uso do SHA-1 para assinaturas digitais é proibido. | Para ajudar a proteger os dados em repouso, certifique-se de que seus tópicos do Amazon Simple Notification Service (Amazon SNS) exijam criptografia usandoAWSServiço de gerenciamento de chaves (AWSKMS). Como dados confidenciais podem existir em repouso nas mensagens publicadas, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| SC-23: Autenticidade da sessão | Proteja a autenticidade das sessões de comunicação. | Certifique-se de que o método Instance Metadata Service Versão 2 (IMDSv2) esteja ativado para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir as alterações nos metadados da instância. | |
| SC-28: Proteção de informações em repouso (CE-1) Proteção criptográfica | Implemente mecanismos criptográficos para evitar a divulgação e modificação não autorizadas do FTI em repouso nos sistemas de computação do usuário final (ou seja, computadores desktop, laptops, dispositivos móveis, dispositivos de armazenamento portáteis e removíveis) em armazenamento não volátil. | Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja ativada para o cache do estágio do API Gateway. Como dados confidenciais podem ser capturados pelo método da API, ative a criptografia em repouso para ajudar a proteger esses dados. | |
| SC-28: Proteção de informações em repouso (CE-1) Proteção criptográfica | Implemente mecanismos criptográficos para evitar a divulgação e modificação não autorizadas do FTI em repouso nos sistemas de computação do usuário final (ou seja, computadores desktop, laptops, dispositivos móveis, dispositivos de armazenamento portáteis e removíveis) em armazenamento não volátil. | Certifique-se de que a criptografia esteja habilitada para seuAWSPontos de recuperação de backup. Como dados confidenciais podem existir em repouso, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| SC-28: Proteção de informações em repouso (CE-1) Proteção criptográfica | Implemente mecanismos criptográficos para evitar a divulgação e modificação não autorizadas do FTI em repouso nos sistemas de computação do usuário final (ou seja, computadores desktop, laptops, dispositivos móveis, dispositivos de armazenamento portáteis e removíveis) em armazenamento não volátil. | Como podem existir dados confidenciais e, para ajudar a proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seuAWS CloudTrailtrilhas. | |
| SC-28: Proteção de informações em repouso (CE-1) Proteção criptográfica | Implemente mecanismos criptográficos para evitar a divulgação e modificação não autorizadas do FTI em repouso nos sistemas de computação do usuário final (ou seja, computadores desktop, laptops, dispositivos móveis, dispositivos de armazenamento portáteis e removíveis) em armazenamento não volátil. | Para ajudar a proteger dados confidenciais em repouso, garanta que a criptografia esteja habilitada para sua AmazonCloudWatchGrupos de registro. | |
| SC-28: Proteção de informações em repouso (CE-1) Proteção criptográfica | Implemente mecanismos criptográficos para evitar a divulgação e modificação não autorizadas do FTI em repouso nos sistemas de computação do usuário final (ou seja, computadores desktop, laptops, dispositivos móveis, dispositivos de armazenamento portáteis e removíveis) em armazenamento não volátil. | Para ajudar a proteger os dados em repouso, certifique-se de que seus tópicos do Amazon Simple Notification Service (Amazon SNS) exijam criptografia usandoAWSServiço de gerenciamento de chaves (AWSKMS). Como dados confidenciais podem existir em repouso nas mensagens publicadas, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| SC-28: Proteção de informações em repouso (CE-1) Proteção criptográfica | Implemente mecanismos criptográficos para evitar a divulgação e modificação não autorizadas do FTI em repouso nos sistemas de computação do usuário final (ou seja, computadores desktop, laptops, dispositivos móveis, dispositivos de armazenamento portáteis e removíveis) em armazenamento não volátil. | Certifique-se de que a criptografia esteja habilitada para suas tabelas do Amazon DynamoDB. Como dados confidenciais podem existir em repouso nessas tabelas, habilite a criptografia em repouso para ajudar a proteger esses dados. Por padrão, as tabelas do DynamoDB são criptografadas com umAWSchave mestra do cliente (CMK) de propriedade do cliente. | |
| SC-28: Proteção de informações em repouso (CE-1) Proteção criptográfica | Implemente mecanismos criptográficos para evitar a divulgação e modificação não autorizadas do FTI em repouso nos sistemas de computação do usuário final (ou seja, computadores desktop, laptops, dispositivos móveis, dispositivos de armazenamento portáteis e removíveis) em armazenamento não volátil. | Para ajudar a proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seus volumes do Amazon Elastic Block Store (Amazon EBS). Como dados confidenciais podem existir em repouso nesses volumes, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| SC-28: Proteção de informações em repouso (CE-1) Proteção criptográfica | Implemente mecanismos criptográficos para evitar a divulgação e modificação não autorizadas do FTI em repouso nos sistemas de computação do usuário final (ou seja, computadores desktop, laptops, dispositivos móveis, dispositivos de armazenamento portáteis e removíveis) em armazenamento não volátil. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seu Amazon Elastic File System (EFS). | |
| SC-28: Proteção de informações em repouso (CE-1) Proteção criptográfica | Implemente mecanismos criptográficos para evitar a divulgação e modificação não autorizadas do FTI em repouso nos sistemas de computação do usuário final (ou seja, computadores desktop, laptops, dispositivos móveis, dispositivos de armazenamento portáteis e removíveis) em armazenamento não volátil. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para sua AmazonOpenSearchServiço (OpenSearchDomínios de serviço). | |
| SC-28: Proteção de informações em repouso (CE-1) Proteção criptográfica | Implemente mecanismos criptográficos para evitar a divulgação e modificação não autorizadas do FTI em repouso nos sistemas de computação do usuário final (ou seja, computadores desktop, laptops, dispositivos móveis, dispositivos de armazenamento portáteis e removíveis) em armazenamento não volátil. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seus volumes do Amazon Elastic Block Store (Amazon EBS). | |
| SC-28: Proteção de informações em repouso (CE-1) Proteção criptográfica | Implemente mecanismos criptográficos para evitar a divulgação e modificação não autorizadas do FTI em repouso nos sistemas de computação do usuário final (ou seja, computadores desktop, laptops, dispositivos móveis, dispositivos de armazenamento portáteis e removíveis) em armazenamento não volátil. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seus Amazon Kinesis Streams. | |
| SC-28: Proteção de informações em repouso (CE-1) Proteção criptográfica | Implemente mecanismos criptográficos para evitar a divulgação e modificação não autorizadas do FTI em repouso nos sistemas de computação do usuário final (ou seja, computadores desktop, laptops, dispositivos móveis, dispositivos de armazenamento portáteis e removíveis) em armazenamento não volátil. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para sua AmazonOpenSearchDomínios de serviço. | |
| SC-28: Proteção de informações em repouso (CE-1) Proteção criptográfica | Implemente mecanismos criptográficos para evitar a divulgação e modificação não autorizadas do FTI em repouso nos sistemas de computação do usuário final (ou seja, computadores desktop, laptops, dispositivos móveis, dispositivos de armazenamento portáteis e removíveis) em armazenamento não volátil. | Certifique-se de que a criptografia esteja habilitada para seus snapshots do Amazon Relational Database Service (Amazon RDS). Como dados confidenciais podem existir em repouso, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| SC-28: Proteção de informações em repouso (CE-1) Proteção criptográfica | Implemente mecanismos criptográficos para evitar a divulgação e modificação não autorizadas do FTI em repouso nos sistemas de computação do usuário final (ou seja, computadores desktop, laptops, dispositivos móveis, dispositivos de armazenamento portáteis e removíveis) em armazenamento não volátil. | Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para suas instâncias do Amazon Relational Database Service (Amazon RDS). Como dados confidenciais podem existir em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| SC-28: Proteção de informações em repouso (CE-1) Proteção criptográfica | Implemente mecanismos criptográficos para evitar a divulgação e modificação não autorizadas do FTI em repouso nos sistemas de computação do usuário final (ou seja, computadores desktop, laptops, dispositivos móveis, dispositivos de armazenamento portáteis e removíveis) em armazenamento não volátil. | Para proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seus clusters do Amazon Redshift. Você também deve garantir que as configurações necessárias sejam implantadas nos clusters do Amazon Redshift. O registro de auditoria deve estar habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido paraclusterDbEncrypted(Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). Os valores reais devem refletir as políticas da sua organização. | |
| SC-28: Proteção de informações em repouso (CE-1) Proteção criptográfica | Implemente mecanismos criptográficos para evitar a divulgação e modificação não autorizadas do FTI em repouso nos sistemas de computação do usuário final (ou seja, computadores desktop, laptops, dispositivos móveis, dispositivos de armazenamento portáteis e removíveis) em armazenamento não volátil. | Para ajudar a proteger os dados em repouso, garanta a criptografia comAWSServiço de gerenciamento de chaves (AWSO KMS) está habilitado para seu cluster do Amazon Redshift. Como dados confidenciais podem existir em repouso nos clusters do Redshift, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| SC-28: Proteção de informações em repouso (CE-1) Proteção criptográfica | Implemente mecanismos criptográficos para evitar a divulgação e modificação não autorizadas do FTI em repouso nos sistemas de computação do usuário final (ou seja, computadores desktop, laptops, dispositivos móveis, dispositivos de armazenamento portáteis e removíveis) em armazenamento não volátil. | Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a proteger esses dados. | |
| SC-28: Proteção de informações em repouso (CE-1) Proteção criptográfica | Implemente mecanismos criptográficos para evitar a divulgação e modificação não autorizadas do FTI em repouso nos sistemas de computação do usuário final (ou seja, computadores desktop, laptops, dispositivos móveis, dispositivos de armazenamento portáteis e removíveis) em armazenamento não volátil. | Certifique-se de que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso em um bucket do Amazon S3, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| SC-28: Proteção de informações em repouso (CE-1) Proteção criptográfica | Implemente mecanismos criptográficos para evitar a divulgação e modificação não autorizadas do FTI em repouso nos sistemas de computação do usuário final (ou seja, computadores desktop, laptops, dispositivos móveis, dispositivos de armazenamento portáteis e removíveis) em armazenamento não volátil. | Para ajudar a proteger os dados em repouso, garanta a criptografia comAWSServiço de gerenciamento de chaves (AWSO KMS) está habilitado para seuSageMakerponto final. Porque dados confidenciais podem existir em repouso noSageMakerendpoint, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| SC-28: Proteção de informações em repouso (CE-1) Proteção criptográfica | Implemente mecanismos criptográficos para evitar a divulgação e modificação não autorizadas do FTI em repouso nos sistemas de computação do usuário final (ou seja, computadores desktop, laptops, dispositivos móveis, dispositivos de armazenamento portáteis e removíveis) em armazenamento não volátil. | Para ajudar a proteger os dados em repouso, garanta a criptografia comAWSServiço de gerenciamento de chaves (AWSO KMS) está habilitado para seuSageMakercaderno. Porque dados confidenciais podem existir em repouso noSageMakernotebook, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| SC-28: Proteção de informações em repouso (CE-1) Proteção criptográfica | Implemente mecanismos criptográficos para evitar a divulgação e modificação não autorizadas do FTI em repouso nos sistemas de computação do usuário final (ou seja, computadores desktop, laptops, dispositivos móveis, dispositivos de armazenamento portáteis e removíveis) em armazenamento não volátil. | Para ajudar a proteger os dados em repouso, garanta a criptografia comAWSServiço de gerenciamento de chaves (AWSO KMS) está habilitado paraAWSSegredos do Secrets Manager. Como dados confidenciais podem existir em repouso nos segredos do Secrets Manager, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| SI-2: Correção de falhas (definida pelo IRS) | A agência deve garantir que, após a inicialização diária e a conexão com a rede da agência, as estações de trabalho (conforme definido na política e incluindo conexões remotas usando estações de trabalho GFE) sejam verificadas para garantir que os patches mais recentes aprovados pela agência tenham sido aplicados e que quaisquer patches ausentes ou novos sejam aplicados conforme necessário ou verificados pelo menos uma vez a cada 24 horas (excluindo fins de semana, feriados etc.) | É possível fazer um inventário das plataformas de software e aplicativos dentro da organização gerenciando instâncias do Amazon Elastic Compute Cloud (Amazon EC2) comAWSGerente de sistemas. UseAWSSystems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome do aplicativo, editor e versão e outros detalhes sobre seu ambiente. | |
| SI-2: Correção de falhas (definida pelo IRS) | A agência deve garantir que, após a inicialização diária e a conexão com a rede da agência, as estações de trabalho (conforme definido na política e incluindo conexões remotas usando estações de trabalho GFE) sejam verificadas para garantir que os patches mais recentes aprovados pela agência tenham sido aplicados e que quaisquer patches ausentes ou novos sejam aplicados conforme necessário ou verificados pelo menos uma vez a cada 24 horas (excluindo fins de semana, feriados etc.) | UseAWSAssociações de gerentes de sistemas para ajudar no inventário de plataformas e aplicativos de software em uma organização.AWS O Systems Manager atribui um estado de configuração às suas instâncias gerenciadas e permite que você defina linhas de base dos níveis de patch do sistema operacional, instalações de software, configurações de aplicativos e outros detalhes sobre seu ambiente. | |
| SI-2: Correção de falhas (definida pelo IRS) | A agência deve garantir que, após a inicialização diária e a conexão com a rede da agência, as estações de trabalho (conforme definido na política e incluindo conexões remotas usando estações de trabalho GFE) sejam verificadas para garantir que os patches mais recentes aprovados pela agência tenham sido aplicados e que quaisquer patches ausentes ou novos sejam aplicados conforme necessário ou verificados pelo menos uma vez a cada 24 horas (excluindo fins de semana, feriados etc.) | Ative essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com o patch emAWSGerenciador de sistemas conforme exigido pelas políticas e procedimentos da sua organização. | |
| SI-2: Correção de falhas (definida pelo IRS) | A agência deve garantir que, após a inicialização diária e a conexão com a rede da agência, as estações de trabalho (conforme definido na política e incluindo conexões remotas usando estações de trabalho GFE) sejam verificadas para garantir que os patches mais recentes aprovados pela agência tenham sido aplicados e que quaisquer patches ausentes ou novos sejam aplicados conforme necessário ou verificados pelo menos uma vez a cada 24 horas (excluindo fins de semana, feriados etc.) | Atualizações e patches de segurança são implantados automaticamente para seuAWSTarefas do Fargate. Se for encontrado um problema de segurança que afete umAWSVersão da plataforma Fargate,AWScorrige a versão da plataforma. Para auxiliar no gerenciamento de patches de suas tarefas do Amazon Elastic Container Service (ECS) em execuçãoAWSFargate, atualize suas tarefas autônomas de serviços para usar a versão mais recente da plataforma. | |
| SI-2: Correção de falhas (definida pelo IRS) | A agência deve garantir que, após a inicialização diária e a conexão com a rede da agência, as estações de trabalho (conforme definido na política e incluindo conexões remotas usando estações de trabalho GFE) sejam verificadas para garantir que os patches mais recentes aprovados pela agência tenham sido aplicados e que quaisquer patches ausentes ou novos sejam aplicados conforme necessário ou verificados pelo menos uma vez a cada 24 horas (excluindo fins de semana, feriados etc.) | A ativação de atualizações gerenciadas de plataforma para um ambiente do Amazon Elastic Beanstalk garante que as últimas correções, atualizações e recursos de plataforma disponíveis para o ambiente sejam instalados. Manter-se atualizado com a instalação de patches é a melhor prática para proteger os sistemas. | |
| SI-2: Correção de falhas (definida pelo IRS) | A agência deve garantir que, após a inicialização diária e a conexão com a rede da agência, as estações de trabalho (conforme definido na política e incluindo conexões remotas usando estações de trabalho GFE) sejam verificadas para garantir que os patches mais recentes aprovados pela agência tenham sido aplicados e que quaisquer patches ausentes ou novos sejam aplicados conforme necessário ou verificados pelo menos uma vez a cada 24 horas (excluindo fins de semana, feriados etc.) | Habilite atualizações automáticas de versões secundárias em suas instâncias do Amazon Relational Database Service (RDS) para garantir que as atualizações secundárias mais recentes do Sistema de Gerenciamento de Banco de Dados Relacional (RDBMS) sejam instaladas, o que pode incluir patches de segurança e correções de erros. | |
| SI-4: Monitoramento do sistema | A organização: a. Monitora o sistema de informação para detectar: 1. Ataques e indicadores de possíveis ataques de acordo com [Atribuição: objetivos de monitoramento definidos pela organização]; e 2. Conexões locais, de rede e remotas não autorizadas; b. Identifica o uso não autorizado do sistema de informação por meio de [Atribuição: técnicas e métodos definidos pela organização]; c.Implanta dispositivos de monitoramento: 1. Estrategicamente dentro do sistema de informação para coletar informações essenciais determinadas pela organização; e 2. Em locais ad hoc do sistema para rastrear tipos específicos de transações de interesse da organização; d. Protege as informações obtidas de ferramentas de monitoramento de intrusões contra acesso, modificação e exclusão não autorizados; | AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem. | |
| SI-4: Monitoramento do sistema | A organização: a. Monitora o sistema de informação para detectar: 1. Ataques e indicadores de possíveis ataques de acordo com [Atribuição: objetivos de monitoramento definidos pela organização]; e 2. Conexões locais, de rede e remotas não autorizadas; b. Identifica o uso não autorizado do sistema de informação por meio de [Atribuição: técnicas e métodos definidos pela organização]; c.Implanta dispositivos de monitoramento: 1. Estrategicamente dentro do sistema de informação para coletar informações essenciais determinadas pela organização; e 2. Em locais ad hoc do sistema para rastrear tipos específicos de transações de interesse da organização; d. Protege as informações obtidas de ferramentas de monitoramento de intrusões contra acesso, modificação e exclusão não autorizados; | AWSO Security Hub ajuda a monitorar pessoal, conexões, dispositivos e software não autorizados.AWS O Security Hub agrega, organiza e prioriza os alertas de segurança, ou descobertas, de váriosAWSserviços. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie,AWSAnalisador de acesso de gerenciamento de identidade e acesso (IAM) eAWSGerenciador de Firewall eAWSSoluções de parceiros. | |
| SI-4: Monitoramento do sistema | A organização: a. Monitora o sistema de informação para detectar: 1. Ataques e indicadores de possíveis ataques de acordo com [Atribuição: objetivos de monitoramento definidos pela organização]; e 2. Conexões locais, de rede e remotas não autorizadas; b. Identifica o uso não autorizado do sistema de informação por meio de [Atribuição: técnicas e métodos definidos pela organização]; c.Implanta dispositivos de monitoramento: 1. Estrategicamente dentro do sistema de informação para coletar informações essenciais determinadas pela organização; e 2. Em locais ad hoc do sistema para rastrear tipos específicos de transações de interesse da organização; d. Protege as informações obtidas de ferramentas de monitoramento de intrusões contra acesso, modificação e exclusão não autorizados; | AmazôniaCloudWatchalertam quando uma métrica ultrapassa o limite de um determinado número de períodos de avaliação. O alarme realiza uma ou mais ações com base no valor da métrica ou na expressão relativa a um limite em alguns períodos. Essa regra exige um valor paraalarmActionRequired(Padrão de configuração: verdadeiro),insufficientDataActionObrigatório (padrão de configuração: verdadeiro),okActionRequired(Padrão de configuração: falso). O valor real deve refletir as ações de alarme do seu ambiente. | |
| SI-4: Monitoramento do sistema | A organização: a. Monitora o sistema de informação para detectar: 1. Ataques e indicadores de possíveis ataques de acordo com [Atribuição: objetivos de monitoramento definidos pela organização]; e 2. Conexões locais, de rede e remotas não autorizadas; b. Identifica o uso não autorizado do sistema de informação por meio de [Atribuição: técnicas e métodos definidos pela organização]; c.Implanta dispositivos de monitoramento: 1. Estrategicamente dentro do sistema de informação para coletar informações essenciais determinadas pela organização; e 2. Em locais ad hoc do sistema para rastrear tipos específicos de transações de interesse da organização; d. Protege as informações obtidas de ferramentas de monitoramento de intrusões contra acesso, modificação e exclusão não autorizados; | Use a AmazonCloudWatchpara coletar e gerenciar centralmente a atividade de eventos de registro. Inclusão deAWS CloudTrailos dados fornecem detalhes da atividade de chamadas de API em seuAWSconta. | |
| SI-4: Monitoramento do sistema | A organização: a. Monitora o sistema de informação para detectar: 1. Ataques e indicadores de possíveis ataques de acordo com [Atribuição: objetivos de monitoramento definidos pela organização]; e 2. Conexões locais, de rede e remotas não autorizadas; b. Identifica o uso não autorizado do sistema de informação por meio de [Atribuição: técnicas e métodos definidos pela organização]; c.Implanta dispositivos de monitoramento: 1. Estrategicamente dentro do sistema de informação para coletar informações essenciais determinadas pela organização; e 2. Em locais ad hoc do sistema para rastrear tipos específicos de transações de interesse da organização; d. Protege as informações obtidas de ferramentas de monitoramento de intrusões contra acesso, modificação e exclusão não autorizados; | Ative essa regra para ajudar a melhorar o monitoramento de instâncias do Amazon Elastic Compute Cloud (Amazon EC2) no console do Amazon EC2, que exibe gráficos de monitoramento com um período de 1 minuto para a instância. | |
| SI-4: Monitoramento do sistema (definido pelo IRS) | Todos os pontos/portais de acesso à Internet devem capturar e reter, por pelo menos um ano, informações de cabeçalho de tráfego de entrada e saída, com a exclusão de conexões “anônimas” aprovadas pela agência CISO. | A atividade do Elastic Load Balancing é um ponto central de comunicação dentro de um ambiente. Certifique-se de que o registro do ELB esteja ativado. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor. | |
| SI-4: Monitoramento do sistema (definido pelo IRS) | Todos os pontos/portais de acesso à Internet devem capturar e reter, por pelo menos um ano, informações de cabeçalho de tráfego de entrada e saída, com a exclusão de conexões “anônimas” aprovadas pela agência CISO. | Certifique-se de que o registro de auditoria esteja ativado em sua AmazonOpenSearchDomínios de serviço. O registro de auditoria permite que você acompanhe a atividade do usuário em seuOpenSearchdomínios, incluindo sucessos e falhas de autenticação, solicitações paraOpenSearch, alterações no índice e consultas de pesquisa recebidas. | |
| SI-4: Monitoramento do sistema (definido pelo IRS) | Todos os pontos/portais de acesso à Internet devem capturar e reter, por pelo menos um ano, informações de cabeçalho de tráfego de entrada e saída, com a exclusão de conexões “anônimas” aprovadas pela agência CISO. | Para capturar informações sobre conexões e atividades do usuário em seu cluster do Amazon Redshift, garanta que o registro de auditoria esteja ativado. | |
| SI-4: Monitoramento do sistema (definido pelo IRS) | Todos os pontos/portais de acesso à Internet devem capturar e reter, por pelo menos um ano, informações de cabeçalho de tráfego de entrada e saída, com a exclusão de conexões “anônimas” aprovadas pela agência CISO. | O registro de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados por meio da captura de registros detalhados das solicitações feitas a um bucket do Amazon S3. Cada registro de registro de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem o solicitante, nome do bucket, hora da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante. | |
| SI-4: Monitoramento do sistema (definido pelo IRS) | Todos os pontos/portais de acesso à Internet devem capturar e reter, por pelo menos um ano, informações de cabeçalho de tráfego de entrada e saída, com a exclusão de conexões “anônimas” aprovadas pela agência CISO. | Para ajudar com o registro e o monitoramento em seu ambiente, habiliteAWSRegistro WAF (V2) em ACLs da web regionais e globais.AWS O registro do WAF fornece informações detalhadas sobre o tráfego que é analisado pela sua ACL da web. Os registros registram a hora em queAWSO WAF recebeu a solicitação do seuAWSrecurso, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu. | |
| SI-4: Monitoramento do sistema (definido pelo IRS) | Todos os pontos/portais de acesso à Internet devem capturar e reter, por pelo menos um ano, informações de cabeçalho de tráfego de entrada e saída, com a exclusão de conexões “anônimas” aprovadas pela agência CISO. | Os registros de fluxo do VPC fornecem registros detalhados de informações sobre o tráfego IP que vai e vem das interfaces de rede em sua Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro do log de fluxo inclui valores para os diferentes componentes do fluxo IP, incluindo a origem, o destino e o protocolo. | |
| SI-4: Monitoramento do sistema (definido pelo IRS) | Todos os pontos/portais de acesso à Internet devem capturar e reter, por pelo menos um ano, informações de cabeçalho de tráfego de entrada e saída, com a exclusão de conexões “anônimas” aprovadas pela agência CISO. | O registro do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como acessaram a API. Esse insight permite a visibilidade das atividades do usuário. | |
| SI-4: Monitoramento do sistema (definido pelo IRS) | Todos os pontos/portais de acesso à Internet devem capturar e reter, por pelo menos um ano, informações de cabeçalho de tráfego de entrada e saída, com a exclusão de conexões “anônimas” aprovadas pela agência CISO. | Use a AmazonCloudWatchpara coletar e gerenciar centralmente a atividade de eventos de registro. Inclusão deAWS CloudTrailos dados fornecem detalhes da atividade de chamadas de API em seuAWSconta. | |
| SI-4: Monitoramento do sistema (definido pelo IRS) | Todos os pontos/portais de acesso à Internet devem capturar e reter, por pelo menos um ano, informações de cabeçalho de tráfego de entrada e saída, com a exclusão de conexões “anônimas” aprovadas pela agência CISO. | AWS CloudTrailpode ajudar na não repúdio gravandoAWSAções do Management Console e chamadas de API. Você pode identificar os usuários eAWScontas que chamaram umAWSserviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos emAWS CloudTrailGravar conteúdo. | |
| SI-4: Monitoramento do sistema (definido pelo IRS) | Todos os pontos/portais de acesso à Internet devem capturar e reter, por pelo menos um ano, informações de cabeçalho de tráfego de entrada e saída, com a exclusão de conexões “anônimas” aprovadas pela agência CISO. | UtilizeAWS CloudTrailvalidação do arquivo de log para verificar a integridade doCloudTrailtroncos. A validação do arquivo de log ajuda a determinar se um arquivo de log foi modificado, excluído ou inalterado apósCloudTrailentregou. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log CloudTrail sem detectar tais ações. | |
| SI-4: Monitoramento do sistema (definido pelo IRS) | Todos os pontos/portais de acesso à Internet devem capturar e reter, por pelo menos um ano, informações de cabeçalho de tráfego de entrada e saída, com a exclusão de conexões “anônimas” aprovadas pela agência CISO. | Garanta que uma duração mínima dos dados do registro de eventos seja mantida para seus grupos de registros para ajudar na solução de problemas e nas investigações forenses. A falta de dados de registros de eventos anteriores disponíveis dificulta a reconstrução e a identificação de eventos potencialmente maliciosos. | |
| SI-7: Software, Firmware e Integridade da Informação | Use ferramentas de verificação de integridade para detectar alterações não autorizadas nos seguintes softwares, firmware e informações: kernels do sistema, drivers, firmware (por exemplo, BIOS, UEFI), software (por exemplo, sistema operacional, aplicativos, middleware) e atributos de segurança. | É possível fazer um inventário das plataformas de software e aplicativos dentro da organização gerenciando instâncias do Amazon Elastic Compute Cloud (Amazon EC2) comAWSGerente de sistemas. UseAWSSystems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome do aplicativo, editor e versão e outros detalhes sobre seu ambiente. | |
| SI-7: Software, Firmware e Integridade da Informação | Use ferramentas de verificação de integridade para detectar alterações não autorizadas nos seguintes softwares, firmware e informações: kernels do sistema, drivers, firmware (por exemplo, BIOS, UEFI), software (por exemplo, sistema operacional, aplicativos, middleware) e atributos de segurança. | Ative essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com o patch emAWSGerenciador de sistemas conforme exigido pelas políticas e procedimentos da sua organização. | |
| SI-7: Software, Firmware e Integridade da Informação | Use ferramentas de verificação de integridade para detectar alterações não autorizadas nos seguintes softwares, firmware e informações: kernels do sistema, drivers, firmware (por exemplo, BIOS, UEFI), software (por exemplo, sistema operacional, aplicativos, middleware) e atributos de segurança. | UtilizeAWS CloudTrailvalidação do arquivo de log para verificar a integridade doCloudTrailtroncos. A validação do arquivo de log ajuda a determinar se um arquivo de log foi modificado, excluído ou inalterado apósCloudTrailentregou. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log CloudTrail sem detectar tais ações. | |
| SI-12: Gerenciamento e retenção de informações | Gerencie e retenha as informações dentro do sistema e as informações geradas pelo sistema de acordo com as leis, ordens executivas, diretivas, regulamentos, políticas, padrões, diretrizes e requisitos operacionais aplicáveis. | O recurso de backup do Amazon RDS cria backups de seus bancos de dados e registros de transações. O Amazon RDS cria automaticamente um snapshot do volume de armazenamento da sua instância de banco de dados, fazendo backup de toda a instância de banco de dados. O sistema permite que você defina períodos de retenção específicos para atender aos seus requisitos de resiliência. | |
| SI-12: Gerenciamento e retenção de informações | Gerencie e retenha as informações dentro do sistema e as informações geradas pelo sistema de acordo com as leis, ordens executivas, diretivas, regulamentos, políticas, padrões, diretrizes e requisitos operacionais aplicáveis. | Para ajudar nos processos de backup de dados, garanta que suas tabelas do Amazon DynamoDB façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| SI-12: Gerenciamento e retenção de informações | Gerencie e retenha as informações dentro do sistema e as informações geradas pelo sistema de acordo com as leis, ordens executivas, diretivas, regulamentos, políticas, padrões, diretrizes e requisitos operacionais aplicáveis. | Ative essa regra para verificar se as informações foram copiadas. Ele também mantém os backups, garantindo quepoint-in-timea recuperação está habilitada no Amazon DynamoDB. A recuperação mantém backups contínuos de sua tabela nos últimos 35 dias. | |
| SI-12: Gerenciamento e retenção de informações | Gerencie e retenha as informações dentro do sistema e as informações geradas pelo sistema de acordo com as leis, ordens executivas, diretivas, regulamentos, políticas, padrões, diretrizes e requisitos operacionais aplicáveis. | Para ajudar nos processos de backup de dados, garanta que seus recursos do Amazon DynamoDB façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| SI-12: Gerenciamento e retenção de informações | Gerencie e retenha as informações dentro do sistema e as informações geradas pelo sistema de acordo com as leis, ordens executivas, diretivas, regulamentos, políticas, padrões, diretrizes e requisitos operacionais aplicáveis. | Para ajudar nos processos de backup de dados, garanta que seus volumes do Amazon Elastic Block Store (Amazon EBS) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| SI-12: Gerenciamento e retenção de informações | Gerencie e retenha as informações dentro do sistema e as informações geradas pelo sistema de acordo com as leis, ordens executivas, diretivas, regulamentos, políticas, padrões, diretrizes e requisitos operacionais aplicáveis. | Para ajudar nos processos de backup de dados, garanta que seus recursos do Amazon Elastic Block Store (Amazon EBS) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| SI-12: Gerenciamento e retenção de informações | Gerencie e retenha as informações dentro do sistema e as informações geradas pelo sistema de acordo com as leis, ordens executivas, diretivas, regulamentos, políticas, padrões, diretrizes e requisitos operacionais aplicáveis. | Para ajudar nos processos de backup de dados, garanta que seus recursos do Amazon Elastic Compute Cloud (Amazon EC2) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| SI-12: Gerenciamento e retenção de informações | Gerencie e retenha as informações dentro do sistema e as informações geradas pelo sistema de acordo com as leis, ordens executivas, diretivas, regulamentos, políticas, padrões, diretrizes e requisitos operacionais aplicáveis. | Para ajudar nos processos de backup de dados, garanta que seus sistemas de arquivos do Amazon Elastic File System (Amazon EFS) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| SI-12: Gerenciamento e retenção de informações | Gerencie e retenha as informações dentro do sistema e as informações geradas pelo sistema de acordo com as leis, ordens executivas, diretivas, regulamentos, políticas, padrões, diretrizes e requisitos operacionais aplicáveis. | Para ajudar nos processos de backup de dados, garanta que seus sistemas de arquivos do Amazon Elastic File System (Amazon EFS) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| SI-12: Gerenciamento e retenção de informações | Gerencie e retenha as informações dentro do sistema e as informações geradas pelo sistema de acordo com as leis, ordens executivas, diretivas, regulamentos, políticas, padrões, diretrizes e requisitos operacionais aplicáveis. | Quando os backups automáticos estão habilitados, a AmazonElastiCachecria um backup do cluster diariamente. O backup pode ser retido por alguns dias, conforme especificado pela sua organização. Os backups automáticos podem ajudar a proteger contra a perda de dados. Se ocorrer uma falha, você poderá criar um novo cluster, que restaura seus dados do backup mais recente. | |
| SI-12: Gerenciamento e retenção de informações | Gerencie e retenha as informações dentro do sistema e as informações geradas pelo sistema de acordo com as leis, ordens executivas, diretivas, regulamentos, políticas, padrões, diretrizes e requisitos operacionais aplicáveis. | Para ajudar nos processos de backup de dados, garanta que seus sistemas de arquivos Amazon FSx façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| SI-12: Gerenciamento e retenção de informações | Gerencie e retenha as informações dentro do sistema e as informações geradas pelo sistema de acordo com as leis, ordens executivas, diretivas, regulamentos, políticas, padrões, diretrizes e requisitos operacionais aplicáveis. | Para ajudar nos processos de backup de dados, garanta que suas instâncias do Amazon Relational Database Service (Amazon RDS) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| SI-12: Gerenciamento e retenção de informações | Gerencie e retenha as informações dentro do sistema e as informações geradas pelo sistema de acordo com as leis, ordens executivas, diretivas, regulamentos, políticas, padrões, diretrizes e requisitos operacionais aplicáveis. | Para ajudar nos processos de backup de dados, garanta que seus recursos do Amazon Relational Database Service (Amazon RDS) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| SI-12: Gerenciamento e retenção de informações | Gerencie e retenha as informações dentro do sistema e as informações geradas pelo sistema de acordo com as leis, ordens executivas, diretivas, regulamentos, políticas, padrões, diretrizes e requisitos operacionais aplicáveis. | Para ajudar nos processos de backup de dados, garanta que seus clusters do Amazon Redshift tenham snapshots automatizados. Quando os instantâneos automatizados são habilitados para um cluster, o Redshift tira instantâneos desse cluster periodicamente. Por padrão, o Redshift tira um instantâneo a cada oito horas ou a cada 5 GB por nó de alterações de dados, ou o que ocorrer primeiro. | |
| SI-12: Gerenciamento e retenção de informações | Gerencie e retenha as informações dentro do sistema e as informações geradas pelo sistema de acordo com as leis, ordens executivas, diretivas, regulamentos, políticas, padrões, diretrizes e requisitos operacionais aplicáveis. | Para ajudar nos processos de backup de dados, garanta que seus recursos do Amazon Aurora sejam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| SI-12: Gerenciamento e retenção de informações | Gerencie e retenha as informações dentro do sistema e as informações geradas pelo sistema de acordo com as leis, ordens executivas, diretivas, regulamentos, políticas, padrões, diretrizes e requisitos operacionais aplicáveis. | Para ajudar nos processos de backup de dados, garanta queAWSO plano de backup está definido para uma frequência e retenção mínimas.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. Essa regra permite que você defina orequiredFrequencyValue(Configuração padrão: 1),requiredRetentionDays(Configuração padrão: 35) erequiredFrequencyUnit(Padrão de configuração: dias) parâmetros. O valor real deve refletir os requisitos de sua organização. | |
| SI-12: Gerenciamento e retenção de informações | Gerencie e retenha as informações dentro do sistema e as informações geradas pelo sistema de acordo com as leis, ordens executivas, diretivas, regulamentos, políticas, padrões, diretrizes e requisitos operacionais aplicáveis. | Certifique-se de que seuAWSOs pontos de recuperação de backup têm uma política anexada baseada em recursos que impede a exclusão dos pontos de recuperação. O uso de uma política baseada em recursos para evitar a exclusão dos pontos de recuperação pode ajudar a evitar a exclusão acidental ou intencional. | |
| SI-12: Gerenciamento e retenção de informações | Gerencie e retenha as informações dentro do sistema e as informações geradas pelo sistema de acordo com as leis, ordens executivas, diretivas, regulamentos, políticas, padrões, diretrizes e requisitos operacionais aplicáveis. | Para ajudar nos processos de backup de dados, garanta queAWSOs pontos de recuperação de backup têm um período mínimo de retenção definido.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. Essa regra permite que você defina orequiredRetentionDays(padrão de configuração: 35) parâmetro. O valor real deve refletir os requisitos de sua organização. | |
| SI-12: Gerenciamento e retenção de informações | Gerencie e retenha as informações dentro do sistema e as informações geradas pelo sistema de acordo com as leis, ordens executivas, diretivas, regulamentos, políticas, padrões, diretrizes e requisitos operacionais aplicáveis. | Certifique-se de que as políticas de ciclo de vida do Amazon S3 estejam configuradas para ajudar a definir as ações que você deseja que o Amazon S3 realize durante a vida útil de um objeto (por exemplo, fazer a transição de objetos para outra classe de armazenamento, arquivá-los ou excluí-los após um período de tempo especificado). | |
| SI-12: Gerenciamento e retenção de informações | Gerencie e retenha as informações dentro do sistema e as informações geradas pelo sistema de acordo com as leis, ordens executivas, diretivas, regulamentos, políticas, padrões, diretrizes e requisitos operacionais aplicáveis. | Certifique-se de que as políticas de ciclo de vida do Amazon S3 estejam configuradas para ajudar a definir as ações que você deseja que o Amazon S3 realize durante a vida útil de um objeto (por exemplo, fazer a transição de objetos para outra classe de armazenamento, arquivá-los ou excluí-los após um período de tempo especificado). | |
| SI-12: Gerenciamento e retenção de informações | Gerencie e retenha as informações dentro do sistema e as informações geradas pelo sistema de acordo com as leis, ordens executivas, diretivas, regulamentos, políticas, padrões, diretrizes e requisitos operacionais aplicáveis. | O controle de versão do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter várias variantes de um objeto no mesmo bucket do Amazon S3. Use o controle de versão para preservar, recuperar e restaurar todas as versões de cada objeto armazenado em seu bucket do Amazon S3. O controle de versão ajuda você a se recuperar facilmente de ações não intencionais do usuário e falhas de aplicativos. | |
| SI-12: Gerenciamento e retenção de informações | Gerencie e retenha as informações dentro do sistema e as informações geradas pelo sistema de acordo com as leis, ordens executivas, diretivas, regulamentos, políticas, padrões, diretrizes e requisitos operacionais aplicáveis. | Certifique-se de que seu bucket do Amazon Simple Storage Service (Amazon S3) tenha o bloqueio ativado, por padrão. Como dados confidenciais podem existir em repouso nos buckets do S3, aplique bloqueios de objetos em repouso para ajudar a proteger esses dados. |
Modelo
O modelo está disponível emGitHub:Melhores práticas operacionais para o IRS 1075
