As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Melhores práticas operacionais para o NIST 800 181
Os pacotes de conformidade fornecem uma estrutura de conformidade de uso geral projetada para permitir que você crie verificações de governança de segurança, operacionais ou de otimização de custos usando controles gerenciados ou personalizadosAWS Configregras eAWS Configações de remediação. Os pacotes de conformidade, como modelos de exemplo, não foram projetados para garantir totalmente a conformidade com um padrão específico de governança ou conformidade. Você é responsável por fazer sua própria avaliação sobre se o uso dos Serviços atende aos requisitos legais e regulamentares aplicáveis.
O seguinte fornece um exemplo de mapeamento entre o NIST 800 181 eAWSregras de configuração gerenciadas. Cada regra de configuração se aplica a um específicoAWSrecurso e está relacionado a um ou mais controles do NIST 800 181. Um controle NIST 800 181 pode estar relacionado a várias regras de configuração. Consulte a tabela abaixo para obter mais detalhes e orientações relacionadas a esses mapeamentos.
| ID de controle | Descrição do controle | AWSRegra de configuração | Orientação |
|---|---|---|---|
| T0008 | Analise e planeje as mudanças previstas nos requisitos de capacidade de dados. | O escalonamento automático do Amazon DynamoDB usa oAWSServiço de escalonamento automático de aplicativos para ajustar a capacidade de transferência provisionada que responde automaticamente aos padrões reais de tráfego. Isso permite que uma tabela ou um índice secundário global aumente sua capacidade de leitura/gravação provisionada para lidar com aumentos repentinos no tráfego, sem limitação. | |
| T0008 | Analise e planeje as mudanças previstas nos requisitos de capacidade de dados. | Para ajudar nos processos de backup de dados, garanta que suas tabelas do Amazon DynamoDB façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| T0008 | Analise e planeje as mudanças previstas nos requisitos de capacidade de dados. | Ative essa regra para verificar se as informações foram copiadas. Ele também mantém os backups, garantindo quepoint-in-timea recuperação está habilitada no Amazon DynamoDB. A recuperação mantém backups contínuos de sua tabela nos últimos 35 dias. | |
| T0008 | Analise e planeje as mudanças previstas nos requisitos de capacidade de dados. | Ative essa regra para garantir que a capacidade de taxa de transferência provisionada seja verificada em suas tabelas do Amazon DynamoDB. Essa é a quantidade de atividade de leitura/gravação que cada tabela pode suportar. O DynamoDB usa essas informações para reservar recursos suficientes do sistema para atender aos seus requisitos de throughput. Essa regra gera um alerta quando a taxa de transferência se aproxima do limite máximo da conta de um cliente. Essa regra permite que você defina opcionalmente AccountRCUThresholdPercentage(Configuração padrão: 80) e AccountWCUThresholdPercentage(Padrão de configuração: 80) parâmetros. Os valores reais devem refletir as políticas da sua organização. | |
| T0008 | Analise e planeje as mudanças previstas nos requisitos de capacidade de dados. | Para ajudar nos processos de backup de dados, garanta que seus volumes do Amazon Elastic Block Store (Amazon EBS) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| T0008 | Analise e planeje as mudanças previstas nos requisitos de capacidade de dados. | Para ajudar nos processos de backup de dados, garanta que seus sistemas de arquivos do Amazon Elastic File System (Amazon EFS) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| T0008 | Analise e planeje as mudanças previstas nos requisitos de capacidade de dados. | Quando os backups automáticos estão habilitados, a AmazonElastiCachecria um backup do cluster diariamente. O backup pode ser retido por alguns dias, conforme especificado pela sua organização. Os backups automáticos podem ajudar a proteger contra a perda de dados. Se ocorrer uma falha, você poderá criar um novo cluster, que restaura seus dados do backup mais recente. | |
| T0008 | Analise e planeje as mudanças previstas nos requisitos de capacidade de dados. | Habilite o balanceamento de carga entre zonas para seus Elastic Load Balancers (ELBs) para ajudar a manter a capacidade e a disponibilidade adequadas. O balanceamento de carga entre zonas reduz a necessidade de manter números equivalentes de instâncias em cada zona de disponibilidade ativada. Também melhora a capacidade do seu aplicativo de lidar com a perda de uma ou mais instâncias. | |
| T0008 | Analise e planeje as mudanças previstas nos requisitos de capacidade de dados. | Para ajudar nos processos de backup de dados, garanta que suas instâncias do Amazon Relational Database Service (Amazon RDS) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| T0008 | Analise e planeje as mudanças previstas nos requisitos de capacidade de dados. | O suporte Multi-AZ no Amazon Relational Database Service (Amazon RDS) oferece maior disponibilidade e durabilidade para instâncias de banco de dados. Quando você provisiona uma instância de banco de dados Multi-AZ, o Amazon RDS cria automaticamente uma instância de banco de dados principal e replica os dados de forma síncrona para uma instância em espera em uma zona de disponibilidade diferente. Cada zona de disponibilidade funciona em sua própria infraestrutura fisicamente distinta e independente e foi projetada para ser altamente confiável. No caso de uma falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído. | |
| T0008 | Analise e planeje as mudanças previstas nos requisitos de capacidade de dados. | Para ajudar nos processos de backup de dados, garanta que seus clusters do Amazon Redshift tenham snapshots automatizados. Quando os instantâneos automatizados são habilitados para um cluster, o Redshift tira instantâneos desse cluster periodicamente. Por padrão, o Redshift tira um instantâneo a cada oito horas ou a cada 5 GB por nó de alterações de dados, ou o que ocorrer primeiro. | |
| T0008 | Analise e planeje as mudanças previstas nos requisitos de capacidade de dados. | A replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) suporta a manutenção de capacidade e disponibilidade adequadas. A CRR permite a cópia automática e assíncrona de objetos em buckets do Amazon S3 para ajudar a garantir que a disponibilidade dos dados seja mantida. | |
| T0008 | Analise e planeje as mudanças previstas nos requisitos de capacidade de dados. | Para ajudar nos processos de backup de dados, garanta queAWSO plano de backup está definido para uma frequência e retenção mínimas.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. Essa regra permite que você defina orequiredFrequencyValue(Configuração padrão: 1),requiredRetentionDays(Configuração padrão: 35) erequiredFrequencyUnit(Padrão de configuração: dias) parâmetros. O valor real deve refletir os requisitos de sua organização. | |
| T0008 | Analise e planeje as mudanças previstas nos requisitos de capacidade de dados. | Para ajudar nos processos de backup de dados, garanta que seus recursos do Amazon Elastic Compute Cloud (Amazon EC2) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Garanta que a integridade da rede esteja protegida garantindo que os certificados X509 sejam emitidos porAWSACM. Esses certificados devem ser válidos e não expirados. Essa regra exige um valor paradaysToExpiration(AWSValor das melhores práticas básicas de segurança: 90). O valor real deve refletir as políticas da sua organização. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Para ajudar a proteger os dados em trânsito, certifique-se de que seu Application Load Balancer redirecione automaticamente solicitações HTTP não criptografadas para HTTPS. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja ativada para o cache do estágio do API Gateway. Como dados confidenciais podem ser capturados pelo método da API, ative a criptografia em repouso para ajudar a proteger esses dados. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. Os recursos do EC2 não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus aplicativos ou servidores. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Para ajudar nos processos de backup de dados, garanta queAWSO plano de backup está definido para uma frequência e retenção mínimas.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. Essa regra permite que você defina orequiredFrequencyValue(Configuração padrão: 1),requiredRetentionDays(Configuração padrão: 35) erequiredFrequencyUnit(Padrão de configuração: dias) parâmetros. O valor real deve refletir os requisitos de sua organização. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Certifique-se de que seuAWSOs pontos de recuperação de backup têm uma política anexada baseada em recursos que impede a exclusão dos pontos de recuperação. Usar uma política baseada em recursos para evitar a exclusão de pontos de recuperação pode ajudar a evitar a exclusão acidental ou intencional. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Como podem existir dados confidenciais e, para ajudar a proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seuAWS CloudTrailtrilhas. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | UtilizeAWS CloudTrailvalidação do arquivo de log para verificar a integridade doCloudTrailtroncos. A validação do arquivo de log ajuda a determinar se um arquivo de log foi modificado, excluído ou inalterado apósCloudTrailentregou. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log CloudTrail sem detectar tais ações. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Ative a rotação de chaves para garantir que as chaves sejam giradas quando chegarem ao final do período criptográfico. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | O recurso de backup do Amazon RDS cria backups de seus bancos de dados e registros de transações. O Amazon RDS cria automaticamente um snapshot do volume de armazenamento da sua instância de banco de dados, fazendo backup de toda a instância de banco de dados. O sistema permite que você defina períodos de retenção específicos para atender aos seus requisitos de resiliência. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Gerencie o acesso aoAWSNuvem, garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | O escalonamento automático do Amazon DynamoDB usa oAWSServiço de escalonamento automático de aplicativos para ajustar a capacidade de transferência provisionada que responde automaticamente aos padrões reais de tráfego. Isso permite que uma tabela ou um índice secundário global aumente sua capacidade de leitura/gravação provisionada para lidar com aumentos repentinos no tráfego, sem limitação. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Ative essa regra para verificar se as informações foram copiadas. Ele também mantém os backups, garantindo quepoint-in-timea recuperação está habilitada no Amazon DynamoDB. A recuperação mantém backups contínuos de sua tabela nos últimos 35 dias. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Para ajudar nos processos de backup de dados, garanta que seus volumes do Amazon Elastic Block Store (Amazon EBS) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Gerencie o acesso aoAWSNuvem garantindo que os snapshots do EBS não possam ser restaurados publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Para ajudar a proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seus volumes do Amazon Elastic Block Store (Amazon EBS). Como dados confidenciais podem existir em repouso nesses volumes, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Gerencie o acesso aoAWSNuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Para ajudar nos processos de backup de dados, garanta que seus recursos do Amazon Elastic Compute Cloud (Amazon EC2) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seu Amazon Elastic File System (EFS). | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Para ajudar nos processos de backup de dados, garanta que seus sistemas de arquivos do Amazon Elastic File System (Amazon EFS) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Quando os backups automáticos estão habilitados, a AmazonElastiCachecria um backup do cluster diariamente. O backup pode ser retido por alguns dias, conforme especificado pela sua organização. Os backups automáticos podem ajudar a proteger contra a perda de dados. Se ocorrer uma falha, você poderá criar um novo cluster, que restaura seus dados do backup mais recente. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para sua AmazonOpenSearchServiço (OpenSearchDomínios de serviço (). | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Garantanode-to-nodecriptografia para AmazonOpenSearchO serviço está habilitado. Node-to-nodea criptografia permite a criptografia TLS 1.2 para todas as comunicações dentro da Amazon Virtual Private Cloud (Amazon VPC). Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em trânsito, garanta que a criptografia esteja habilitada para seu Elastic Load Balancing. UseAWSGerenciador de certificados para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados comAWSserviços e recursos internos. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em trânsito, garanta que a criptografia esteja habilitada para seu Elastic Load Balancing. UseAWSGerenciador de certificados para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados comAWSserviços e recursos internos. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Habilite o balanceamento de carga entre zonas para seus Elastic Load Balancers (ELBs) para ajudar a manter a capacidade e a disponibilidade adequadas. O balanceamento de carga entre zonas reduz a necessidade de manter números equivalentes de instâncias em cada zona de disponibilidade ativada. Também melhora a capacidade do seu aplicativo de lidar com a perda de uma ou mais instâncias. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Essa regra garante que o Elastic Load Balancing tenha a proteção contra exclusão ativada. Use esse recurso para evitar que seu balanceador de carga seja excluído acidental ou maliciosamente, o que pode levar à perda de disponibilidade de seus aplicativos. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Certifique-se de que seus Elastic Load Balancers (ELBs) estejam configurados com ouvintes SSL ou HTTPS. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Gerencie o acesso aoAWSNuvem, garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seus volumes do Amazon Elastic Block Store (Amazon EBS). | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Para ajudar a proteger os dados em repouso, certifique-se de que as chaves mestras do cliente (CMKs) necessárias não estejam programadas para exclusão noAWSServiço de gerenciamento de chaves (AWSKMS). Como a exclusão da chave às vezes é necessária, essa regra pode ajudar a verificar todas as chaves programadas para exclusão, caso uma chave tenha sido agendada sem querer. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Gerencie o acesso aos recursos noAWSNuvem, garantindoAWSAs funções do Lambda não podem ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seus domínios do Amazon Elasticsearch Service (Amazon ES). | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Garantanode-to-nodecriptografia para AmazonOpenSearchO serviço está habilitado. Node-to-nodea criptografia permite a criptografia TLS 1.2 para todas as comunicações dentro da Amazon Virtual Private Cloud (Amazon VPC). Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) tenham a proteção contra exclusão ativada. Use a proteção contra exclusão para evitar que suas instâncias do Amazon RDS sejam excluídas acidentalmente ou maliciosamente, o que pode levar à perda de disponibilidade de seus aplicativos. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Para ajudar nos processos de backup de dados, garanta que suas instâncias do Amazon Relational Database Service (Amazon RDS) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | O suporte Multi-AZ no Amazon Relational Database Service (Amazon RDS) oferece maior disponibilidade e durabilidade para instâncias de banco de dados. Quando você provisiona uma instância de banco de dados Multi-AZ, o Amazon RDS cria automaticamente uma instância de banco de dados principal e replica os dados de forma síncrona para uma instância em espera em uma zona de disponibilidade diferente. Cada zona de disponibilidade funciona em sua própria infraestrutura fisicamente distinta e independente e foi projetada para ser altamente confiável. No caso de uma falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Certifique-se de que a criptografia esteja habilitada para seus snapshots do Amazon Relational Database Service (Amazon RDS). Como dados confidenciais podem existir em repouso, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para suas instâncias do Amazon Relational Database Service (Amazon RDS). Como dados confidenciais podem existir em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Para ajudar nos processos de backup de dados, garanta que seus clusters do Amazon Redshift tenham snapshots automatizados. Quando os instantâneos automatizados são habilitados para um cluster, o Redshift tira instantâneos desse cluster periodicamente. Por padrão, o Redshift tira um instantâneo a cada oito horas ou a cada 5 GB por nó de alterações de dados, ou o que ocorrer primeiro. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Para proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seus clusters do Amazon Redshift. Você também deve garantir que as configurações necessárias sejam implantadas nos clusters do Amazon Redshift. O registro de auditoria deve estar habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido paraclusterDbEncrypted(Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). Os valores reais devem refletir as políticas da sua organização. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Certifique-se de que seus clusters do Amazon Redshift exijam criptografia TLS/SSL para se conectar aos clientes SQL. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente oignorePublicAcls(Padrão de configuração: verdadeiro),blockPublicPolicy(Padrão de configuração: verdadeiro),blockPublicAcls(Config Default: True), erestrictPublicBucketsparâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | A replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) suporta a manutenção de capacidade e disponibilidade adequadas. A CRR permite a cópia automática e assíncrona de objetos em buckets do Amazon S3 para ajudar a garantir que a disponibilidade dos dados seja mantida. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a proteger esses dados. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Para ajudar a proteger os dados em trânsito, certifique-se de que seus buckets do Amazon Simple Storage Service (Amazon S3) exijam solicitações para usar o Secure Socket Layer (SSL). Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | O controle de versão do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter várias variantes de um objeto no mesmo bucket do Amazon S3. Use o controle de versão para preservar, recuperar e restaurar todas as versões de cada objeto armazenado em seu bucket do Amazon S3. O controle de versão ajuda você a se recuperar facilmente de ações não intencionais do usuário e falhas de aplicativos. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Certifique-se de que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso em um bucket do Amazon S3, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Para ajudar a proteger os dados em repouso, garanta a criptografia comAWSServiço de gerenciamento de chaves (AWSO KMS) está habilitado para seuSageMakerponto final. Porque dados confidenciais podem existir em repouso noSageMakerendpoint, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Para ajudar a proteger os dados em repouso, garanta a criptografia comAWSServiço de gerenciamento de chaves (AWSO KMS) está habilitado para seuSageMakercaderno. Porque dados confidenciais podem existir em repouso noSageMakernotebook, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | GarantaAWSOs documentos do Systems Manager (SSM) não são públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Túneis VPN redundantes de site a site podem ser implementados para atingir os requisitos de resiliência. Ele usa dois túneis para ajudar a garantir a conectividade caso uma das conexões VPN site a site fique indisponível. Para se proteger contra a perda de conectividade, caso o gateway do cliente fique indisponível, você pode configurar uma segunda conexão VPN site a site com a Amazon Virtual Private Cloud (Amazon VPC) e o gateway privado virtual usando um segundo gateway do cliente. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Certifique-se de que os estágios da API REST do Amazon API Gateway estejam configurados com certificados SSL para permitir que os sistemas de back-end autentiquem que as solicitações são originadas do API Gateway. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Certifique-se de que a criptografia esteja habilitada para seuAWSPontos de recuperação de backup. Como dados confidenciais podem existir em repouso, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Para ajudar a proteger os dados em repouso, garanta a criptografia comAWSServiço de gerenciamento de chaves (AWSO KMS) está habilitado para seu cluster do Amazon Redshift. Como dados confidenciais podem existir em repouso nos clusters do Redshift, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| T0017 | Aplique princípios de arquitetura de segurança orientada a serviços para atender aos requisitos de confidencialidade, integridade e disponibilidade da organização. | Gerencie o acesso aoAWSNuvem garantindo que as sub-redes Amazon Virtual Private Cloud (VPC) não recebam automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são lançadas em sub-redes que têm esse atributo ativado têm um endereço IP público atribuído à sua interface de rede primária. | |
| T0024 | Colete e mantenha os dados necessários para atender aos relatórios de segurança cibernética do sistema. | Garanta que uma duração mínima dos dados do registro de eventos seja mantida para seus grupos de registros para ajudar na solução de problemas e nas investigações forenses. A falta de dados de registros de eventos anteriores disponíveis dificulta a reconstrução e a identificação de eventos potencialmente maliciosos. | |
| T0042 | Coordene com analistas de defesa cibernética para gerenciar e administrar a atualização de regras e assinaturas (por exemplo, sistemas de detecção/proteção de intrusões, antivírus e listas negras de conteúdo) para aplicativos especializados de defesa cibernética. | AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem. | |
| T0047 | Correlacione dados de incidentes para identificar vulnerabilidades específicas e fazer recomendações que permitam uma remediação rápida. | AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem. | |
| T0051 | Defina os níveis apropriados de disponibilidade do sistema com base nas funções críticas do sistema e garanta que os requisitos do sistema identifiquem os requisitos adequados de recuperação de desastres e continuidade das operações para incluir quaisquer requisitos apropriados de failover/local alternativo, requisitos de backup e requisitos de suporte de material para recuperação/restauração do sistema. | Certifique-se de que a criptografia esteja habilitada para seuAWSPontos de recuperação de backup. Como dados confidenciais podem existir em repouso, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| T0051 | Defina os níveis apropriados de disponibilidade do sistema com base nas funções críticas do sistema e garanta que os requisitos do sistema identifiquem os requisitos adequados de recuperação de desastres e continuidade das operações para incluir quaisquer requisitos apropriados de failover/local alternativo, requisitos de backup e requisitos de suporte de material para recuperação/restauração do sistema. | Certifique-se de que seuAWSOs pontos de recuperação de backup têm uma política anexada baseada em recursos que impede a exclusão dos pontos de recuperação. Usar uma política baseada em recursos para evitar a exclusão de pontos de recuperação pode ajudar a evitar a exclusão acidental ou intencional. | |
| T0051 | Defina os níveis apropriados de disponibilidade do sistema com base nas funções críticas do sistema e garanta que os requisitos do sistema identifiquem os requisitos adequados de recuperação de desastres e continuidade das operações para incluir quaisquer requisitos apropriados de failover/local alternativo, requisitos de backup e requisitos de suporte de material para recuperação/restauração do sistema. | O recurso de backup do Amazon RDS cria backups de seus bancos de dados e registros de transações. O Amazon RDS cria automaticamente um snapshot do volume de armazenamento da sua instância de banco de dados, fazendo backup de toda a instância de banco de dados. O sistema permite que você defina períodos de retenção específicos para atender aos seus requisitos de resiliência. | |
| T0051 | Defina os níveis apropriados de disponibilidade do sistema com base nas funções críticas do sistema e garanta que os requisitos do sistema identifiquem os requisitos adequados de recuperação de desastres e continuidade das operações para incluir quaisquer requisitos apropriados de failover/local alternativo, requisitos de backup e requisitos de suporte de material para recuperação/restauração do sistema. | O escalonamento automático do Amazon DynamoDB usa oAWSServiço de escalonamento automático de aplicativos para ajustar a capacidade de transferência provisionada que responde automaticamente aos padrões reais de tráfego. Isso permite que uma tabela ou um índice secundário global aumente sua capacidade de leitura/gravação provisionada para lidar com aumentos repentinos no tráfego, sem limitação. | |
| T0051 | Defina os níveis apropriados de disponibilidade do sistema com base nas funções críticas do sistema e garanta que os requisitos do sistema identifiquem os requisitos adequados de recuperação de desastres e continuidade das operações para incluir quaisquer requisitos apropriados de failover/local alternativo, requisitos de backup e requisitos de suporte de material para recuperação/restauração do sistema. | Para ajudar nos processos de backup de dados, garanta que suas tabelas do Amazon DynamoDB façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| T0051 | Defina os níveis apropriados de disponibilidade do sistema com base nas funções críticas do sistema e garanta que os requisitos do sistema identifiquem os requisitos adequados de recuperação de desastres e continuidade das operações para incluir quaisquer requisitos apropriados de failover/local alternativo, requisitos de backup e requisitos de suporte de material para recuperação/restauração do sistema. | Ative essa regra para verificar se as informações foram copiadas. Ele também mantém os backups, garantindo quepoint-in-timea recuperação está habilitada no Amazon DynamoDB. A recuperação mantém backups contínuos de sua tabela nos últimos 35 dias. | |
| T0051 | Defina os níveis apropriados de disponibilidade do sistema com base nas funções críticas do sistema e garanta que os requisitos do sistema identifiquem os requisitos adequados de recuperação de desastres e continuidade das operações para incluir quaisquer requisitos apropriados de failover/local alternativo, requisitos de backup e requisitos de suporte de material para recuperação/restauração do sistema. | Ative essa regra para garantir que a capacidade de taxa de transferência provisionada seja verificada em suas tabelas do Amazon DynamoDB. Essa é a quantidade de atividade de leitura/gravação que cada tabela pode suportar. O DynamoDB usa essas informações para reservar recursos suficientes do sistema para atender aos seus requisitos de throughput. Essa regra gera um alerta quando a taxa de transferência se aproxima do limite máximo da conta de um cliente. Essa regra permite que você defina opcionalmente AccountRCUThresholdPercentage(Configuração padrão: 80) e AccountWCUThresholdPercentage(Padrão de configuração: 80) parâmetros. Os valores reais devem refletir as políticas da sua organização. | |
| T0051 | Defina os níveis apropriados de disponibilidade do sistema com base nas funções críticas do sistema e garanta que os requisitos do sistema identifiquem os requisitos adequados de recuperação de desastres e continuidade das operações para incluir quaisquer requisitos apropriados de failover/local alternativo, requisitos de backup e requisitos de suporte de material para recuperação/restauração do sistema. | Para ajudar nos processos de backup de dados, garanta que seus volumes do Amazon Elastic Block Store (Amazon EBS) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| T0051 | Defina os níveis apropriados de disponibilidade do sistema com base nas funções críticas do sistema e garanta que os requisitos do sistema identifiquem os requisitos adequados de recuperação de desastres e continuidade das operações para incluir quaisquer requisitos apropriados de failover/local alternativo, requisitos de backup e requisitos de suporte de material para recuperação/restauração do sistema. | Para ajudar nos processos de backup de dados, garanta que seus sistemas de arquivos do Amazon Elastic File System (Amazon EFS) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| T0051 | Defina os níveis apropriados de disponibilidade do sistema com base nas funções críticas do sistema e garanta que os requisitos do sistema identifiquem os requisitos adequados de recuperação de desastres e continuidade das operações para incluir quaisquer requisitos apropriados de failover/local alternativo, requisitos de backup e requisitos de suporte de material para recuperação/restauração do sistema. | Quando os backups automáticos estão habilitados, a AmazonElastiCachecria um backup do cluster diariamente. O backup pode ser retido por alguns dias, conforme especificado pela sua organização. Os backups automáticos podem ajudar a proteger contra a perda de dados. Se ocorrer uma falha, você poderá criar um novo cluster, que restaura seus dados do backup mais recente. | |
| T0051 | Defina os níveis apropriados de disponibilidade do sistema com base nas funções críticas do sistema e garanta que os requisitos do sistema identifiquem os requisitos adequados de recuperação de desastres e continuidade das operações para incluir quaisquer requisitos apropriados de failover/local alternativo, requisitos de backup e requisitos de suporte de material para recuperação/restauração do sistema. | Habilite o balanceamento de carga entre zonas para seus Elastic Load Balancers (ELBs) para ajudar a manter a capacidade e a disponibilidade adequadas. O balanceamento de carga entre zonas reduz a necessidade de manter números equivalentes de instâncias em cada zona de disponibilidade ativada. Também melhora a capacidade do seu aplicativo de lidar com a perda de uma ou mais instâncias. | |
| T0051 | Defina os níveis apropriados de disponibilidade do sistema com base nas funções críticas do sistema e garanta que os requisitos do sistema identifiquem os requisitos adequados de recuperação de desastres e continuidade das operações para incluir quaisquer requisitos apropriados de failover/local alternativo, requisitos de backup e requisitos de suporte de material para recuperação/restauração do sistema. | Essa regra garante que o Elastic Load Balancing tenha a proteção contra exclusão ativada. Use esse recurso para evitar que seu balanceador de carga seja excluído acidental ou maliciosamente, o que pode levar à perda de disponibilidade de seus aplicativos. | |
| T0051 | Defina os níveis apropriados de disponibilidade do sistema com base nas funções críticas do sistema e garanta que os requisitos do sistema identifiquem os requisitos adequados de recuperação de desastres e continuidade das operações para incluir quaisquer requisitos apropriados de failover/local alternativo, requisitos de backup e requisitos de suporte de material para recuperação/restauração do sistema. | Garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) tenham a proteção contra exclusão ativada. Use a proteção contra exclusão para evitar que suas instâncias do Amazon RDS sejam excluídas acidentalmente ou maliciosamente, o que pode levar à perda de disponibilidade de seus aplicativos. | |
| T0051 | Defina os níveis apropriados de disponibilidade do sistema com base nas funções críticas do sistema e garanta que os requisitos do sistema identifiquem os requisitos adequados de recuperação de desastres e continuidade das operações para incluir quaisquer requisitos apropriados de failover/local alternativo, requisitos de backup e requisitos de suporte de material para recuperação/restauração do sistema. | Para ajudar nos processos de backup de dados, garanta que suas instâncias do Amazon Relational Database Service (Amazon RDS) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| T0051 | Defina os níveis apropriados de disponibilidade do sistema com base nas funções críticas do sistema e garanta que os requisitos do sistema identifiquem os requisitos adequados de recuperação de desastres e continuidade das operações para incluir quaisquer requisitos apropriados de failover/local alternativo, requisitos de backup e requisitos de suporte de material para recuperação/restauração do sistema. | O suporte Multi-AZ no Amazon Relational Database Service (Amazon RDS) oferece maior disponibilidade e durabilidade para instâncias de banco de dados. Quando você provisiona uma instância de banco de dados Multi-AZ, o Amazon RDS cria automaticamente uma instância de banco de dados principal e replica os dados de forma síncrona para uma instância em espera em uma zona de disponibilidade diferente. Cada zona de disponibilidade funciona em sua própria infraestrutura fisicamente distinta e independente e foi projetada para ser altamente confiável. No caso de uma falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído. | |
| T0051 | Defina os níveis apropriados de disponibilidade do sistema com base nas funções críticas do sistema e garanta que os requisitos do sistema identifiquem os requisitos adequados de recuperação de desastres e continuidade das operações para incluir quaisquer requisitos apropriados de failover/local alternativo, requisitos de backup e requisitos de suporte de material para recuperação/restauração do sistema. | Para ajudar nos processos de backup de dados, garanta que seus clusters do Amazon Redshift tenham snapshots automatizados. Quando os instantâneos automatizados são habilitados para um cluster, o Redshift tira instantâneos desse cluster periodicamente. Por padrão, o Redshift tira um instantâneo a cada oito horas ou a cada 5 GB por nó de alterações de dados, ou o que ocorrer primeiro. | |
| T0051 | Defina os níveis apropriados de disponibilidade do sistema com base nas funções críticas do sistema e garanta que os requisitos do sistema identifiquem os requisitos adequados de recuperação de desastres e continuidade das operações para incluir quaisquer requisitos apropriados de failover/local alternativo, requisitos de backup e requisitos de suporte de material para recuperação/restauração do sistema. | A replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) suporta a manutenção de capacidade e disponibilidade adequadas. A CRR permite a cópia automática e assíncrona de objetos em buckets do Amazon S3 para ajudar a garantir que a disponibilidade dos dados seja mantida. | |
| T0051 | Defina os níveis apropriados de disponibilidade do sistema com base nas funções críticas do sistema e garanta que os requisitos do sistema identifiquem os requisitos adequados de recuperação de desastres e continuidade das operações para incluir quaisquer requisitos apropriados de failover/local alternativo, requisitos de backup e requisitos de suporte de material para recuperação/restauração do sistema. | O controle de versão do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter várias variantes de um objeto no mesmo bucket do Amazon S3. Use o controle de versão para preservar, recuperar e restaurar todas as versões de cada objeto armazenado em seu bucket do Amazon S3. O controle de versão ajuda você a se recuperar facilmente de ações não intencionais do usuário e falhas de aplicativos. | |
| T0051 | Defina os níveis apropriados de disponibilidade do sistema com base nas funções críticas do sistema e garanta que os requisitos do sistema identifiquem os requisitos adequados de recuperação de desastres e continuidade das operações para incluir quaisquer requisitos apropriados de failover/local alternativo, requisitos de backup e requisitos de suporte de material para recuperação/restauração do sistema. | Túneis VPN redundantes de site a site podem ser implementados para atingir os requisitos de resiliência. Ele usa dois túneis para ajudar a garantir a conectividade caso uma das conexões VPN site a site fique indisponível. Para se proteger contra a perda de conectividade, caso o gateway do cliente fique indisponível, você pode configurar uma segunda conexão VPN site a site com a Amazon Virtual Private Cloud (Amazon VPC) e o gateway privado virtual usando um segundo gateway do cliente. | |
| T0051 | Defina os níveis apropriados de disponibilidade do sistema com base nas funções críticas do sistema e garanta que os requisitos do sistema identifiquem os requisitos adequados de recuperação de desastres e continuidade das operações para incluir quaisquer requisitos apropriados de failover/local alternativo, requisitos de backup e requisitos de suporte de material para recuperação/restauração do sistema. | Para ajudar nos processos de backup de dados, garanta queAWSO plano de backup está definido para uma frequência e retenção mínimas.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. Essa regra permite que você defina orequiredFrequencyValue(Configuração padrão: 1),requiredRetentionDays(Configuração padrão: 35) erequiredFrequencyUnit(Padrão de configuração: dias) parâmetros. O valor real deve refletir os requisitos de sua organização. | |
| T0051 | Defina os níveis apropriados de disponibilidade do sistema com base nas funções críticas do sistema e garanta que os requisitos do sistema identifiquem os requisitos adequados de recuperação de desastres e continuidade das operações para incluir quaisquer requisitos apropriados de failover/local alternativo, requisitos de backup e requisitos de suporte de material para recuperação/restauração do sistema. | Para ajudar nos processos de backup de dados, garanta que seus recursos do Amazon Elastic Compute Cloud (Amazon EC2) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| T0065 | Desenvolva e implemente procedimentos de backup e recuperação de rede. | Para ajudar nos processos de backup de dados, garanta queAWSO plano de backup está definido para uma frequência e retenção mínimas.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. Essa regra permite que você defina orequiredFrequencyValue(Configuração padrão: 1),requiredRetentionDays(Configuração padrão: 35) erequiredFrequencyUnit(Padrão de configuração: dias) parâmetros. O valor real deve refletir os requisitos de sua organização. | |
| T0065 | Desenvolva e implemente procedimentos de backup e recuperação de rede. | Certifique-se de que a criptografia esteja habilitada para seuAWSPontos de recuperação de backup. Como dados confidenciais podem existir em repouso, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| T0065 | Desenvolva e implemente procedimentos de backup e recuperação de rede. | Certifique-se de que seuAWSOs pontos de recuperação de backup têm uma política anexada baseada em recursos que impede a exclusão dos pontos de recuperação. Usar uma política baseada em recursos para evitar a exclusão de pontos de recuperação pode ajudar a evitar a exclusão acidental ou intencional. | |
| T0065 | Desenvolva e implemente procedimentos de backup e recuperação de rede. | O escalonamento automático do Amazon DynamoDB usa oAWSServiço de escalonamento automático de aplicativos para ajustar a capacidade de transferência provisionada que responde automaticamente aos padrões reais de tráfego. Isso permite que uma tabela ou um índice secundário global aumente sua capacidade de leitura/gravação provisionada para lidar com aumentos repentinos no tráfego, sem limitação. | |
| T0065 | Desenvolva e implemente procedimentos de backup e recuperação de rede. | Para ajudar nos processos de backup de dados, garanta que suas tabelas do Amazon DynamoDB façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| T0065 | Desenvolva e implemente procedimentos de backup e recuperação de rede. | Para ajudar nos processos de backup de dados, garanta que seus volumes do Amazon Elastic Block Store (Amazon EBS) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| T0065 | Desenvolva e implemente procedimentos de backup e recuperação de rede. | Para ajudar nos processos de backup de dados, garanta que seus recursos do Amazon Elastic Compute Cloud (Amazon EC2) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| T0065 | Desenvolva e implemente procedimentos de backup e recuperação de rede. | Para ajudar nos processos de backup de dados, garanta que seus sistemas de arquivos do Amazon Elastic File System (Amazon EFS) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| T0065 | Desenvolva e implemente procedimentos de backup e recuperação de rede. | Habilite o balanceamento de carga entre zonas para seus Elastic Load Balancers (ELBs) para ajudar a manter a capacidade e a disponibilidade adequadas. O balanceamento de carga entre zonas reduz a necessidade de manter números equivalentes de instâncias em cada zona de disponibilidade ativada. Também melhora a capacidade do seu aplicativo de lidar com a perda de uma ou mais instâncias. | |
| T0065 | Desenvolva e implemente procedimentos de backup e recuperação de rede. | Essa regra garante que o Elastic Load Balancing tenha a proteção contra exclusão ativada. Use esse recurso para evitar que seu balanceador de carga seja excluído acidental ou maliciosamente, o que pode levar à perda de disponibilidade de seus aplicativos. | |
| T0065 | Desenvolva e implemente procedimentos de backup e recuperação de rede. | Garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) tenham a proteção contra exclusão ativada. Use a proteção contra exclusão para evitar que suas instâncias do Amazon RDS sejam excluídas acidentalmente ou maliciosamente, o que pode levar à perda de disponibilidade de seus aplicativos. | |
| T0065 | Desenvolva e implemente procedimentos de backup e recuperação de rede. | Para ajudar nos processos de backup de dados, garanta que suas instâncias do Amazon Relational Database Service (Amazon RDS) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| T0065 | Desenvolva e implemente procedimentos de backup e recuperação de rede. | O suporte Multi-AZ no Amazon Relational Database Service (Amazon RDS) oferece maior disponibilidade e durabilidade para instâncias de banco de dados. Quando você provisiona uma instância de banco de dados Multi-AZ, o Amazon RDS cria automaticamente uma instância de banco de dados principal e replica os dados de forma síncrona para uma instância em espera em uma zona de disponibilidade diferente. Cada zona de disponibilidade funciona em sua própria infraestrutura fisicamente distinta e independente e foi projetada para ser altamente confiável. No caso de uma falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído. | |
| T0065 | Desenvolva e implemente procedimentos de backup e recuperação de rede. | Para ajudar nos processos de backup de dados, garanta que seus clusters do Amazon Redshift tenham snapshots automatizados. Quando os instantâneos automatizados são habilitados para um cluster, o Redshift tira instantâneos desse cluster periodicamente. Por padrão, o Redshift tira um instantâneo a cada oito horas ou a cada 5 GB por nó de alterações de dados, ou o que ocorrer primeiro. | |
| T0065 | Desenvolva e implemente procedimentos de backup e recuperação de rede. | Túneis VPN redundantes de site a site podem ser implementados para atingir os requisitos de resiliência. Ele usa dois túneis para ajudar a garantir a conectividade caso uma das conexões VPN site a site fique indisponível. Para se proteger contra a perda de conectividade, caso o gateway do cliente fique indisponível, você pode configurar uma segunda conexão VPN site a site com a Amazon Virtual Private Cloud (Amazon VPC) e o gateway privado virtual usando um segundo gateway do cliente. | |
| T0065 | Desenvolva e implemente procedimentos de backup e recuperação de rede. | O recurso de backup do Amazon RDS cria backups de seus bancos de dados e registros de transações. O Amazon RDS cria automaticamente um snapshot do volume de armazenamento da sua instância de banco de dados, fazendo backup de toda a instância de banco de dados. O sistema permite que você defina períodos de retenção específicos para atender aos seus requisitos de resiliência. | |
| T0065 | Desenvolva e implemente procedimentos de backup e recuperação de rede. | Ative essa regra para verificar se as informações foram copiadas. Ele também mantém os backups, garantindo quepoint-in-timea recuperação está habilitada no Amazon DynamoDB. A recuperação mantém backups contínuos de sua tabela nos últimos 35 dias. | |
| T0065 | Desenvolva e implemente procedimentos de backup e recuperação de rede. | Quando os backups automáticos estão habilitados, a AmazonElastiCachecria um backup do cluster diariamente. O backup pode ser retido por alguns dias, conforme especificado pela sua organização. Os backups automáticos podem ajudar a proteger contra a perda de dados. Se ocorrer uma falha, você poderá criar um novo cluster, que restaura seus dados do backup mais recente. | |
| T0065 | Desenvolva e implemente procedimentos de backup e recuperação de rede. | Essa regra garante que os clusters do Amazon Redshift tenham as configurações preferenciais para sua organização. Especificamente, que eles têm janelas de manutenção preferidas e períodos automatizados de retenção de instantâneos para o banco de dados. Essa regra exige que você defina oallowVersionUpgrade. O padrão é verdadeiro. Também permite que você defina opcionalmente opreferredMaintenanceWindow(o padrão é sáb: 16:00 -sáb: 16:30), e oautomatedSnapshotRetentionPeríodo (o padrão é 1). Os valores reais devem refletir as políticas da sua organização. | |
| T0065 | Desenvolva e implemente procedimentos de backup e recuperação de rede. | A replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) suporta a manutenção de capacidade e disponibilidade adequadas. A CRR permite a cópia automática e assíncrona de objetos em buckets do Amazon S3 para ajudar a garantir que a disponibilidade dos dados seja mantida. | |
| T0065 | Desenvolva e implemente procedimentos de backup e recuperação de rede. | O controle de versão do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter várias variantes de um objeto no mesmo bucket do Amazon S3. Use o controle de versão para preservar, recuperar e restaurar todas as versões de cada objeto armazenado em seu bucket do Amazon S3. O controle de versão ajuda você a se recuperar facilmente de ações não intencionais do usuário e falhas de aplicativos. | |
| T0070 | Desenvolva planos de recuperação de desastres e continuidade de operações para sistemas em desenvolvimento e garanta testes antes de os sistemas entrarem em um ambiente de produção. | Para ajudar nos processos de backup de dados, garanta queAWSO plano de backup está definido para uma frequência e retenção mínimas.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. Essa regra permite que você defina orequiredFrequencyValue(Configuração padrão: 1),requiredRetentionDays(Configuração padrão: 35) erequiredFrequencyUnit(Padrão de configuração: dias) parâmetros. O valor real deve refletir os requisitos de sua organização. | |
| T0070 | Desenvolva planos de recuperação de desastres e continuidade de operações para sistemas em desenvolvimento e garanta testes antes de os sistemas entrarem em um ambiente de produção. | Certifique-se de que a criptografia esteja habilitada para seuAWSPontos de recuperação de backup. Como dados confidenciais podem existir em repouso, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| T0070 | Desenvolva planos de recuperação de desastres e continuidade de operações para sistemas em desenvolvimento e garanta testes antes de os sistemas entrarem em um ambiente de produção. | Certifique-se de que seuAWSOs pontos de recuperação de backup têm uma política anexada baseada em recursos que impede a exclusão dos pontos de recuperação. Usar uma política baseada em recursos para evitar a exclusão de pontos de recuperação pode ajudar a evitar a exclusão acidental ou intencional. | |
| T0070 | Desenvolva planos de recuperação de desastres e continuidade de operações para sistemas em desenvolvimento e garanta testes antes de os sistemas entrarem em um ambiente de produção. | Para ajudar nos processos de backup de dados, garanta que suas tabelas do Amazon DynamoDB façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| T0070 | Desenvolva planos de recuperação de desastres e continuidade de operações para sistemas em desenvolvimento e garanta testes antes de os sistemas entrarem em um ambiente de produção. | Para ajudar nos processos de backup de dados, garanta que seus volumes do Amazon Elastic Block Store (Amazon EBS) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| T0070 | Desenvolva planos de recuperação de desastres e continuidade de operações para sistemas em desenvolvimento e garanta testes antes de os sistemas entrarem em um ambiente de produção. | Para ajudar nos processos de backup de dados, garanta que seus recursos do Amazon Elastic Compute Cloud (Amazon EC2) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| T0070 | Desenvolva planos de recuperação de desastres e continuidade de operações para sistemas em desenvolvimento e garanta testes antes de os sistemas entrarem em um ambiente de produção. | Para ajudar nos processos de backup de dados, garanta que seus sistemas de arquivos do Amazon Elastic File System (Amazon EFS) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| T0070 | Desenvolva planos de recuperação de desastres e continuidade de operações para sistemas em desenvolvimento e garanta testes antes de os sistemas entrarem em um ambiente de produção. | Habilite o balanceamento de carga entre zonas para seus Elastic Load Balancers (ELBs) para ajudar a manter a capacidade e a disponibilidade adequadas. O balanceamento de carga entre zonas reduz a necessidade de manter números equivalentes de instâncias em cada zona de disponibilidade ativada. Também melhora a capacidade do seu aplicativo de lidar com a perda de uma ou mais instâncias. | |
| T0070 | Desenvolva planos de recuperação de desastres e continuidade de operações para sistemas em desenvolvimento e garanta testes antes de os sistemas entrarem em um ambiente de produção. | Garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) tenham a proteção contra exclusão ativada. Use a proteção contra exclusão para evitar que suas instâncias do Amazon RDS sejam excluídas acidentalmente ou maliciosamente, o que pode levar à perda de disponibilidade de seus aplicativos. | |
| T0070 | Desenvolva planos de recuperação de desastres e continuidade de operações para sistemas em desenvolvimento e garanta testes antes de os sistemas entrarem em um ambiente de produção. | Para ajudar nos processos de backup de dados, garanta que suas instâncias do Amazon Relational Database Service (Amazon RDS) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| T0070 | Desenvolva planos de recuperação de desastres e continuidade de operações para sistemas em desenvolvimento e garanta testes antes de os sistemas entrarem em um ambiente de produção. | Para ajudar nos processos de backup de dados, garanta que seus clusters do Amazon Redshift tenham snapshots automatizados. Quando os instantâneos automatizados são habilitados para um cluster, o Redshift tira instantâneos desse cluster periodicamente. Por padrão, o Redshift tira um instantâneo a cada oito horas ou a cada 5 GB por nó de alterações de dados, ou o que ocorrer primeiro. | |
| T0070 | Desenvolva planos de recuperação de desastres e continuidade de operações para sistemas em desenvolvimento e garanta testes antes de os sistemas entrarem em um ambiente de produção. | O recurso de backup do Amazon RDS cria backups de seus bancos de dados e registros de transações. O Amazon RDS cria automaticamente um snapshot do volume de armazenamento da sua instância de banco de dados, fazendo backup de toda a instância de banco de dados. O sistema permite que você defina períodos de retenção específicos para atender aos seus requisitos de resiliência. | |
| T0070 | Desenvolva planos de recuperação de desastres e continuidade de operações para sistemas em desenvolvimento e garanta testes antes de os sistemas entrarem em um ambiente de produção. | O escalonamento automático do Amazon DynamoDB usa oAWSServiço de escalonamento automático de aplicativos para ajustar a capacidade de transferência provisionada que responde automaticamente aos padrões reais de tráfego. Isso permite que uma tabela ou um índice secundário global aumente sua capacidade de leitura/gravação provisionada para lidar com aumentos repentinos no tráfego, sem limitação. | |
| T0070 | Desenvolva planos de recuperação de desastres e continuidade de operações para sistemas em desenvolvimento e garanta testes antes de os sistemas entrarem em um ambiente de produção. | Ative essa regra para verificar se as informações foram copiadas. Ele também mantém os backups, garantindo quepoint-in-timea recuperação está habilitada no Amazon DynamoDB. A recuperação mantém backups contínuos de sua tabela nos últimos 35 dias. | |
| T0070 | Desenvolva planos de recuperação de desastres e continuidade de operações para sistemas em desenvolvimento e garanta testes antes de os sistemas entrarem em um ambiente de produção. | Quando os backups automáticos estão habilitados, a AmazonElastiCachecria um backup do cluster diariamente. O backup pode ser retido por alguns dias, conforme especificado pela sua organização. Os backups automáticos podem ajudar a proteger contra a perda de dados. Se ocorrer uma falha, você poderá criar um novo cluster, que restaura seus dados do backup mais recente. | |
| T0070 | Desenvolva planos de recuperação de desastres e continuidade de operações para sistemas em desenvolvimento e garanta testes antes de os sistemas entrarem em um ambiente de produção. | Essa regra garante que o Elastic Load Balancing tenha a proteção contra exclusão ativada. Use esse recurso para evitar que seu balanceador de carga seja excluído acidental ou maliciosamente, o que pode levar à perda de disponibilidade de seus aplicativos. | |
| T0070 | Desenvolva planos de recuperação de desastres e continuidade de operações para sistemas em desenvolvimento e garanta testes antes de os sistemas entrarem em um ambiente de produção. | O suporte Multi-AZ no Amazon Relational Database Service (Amazon RDS) oferece maior disponibilidade e durabilidade para instâncias de banco de dados. Quando você provisiona uma instância de banco de dados Multi-AZ, o Amazon RDS cria automaticamente uma instância de banco de dados principal e replica os dados de forma síncrona para uma instância em espera em uma zona de disponibilidade diferente. Cada zona de disponibilidade funciona em sua própria infraestrutura fisicamente distinta e independente e foi projetada para ser altamente confiável. No caso de uma falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído. | |
| T0070 | Desenvolva planos de recuperação de desastres e continuidade de operações para sistemas em desenvolvimento e garanta testes antes de os sistemas entrarem em um ambiente de produção. | A replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) suporta a manutenção de capacidade e disponibilidade adequadas. A CRR permite a cópia automática e assíncrona de objetos em buckets do Amazon S3 para ajudar a garantir que a disponibilidade dos dados seja mantida. | |
| T0070 | Desenvolva planos de recuperação de desastres e continuidade de operações para sistemas em desenvolvimento e garanta testes antes de os sistemas entrarem em um ambiente de produção. | O controle de versão do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter várias variantes de um objeto no mesmo bucket do Amazon S3. Use o controle de versão para preservar, recuperar e restaurar todas as versões de cada objeto armazenado em seu bucket do Amazon S3. O controle de versão ajuda você a se recuperar facilmente de ações não intencionais do usuário e falhas de aplicativos. | |
| T0070 | Desenvolva planos de recuperação de desastres e continuidade de operações para sistemas em desenvolvimento e garanta testes antes de os sistemas entrarem em um ambiente de produção. | Túneis VPN redundantes de site a site podem ser implementados para atingir os requisitos de resiliência. Ele usa dois túneis para ajudar a garantir a conectividade caso uma das conexões VPN site a site fique indisponível. Para se proteger contra a perda de conectividade, caso o gateway do cliente fique indisponível, você pode configurar uma segunda conexão VPN site a site com a Amazon Virtual Private Cloud (Amazon VPC) e o gateway privado virtual usando um segundo gateway do cliente. | |
| T0086 | Garanta que a aplicação de patches de segurança para produtos comerciais integrados ao design do sistema atenda aos prazos ditados pela autoridade de gerenciamento para o ambiente operacional pretendido. | Habilite atualizações automáticas de versões secundárias em suas instâncias do Amazon Relational Database Service (RDS) para garantir que as atualizações secundárias mais recentes do Sistema de Gerenciamento de Banco de Dados Relacional (RDBMS) sejam instaladas, o que pode incluir patches de segurança e correções de erros. | |
| T0086 | Garanta que a aplicação de patches de segurança para produtos comerciais integrados ao design do sistema atenda aos prazos ditados pela autoridade de gerenciamento para o ambiente operacional pretendido. | Ative essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com o patch emAWSGerenciador de sistemas conforme exigido pelas políticas e procedimentos da sua organização. | |
| T0086 | Garanta que a aplicação de patches de segurança para produtos comerciais integrados ao design do sistema atenda aos prazos ditados pela autoridade de gerenciamento para o ambiente operacional pretendido. | A ativação de atualizações gerenciadas de plataforma para um ambiente do Amazon Elastic Beanstalk garante que as últimas correções, atualizações e recursos de plataforma disponíveis para o ambiente sejam instalados. Manter-se atualizado com a instalação de patches é a melhor prática para proteger sistemas. | |
| T0086 | Garanta que a aplicação de patches de segurança para produtos comerciais integrados ao design do sistema atenda aos prazos ditados pela autoridade de gerenciamento para o ambiente operacional pretendido. | Essa regra garante que os clusters do Amazon Redshift tenham as configurações preferenciais para sua organização. Especificamente, que eles têm janelas de manutenção preferidas e períodos automatizados de retenção de instantâneos para o banco de dados. Essa regra exige que você defina oallowVersionUpgrade. O padrão é verdadeiro. Também permite que você defina opcionalmente opreferredMaintenanceWindow(o padrão é sáb: 16:00 -sáb: 16:30), e oautomatedSnapshotRetentionPeríodo (o padrão é 1). Os valores reais devem refletir as políticas da sua organização. | |
| T0110 | Identifique e/ou determine se um incidente de segurança é indicativo de uma violação da lei que exige uma ação legal específica. | AWSO Security Hub ajuda a monitorar pessoal, conexões, dispositivos e software não autorizados.AWS O Security Hub agrega, organiza e prioriza os alertas de segurança, ou descobertas, de váriosAWSserviços. Alguns desses serviços são Amazon Security Hub, Amazon Inspector, Amazon Macie,AWSAnalisador de acesso de gerenciamento de identidade e acesso (IAM) eAWSGerenciador de Firewall eAWSSoluções de parceiros. | |
| T0110 | Identifique e/ou determine se um incidente de segurança é indicativo de uma violação da lei que exige uma ação legal específica. | AmazôniaCloudWatchalertam quando uma métrica ultrapassa o limite de um determinado número de períodos de avaliação. O alarme realiza uma ou mais ações com base no valor da métrica ou na expressão relativa a um limite em alguns períodos. Essa regra exige um valor paraalarmActionRequired(Padrão de configuração: verdadeiro),insufficientDataActionObrigatório (padrão de configuração: verdadeiro),okActionRequired(Padrão de configuração: falso). O valor real deve refletir as ações de alarme do seu ambiente. | |
| T0110 | Identifique e/ou determine se um incidente de segurança é indicativo de uma violação da lei que exige uma ação legal específica. | AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem. | |
| T0128 | Integre recursos automatizados para atualizar ou aplicar patches no software do sistema sempre que possível e desenvolva processos e procedimentos para atualização manual e correção do software do sistema com base nos requisitos atuais e projetados do cronograma de patches para o ambiente operacional do sistema. | Habilite atualizações automáticas de versões secundárias em suas instâncias do Amazon Relational Database Service (RDS) para garantir que as atualizações secundárias mais recentes do Sistema de Gerenciamento de Banco de Dados Relacional (RDBMS) sejam instaladas, o que pode incluir patches de segurança e correções de erros. | |
| T0128 | Integre recursos automatizados para atualizar ou aplicar patches no software do sistema sempre que possível e desenvolva processos e procedimentos para atualização manual e correção do software do sistema com base nos requisitos atuais e projetados do cronograma de patches para o ambiente operacional do sistema. | Ative essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com o patch emAWSGerenciador de sistemas conforme exigido pelas políticas e procedimentos da sua organização. | |
| T0128 | Integre recursos automatizados para atualizar ou aplicar patches no software do sistema sempre que possível e desenvolva processos e procedimentos para atualização manual e correção do software do sistema com base nos requisitos atuais e projetados do cronograma de patches para o ambiente operacional do sistema. | A ativação de atualizações gerenciadas de plataforma para um ambiente do Amazon Elastic Beanstalk garante que as últimas correções, atualizações e recursos de plataforma disponíveis para o ambiente sejam instalados. Manter-se atualizado com a instalação de patches é a melhor prática para proteger sistemas. | |
| T0128 | Integre recursos automatizados para atualizar ou aplicar patches no software do sistema sempre que possível e desenvolva processos e procedimentos para atualização manual e correção do software do sistema com base nos requisitos atuais e projetados do cronograma de patches para o ambiente operacional do sistema. | Essa regra garante que os clusters do Amazon Redshift tenham as configurações preferenciais para sua organização. Especificamente, que eles têm janelas de manutenção preferidas e períodos automatizados de retenção de instantâneos para o banco de dados. Essa regra exige que você defina oallowVersionUpgrade. O padrão é verdadeiro. Também permite que você defina opcionalmente opreferredMaintenanceWindow(o padrão é sáb: 16:00 -sáb: 16:30), e oautomatedSnapshotRetentionPeríodo (o padrão é 1). Os valores reais devem refletir as políticas da sua organização. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | Gerenciamento centralizado deAWScontas dentroAWSAs organizações ajudam a garantir a conformidade das contas. A falta de governança centralizada da conta pode levar a configurações de conta inconsistentes, o que pode expor recursos e dados confidenciais. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | GarantaAWSO WAF está ativado nos Elastic Load Balancers (ELB) para ajudar a proteger aplicativos da web. Um WAF ajuda a proteger seus aplicativos ou APIs da web contra explorações comuns da web. Essas explorações na web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | AWSO WAF permite que você configure um conjunto de regras (chamado de lista de controle de acesso à web (ACL da web)) que permitem, bloqueiam ou contam solicitações da Web com base nas regras e condições de segurança da Web personalizáveis que você define. Certifique-se de que seu estágio do Amazon API Gateway esteja associado a uma WAF Web ACL para protegê-lo contra ataques maliciosos | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. Os recursos do EC2 não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus aplicativos ou servidores. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | Os perfis de instância do EC2 transmitem uma função do IAM para uma instância do EC2. Anexar um perfil de instância às suas instâncias pode ajudar no menor gerenciamento de privilégios e permissões. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | Se uma definição de tarefa tem privilégios elevados, é porque o cliente optou especificamente por essas configurações. Esse controle verifica o aumento inesperado de privilégios quando uma definição de tarefa tem a rede do host habilitada, mas o cliente não optou por privilégios elevados. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política em linha para controlar o acesso a sistemas e ativos.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem reutilização, controle de versão e reversão, além de delegar o gerenciamento de permissões. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | Certifique-se de que as ações do IAM sejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Não permitir tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | Implante instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços dentro da Amazon VPC, sem exigir um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Atribua instâncias do Amazon EC2 a uma Amazon VPC para gerenciar adequadamente o acesso. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | Certifique-se de que as tabelas de rotas do Amazon EC2 não tenham rotas irrestritas para um gateway da Internet. Remover ou limitar o acesso à Internet para cargas de trabalho nas Amazon VPCs pode reduzir o acesso não intencional em seu ambiente. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | O roteamento aprimorado da VPC força todo o tráfego COPY e UNLOAD entre o cluster e os repositórios de dados a passar pelo Amazon VPC. Em seguida, você pode usar os recursos da VPC, como grupos de segurança e listas de controle de acesso à rede, para proteger o tráfego da rede. Você também pode usar os registros de fluxo da VPC para monitorar o tráfego da rede. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente oignorePublicAcls(Padrão de configuração: verdadeiro),blockPublicPolicy(Padrão de configuração: verdadeiro),blockPublicAcls(Config Default: True), erestrictPublicBucketsparâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | GarantaAWSOs documentos do Systems Manager (SSM) não são públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto ao seuAWSrecursos. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | As credenciais são auditadas para dispositivos, usuários e processos autorizados, garantindo que as chaves de acesso do IAM sejam alternadas de acordo com a política organizacional. Alterar as chaves de acesso regularmente é uma prática recomendada de segurança. Isso reduz o período em que uma chave de acesso está ativa e reduz o impacto nos negócios se as chaves forem comprometidas. Essa regra exige um valor de rotação da chave de acesso (padrão de configuração: 90). O valor real deve refletir as políticas da sua organização. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | Gerencie o acesso aoAWSNuvem, garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | Gerencie o acesso aoAWSNuvem garantindo que os snapshots do EBS não possam ser restaurados publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | Gerencie o acesso aoAWSNuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchServiço (OpenSearch(Serviço) Os domínios estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). UmOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entreOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | As permissões e autorizações de acesso podem ser gerenciadas e incorporadas com os princípios de menor privilégio e separação de funções, habilitando o Kerberos para clusters do Amazon EMR. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como principais. Os diretores existem dentro de um reino de Kerberos. Dentro do reino, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para os diretores se autenticarem. O KDC se autentica emitindo tíquetes para autenticação. O KDC mantém um banco de dados das entidades principais dentro do realm, as senhas e outras informações administrativas sobre cada principal. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | Gerencie o acesso aoAWSNuvem, garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todosAWSChaves do serviço de gerenciamento de chaves. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. Essa regra permite que você defina oblockedActionsPatternsparâmetro. (AWSValor fundamental das melhores práticas de segurança: kms:decrypt, kms:ReEncryptFrom). Os valores reais devem refletir as políticas da sua organização | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o mínimo de privilégios. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política embutida para permitir ações bloqueadas em todosAWSChaves do serviço de gerenciamento de chaves.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina oblockedActionsPatternsparâmetro. (AWSValor fundamental das melhores práticas de segurança: kms:decrypt, kms:ReEncryptFrom). Os valores reais devem refletir as políticas da sua organização. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” em vez de “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | O acesso a sistemas e ativos pode ser controlado verificando se o usuário root não tem chaves de acesso anexadas aos seusAWSFunção de gerenciamento de identidade e acesso (IAM). Certifique-se de que as chaves de acesso root sejam excluídas. Em vez disso, crie e use com base em funçõesAWScontas para ajudar a incorporar o princípio da menor funcionalidade. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a restringir as permissões e autorizações de acesso, garantindo que os usuários sejam membros de pelo menos um grupo. Permitir aos usuários mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | Ative essa regra para restringir o acesso aos recursos noAWSNuvem. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção sobre um nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo MFA para os usuários. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | Esta regra garanteAWSAs políticas de gerenciamento de identidade e acesso (IAM) são vinculadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios no nível do grupo ou da função ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período de tempo especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou remover as credenciais, pois isso pode violar o princípio do menor privilégio. Essa regra exige que você defina um valor para omaxCredentialUsageIdade (padrão de configuração: 90). O valor real deve refletir as políticas da sua organização. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | Gerencie o acesso aos recursos noAWSNuvem, garantindoAWSAs funções do Lambda não podem ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | ImplantarAWSO Lambda funciona em uma Amazon Virtual Private Cloud (Amazon VPC) para uma comunicação segura entre uma função e outros serviços dentro da Amazon VPC. Com essa configuração, não há necessidade de um gateway de Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece seguro dentro doAWSNuvem. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Para gerenciar adequadamente o acesso,AWSAs funções lambda devem ser atribuídas a uma VPC. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | Gerencie o acesso aoAWSNuvem garantindo que os domínios do Amazon Elasticsearch Service (Amazon ES) estejam dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon ES em um Amazon VPC permite a comunicação segura entre o Amazon ES e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (padrões de configuração: 20,21,3389,3306,4333). Os valores reais devem refletir as políticas da sua organização. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a AmazonSageMakeros notebooks não permitem acesso direto à internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | Esta regra garanteAWSOs segredos do Secrets Manager têm a rotação ativada. A rotação de segredos em um cronograma regular pode reduzir o período em que um segredo está ativo e, potencialmente, reduzir o impacto nos negócios se o segredo for comprometido. | |
| T0144 | Gerencie contas, direitos de rede e acesso a sistemas e equipamentos. | Gerencie o acesso aoAWSNuvem garantindo que as sub-redes Amazon Virtual Private Cloud (VPC) não recebam automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são lançadas em sub-redes que têm esse atributo ativado têm um endereço IP público atribuído à sua interface de rede primária. | |
| T0151 | Monitore e avalie a eficácia das proteções de segurança cibernética da empresa para garantir que elas forneçam o nível de proteção pretendido. | AWSO Security Hub ajuda a monitorar pessoal, conexões, dispositivos e software não autorizados.AWS O Security Hub agrega, organiza e prioriza os alertas de segurança, ou descobertas, de váriosAWSserviços. Alguns desses serviços são Amazon Security Hub, Amazon Inspector, Amazon Macie,AWSAnalisador de acesso de gerenciamento de identidade e acesso (IAM) eAWSGerenciador de Firewall eAWSSoluções de parceiros. | |
| T0151 | Monitore e avalie a eficácia das proteções de segurança cibernética da empresa para garantir que elas forneçam o nível de proteção pretendido. | AmazôniaCloudWatchalertam quando uma métrica ultrapassa o limite de um determinado número de períodos de avaliação. O alarme realiza uma ou mais ações com base no valor da métrica ou na expressão relativa a um limite em alguns períodos. Essa regra exige um valor paraalarmActionRequired(Padrão de configuração: verdadeiro),insufficientDataActionObrigatório (padrão de configuração: verdadeiro),okActionRequired(Padrão de configuração: falso). O valor real deve refletir as ações de alarme do seu ambiente. | |
| T0151 | Monitore e avalie a eficácia das proteções de segurança cibernética da empresa para garantir que elas forneçam o nível de proteção pretendido. | AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem. | |
| T0152 | Monitore e mantenha bancos de dados para garantir o desempenho ideal. | O recurso de backup do Amazon RDS cria backups de seus bancos de dados e registros de transações. O Amazon RDS cria automaticamente um snapshot do volume de armazenamento da sua instância de banco de dados, fazendo backup de toda a instância de banco de dados. O sistema permite que você defina períodos de retenção específicos para atender aos seus requisitos de resiliência. | |
| T0152 | Monitore e mantenha bancos de dados para garantir o desempenho ideal. | O escalonamento automático do Amazon DynamoDB usa oAWSServiço de escalonamento automático de aplicativos para ajustar a capacidade de transferência provisionada que responde automaticamente aos padrões reais de tráfego. Isso permite que uma tabela ou um índice secundário global aumente sua capacidade de leitura/gravação provisionada para lidar com aumentos repentinos no tráfego, sem limitação. | |
| T0152 | Monitore e mantenha bancos de dados para garantir o desempenho ideal. | Para ajudar nos processos de backup de dados, garanta que suas tabelas do Amazon DynamoDB façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| T0152 | Monitore e mantenha bancos de dados para garantir o desempenho ideal. | Ative essa regra para verificar se as informações foram copiadas. Ele também mantém os backups, garantindo quepoint-in-timea recuperação está habilitada no Amazon DynamoDB. A recuperação mantém backups contínuos de sua tabela nos últimos 35 dias. | |
| T0152 | Monitore e mantenha bancos de dados para garantir o desempenho ideal. | Ative essa regra para garantir que a capacidade de taxa de transferência provisionada seja verificada em suas tabelas do Amazon DynamoDB. Essa é a quantidade de atividade de leitura/gravação que cada tabela pode suportar. O DynamoDB usa essas informações para reservar recursos suficientes do sistema para atender aos seus requisitos de throughput. Essa regra gera um alerta quando a taxa de transferência se aproxima do limite máximo da conta de um cliente. Essa regra permite que você defina opcionalmente AccountRCUThresholdPercentage(Configuração padrão: 80) e AccountWCUThresholdPercentage(Padrão de configuração: 80) parâmetros. Os valores reais devem refletir as políticas da sua organização. | |
| T0152 | Monitore e mantenha bancos de dados para garantir o desempenho ideal. | Habilite atualizações automáticas de versões secundárias em suas instâncias do Amazon Relational Database Service (RDS) para garantir que as atualizações secundárias mais recentes do Sistema de Gerenciamento de Banco de Dados Relacional (RDBMS) sejam instaladas, o que pode incluir patches de segurança e correções de erros. | |
| T0152 | Monitore e mantenha bancos de dados para garantir o desempenho ideal. | Habilite o Amazon Relational Database Service (Amazon RDS) para ajudar a monitorar a disponibilidade do Amazon RDS. Isso fornece visibilidade detalhada da integridade de suas instâncias de banco de dados do Amazon RDS. Quando o armazenamento do Amazon RDS usa mais de um dispositivo físico subjacente, o Enhanced Monitoring coleta os dados de cada dispositivo. Além disso, quando a instância do banco de dados do Amazon RDS está sendo executada em uma implantação Multi-AZ, os dados de cada dispositivo no host secundário são coletados e as métricas do host secundário. | |
| T0152 | Monitore e mantenha bancos de dados para garantir o desempenho ideal. | Garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) tenham a proteção contra exclusão ativada. Use a proteção contra exclusão para evitar que suas instâncias do Amazon RDS sejam excluídas acidentalmente ou maliciosamente, o que pode levar à perda de disponibilidade de seus aplicativos. | |
| T0152 | Monitore e mantenha bancos de dados para garantir o desempenho ideal. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas. | |
| T0152 | Monitore e mantenha bancos de dados para garantir o desempenho ideal. | Para ajudar nos processos de backup de dados, garanta que suas instâncias do Amazon Relational Database Service (Amazon RDS) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| T0152 | Monitore e mantenha bancos de dados para garantir o desempenho ideal. | Para ajudar com o registro e o monitoramento em seu ambiente, certifique-se de que o registro do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| T0152 | Monitore e mantenha bancos de dados para garantir o desempenho ideal. | O suporte Multi-AZ no Amazon Relational Database Service (Amazon RDS) oferece maior disponibilidade e durabilidade para instâncias de banco de dados. Quando você provisiona uma instância de banco de dados Multi-AZ, o Amazon RDS cria automaticamente uma instância de banco de dados principal e replica os dados de forma síncrona para uma instância em espera em uma zona de disponibilidade diferente. Cada zona de disponibilidade funciona em sua própria infraestrutura fisicamente distinta e independente e foi projetada para ser altamente confiável. No caso de uma falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído. | |
| T0152 | Monitore e mantenha bancos de dados para garantir o desempenho ideal. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| T0152 | Monitore e mantenha bancos de dados para garantir o desempenho ideal. | Certifique-se de que a criptografia esteja habilitada para seus snapshots do Amazon Relational Database Service (Amazon RDS). Como dados confidenciais podem existir em repouso, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| T0152 | Monitore e mantenha bancos de dados para garantir o desempenho ideal. | Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para suas instâncias do Amazon Relational Database Service (Amazon RDS). Como dados confidenciais podem existir em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| T0152 | Monitore e mantenha bancos de dados para garantir o desempenho ideal. | Para ajudar nos processos de backup de dados, garanta que seus clusters do Amazon Redshift tenham snapshots automatizados. Quando os instantâneos automatizados são habilitados para um cluster, o Redshift tira instantâneos desse cluster periodicamente. Por padrão, o Redshift tira um instantâneo a cada oito horas ou a cada 5 GB por nó de alterações de dados, ou o que ocorrer primeiro. | |
| T0152 | Monitore e mantenha bancos de dados para garantir o desempenho ideal. | Para proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seus clusters do Amazon Redshift. Você também deve garantir que as configurações necessárias sejam implantadas nos clusters do Amazon Redshift. O registro de auditoria deve estar habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido paraclusterDbEncrypted(Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). Os valores reais devem refletir as políticas da sua organização. | |
| T0152 | Monitore e mantenha bancos de dados para garantir o desempenho ideal. | Essa regra garante que os clusters do Amazon Redshift tenham as configurações preferenciais para sua organização. Especificamente, que eles têm janelas de manutenção preferidas e períodos automatizados de retenção de instantâneos para o banco de dados. Essa regra exige que você defina oallowVersionUpgrade. O padrão é verdadeiro. Também permite que você defina opcionalmente opreferredMaintenanceWindow(o padrão é sáb: 16:00 -sáb: 16:30), e oautomatedSnapshotRetentionPeríodo (o padrão é 1). Os valores reais devem refletir as políticas da sua organização. | |
| T0152 | Monitore e mantenha bancos de dados para garantir o desempenho ideal. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| T0152 | Monitore e mantenha bancos de dados para garantir o desempenho ideal. | O roteamento aprimorado da VPC força todo o tráfego COPY e UNLOAD entre o cluster e os repositórios de dados a passar pelo Amazon VPC. Em seguida, você pode usar os recursos da VPC, como grupos de segurança e listas de controle de acesso à rede, para proteger o tráfego da rede. Você também pode usar os registros de fluxo da VPC para monitorar o tráfego da rede. | |
| T0152 | Monitore e mantenha bancos de dados para garantir o desempenho ideal. | Certifique-se de que seus clusters do Amazon Redshift exijam criptografia TLS/SSL para se conectar aos clientes SQL. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| T0152 | Monitore e mantenha bancos de dados para garantir o desempenho ideal. | Para ajudar a proteger os dados em repouso, garanta a criptografia comAWSServiço de gerenciamento de chaves (AWSO KMS) está habilitado para seu cluster do Amazon Redshift. Como dados confidenciais podem existir em repouso nos clusters do Redshift, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| T0153 | Monitore a capacidade e o desempenho da rede. | As verificações de integridade do Elastic Load Balancer (ELB) para grupos de Auto Scaling do Amazon Elastic Compute Cloud (Amazon EC2) oferecem suporte à manutenção de capacidade e disponibilidade adequadas. O balanceador de carga envia periodicamente pings, tenta conexões ou envia solicitações para testar a integridade das instâncias do Amazon EC2 em um grupo de escalonamento automático. Se uma instância não estiver reportando, o tráfego será enviado para uma nova instância do Amazon EC2. | |
| T0153 | Monitore a capacidade e o desempenho da rede. | Ative essa regra para garantir que a capacidade de taxa de transferência provisionada seja verificada em suas tabelas do Amazon DynamoDB. Essa é a quantidade de atividade de leitura/gravação que cada tabela pode suportar. O DynamoDB usa essas informações para reservar recursos suficientes do sistema para atender aos seus requisitos de throughput. Essa regra gera um alerta quando a taxa de transferência se aproxima do limite máximo da conta de um cliente. Essa regra permite que você defina opcionalmente AccountRCUThresholdPercentage(Configuração padrão: 80) e AccountWCUThresholdPercentage(Padrão de configuração: 80) parâmetros. Os valores reais devem refletir as políticas da sua organização. | |
| T0153 | Monitore a capacidade e o desempenho da rede. | Os registros de fluxo do VPC fornecem registros detalhados de informações sobre o tráfego IP que vai e vem das interfaces de rede em sua Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro do log de fluxo inclui valores para os diferentes componentes do fluxo IP, incluindo a origem, o destino e o protocolo. | |
| T0153 | Monitore a capacidade e o desempenho da rede. | Túneis VPN redundantes de site a site podem ser implementados para atingir os requisitos de resiliência. Ele usa dois túneis para ajudar a garantir a conectividade caso uma das conexões VPN site a site fique indisponível. Para se proteger contra a perda de conectividade, caso o gateway do cliente fique indisponível, você pode configurar uma segunda conexão VPN site a site com a Amazon Virtual Private Cloud (Amazon VPC) e o gateway privado virtual usando um segundo gateway do cliente. | |
| T0154 | Monitore e relate o uso de ativos e recursos de gerenciamento de conhecimento. | Garanta que uma duração mínima dos dados do registro de eventos seja mantida para seus grupos de registros para ajudar na solução de problemas e nas investigações forenses. A falta de dados de registros de eventos anteriores disponíveis dificulta a reconstrução e a identificação de eventos potencialmente maliciosos. | |
| T0154 | Monitore e relate o uso de ativos e recursos de gerenciamento de conhecimento. | Garanta a AmazonOpenSearchOs domínios de serviço têm registros de erros habilitados e transmitidos para a AmazonCloudWatchRegistros para retenção e resposta. Os registros de erros do domínio podem ajudar nas auditorias de segurança e acesso e podem ajudar a diagnosticar problemas de disponibilidade. | |
| T0154 | Monitore e relate o uso de ativos e recursos de gerenciamento de conhecimento. | Essa regra garante que os limites altos e baixos de simultaneidade de uma função Lambda sejam estabelecidos. Isso pode ajudar a definir como base o número de solicitações que sua função está atendendo a qualquer momento. | |
| T0154 | Monitore e relate o uso de ativos e recursos de gerenciamento de conhecimento. | Ative essa regra para ajudar a notificar a equipe apropriada por meio do Amazon Simple Queue Service (Amazon SQS) ou do Amazon Simple Notification Service (Amazon SNS) quando uma função falhar. | |
| T0154 | Monitore e relate o uso de ativos e recursos de gerenciamento de conhecimento. | AWS CloudTrailregistrosAWSAções do Management Console e chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando as chamadas ocorreram. CloudTrailentregará arquivos de log de todosAWSRegiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver ativado. Além disso, quandoAWSlança uma nova região,CloudTrailcriará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| T0154 | Monitore e relate o uso de ativos e recursos de gerenciamento de conhecimento. | Habilite o Amazon Relational Database Service (Amazon RDS) para ajudar a monitorar a disponibilidade do Amazon RDS. Isso fornece visibilidade detalhada da integridade de suas instâncias de banco de dados do Amazon RDS. Quando o armazenamento do Amazon RDS usa mais de um dispositivo físico subjacente, o Enhanced Monitoring coleta os dados de cada dispositivo. Além disso, quando a instância do banco de dados do Amazon RDS está sendo executada em uma implantação Multi-AZ, os dados de cada dispositivo no host secundário são coletados e as métricas do host secundário. | |
| T0154 | Monitore e relate o uso de ativos e recursos de gerenciamento de conhecimento. | Para ajudar com o registro e o monitoramento em seu ambiente, certifique-se de que o registro do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| T0154 | Monitore e relate o uso de ativos e recursos de gerenciamento de conhecimento. | AWSO Security Hub ajuda a monitorar pessoal, conexões, dispositivos e software não autorizados.AWS O Security Hub agrega, organiza e prioriza os alertas de segurança, ou descobertas, de váriosAWSserviços. Alguns desses serviços são Amazon Security Hub, Amazon Inspector, Amazon Macie,AWSAnalisador de acesso de gerenciamento de identidade e acesso (IAM) eAWSGerenciador de Firewall eAWSSoluções de parceiros. | |
| T0154 | Monitore e relate o uso de ativos e recursos de gerenciamento de conhecimento. | Para ajudar com o registro e o monitoramento em seu ambiente, habiliteAWSRegistro WAF (V2) em ACLs da web regionais e globais.AWS O registro do WAF fornece informações detalhadas sobre o tráfego que é analisado pela sua ACL da web. Os registros registram a hora em queAWSO WAF recebeu a solicitação do seuAWSrecurso, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu. | |
| T0154 | Monitore e relate o uso de ativos e recursos de gerenciamento de conhecimento. | O registro do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como acessaram a API. Esse insight permite a visibilidade das atividades do usuário. | |
| T0154 | Monitore e relate o uso de ativos e recursos de gerenciamento de conhecimento. | As verificações de integridade do Elastic Load Balancer (ELB) para grupos de Auto Scaling do Amazon Elastic Compute Cloud (Amazon EC2) oferecem suporte à manutenção de capacidade e disponibilidade adequadas. O balanceador de carga envia periodicamente pings, tenta conexões ou envia solicitações para testar a integridade das instâncias do Amazon EC2 em um grupo de escalonamento automático. Se uma instância não estiver reportando, o tráfego será enviado para uma nova instância do Amazon EC2. | |
| T0154 | Monitore e relate o uso de ativos e recursos de gerenciamento de conhecimento. | AWSOs relatórios de saúde aprimorados do Elastic Beanstalk permitem uma resposta mais rápida às mudanças na integridade da infraestrutura subjacente. Essas mudanças podem resultar na falta de disponibilidade do aplicativo. Os relatórios de saúde aprimorados do Elastic Beanstalk fornecem um descritor de status para avaliar a gravidade dos problemas identificados e identificar possíveis causas a serem investigadas. | |
| T0154 | Monitore e relate o uso de ativos e recursos de gerenciamento de conhecimento. | Use a AmazonCloudWatchpara coletar e gerenciar centralmente a atividade de eventos de registro. Inclusão deAWS CloudTrailos dados fornecem detalhes da atividade de chamadas de API em seuAWSconta. | |
| T0154 | Monitore e relate o uso de ativos e recursos de gerenciamento de conhecimento. | AWS CloudTrailpode ajudar na não repúdio gravandoAWSAções do Management Console e chamadas de API. Você pode identificar os usuários eAWScontas que chamaram umAWSserviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos emAWS CloudTrailGrave o conteúdo. | |
| T0154 | Monitore e relate o uso de ativos e recursos de gerenciamento de conhecimento. | A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluemAWSinformações da conta que acessaram um bucket do Amazon S3, endereço IP e hora do evento. | |
| T0154 | Monitore e relate o uso de ativos e recursos de gerenciamento de conhecimento. | AmazôniaCloudWatchalertam quando uma métrica ultrapassa o limite de um determinado número de períodos de avaliação. O alarme realiza uma ou mais ações com base no valor da métrica ou na expressão relativa a um limite em alguns períodos. Essa regra exige um valor paraalarmActionRequired(Padrão de configuração: verdadeiro),insufficientDataActionObrigatório (padrão de configuração: verdadeiro),okActionRequired(Padrão de configuração: falso). O valor real deve refletir as ações de alarme do seu ambiente. | |
| T0154 | Monitore e relate o uso de ativos e recursos de gerenciamento de conhecimento. | Ative essa regra para garantir que a capacidade de taxa de transferência provisionada seja verificada em suas tabelas do Amazon DynamoDB. Essa é a quantidade de atividade de leitura/gravação que cada tabela pode suportar. O DynamoDB usa essas informações para reservar recursos suficientes do sistema para atender aos seus requisitos de throughput. Essa regra gera um alerta quando a taxa de transferência se aproxima do limite máximo da conta de um cliente. Essa regra permite que você defina opcionalmente AccountRCUThresholdPercentage(Configuração padrão: 80) e AccountWCUThresholdPercentage(Padrão de configuração: 80) parâmetros. Os valores reais devem refletir as políticas da sua organização. | |
| T0154 | Monitore e relate o uso de ativos e recursos de gerenciamento de conhecimento. | Ative essa regra para ajudar a melhorar o monitoramento de instâncias do Amazon Elastic Compute Cloud (Amazon EC2) no console do Amazon EC2, que exibe gráficos de monitoramento com um período de 1 minuto para a instância. | |
| T0154 | Monitore e relate o uso de ativos e recursos de gerenciamento de conhecimento. | A atividade do Elastic Load Balancing é um ponto central de comunicação dentro de um ambiente. Certifique-se de que o registro do ELB esteja ativado. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor. | |
| T0154 | Monitore e relate o uso de ativos e recursos de gerenciamento de conhecimento. | AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem. | |
| T0154 | Monitore e relate o uso de ativos e recursos de gerenciamento de conhecimento. | Para proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seus clusters do Amazon Redshift. Você também deve garantir que as configurações necessárias sejam implantadas nos clusters do Amazon Redshift. O registro de auditoria deve estar habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido paraclusterDbEncrypted(Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). Os valores reais devem refletir as políticas da sua organização. | |
| T0154 | Monitore e relate o uso de ativos e recursos de gerenciamento de conhecimento. | O registro de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados por meio da captura de registros detalhados das solicitações feitas a um bucket do Amazon S3. Cada registro de registro de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem o solicitante, nome do bucket, hora da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante. | |
| T0154 | Monitore e relate o uso de ativos e recursos de gerenciamento de conhecimento. | Os registros de fluxo do VPC fornecem registros detalhados de informações sobre o tráfego IP que vai e vem das interfaces de rede em sua Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro do log de fluxo inclui valores para os diferentes componentes do fluxo IP, incluindo a origem, o destino e o protocolo. | |
| T0156 | Supervisione e faça recomendações sobre o gerenciamento de configurações. | Gerenciamento centralizado deAWScontas dentroAWSAs organizações ajudam a garantir a conformidade das contas. A falta de governança centralizada da conta pode levar a configurações de conta inconsistentes, o que pode expor recursos e dados confidenciais. | |
| T0156 | Supervisione e faça recomendações sobre o gerenciamento de configurações. | É possível fazer um inventário das plataformas de software e aplicativos dentro da organização gerenciando instâncias do Amazon Elastic Compute Cloud (Amazon EC2) comAWSGerente de sistemas. UsarAWSSystems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome do aplicativo, editor e versão e outros detalhes sobre seu ambiente. | |
| T0156 | Supervisione e faça recomendações sobre o gerenciamento de configurações. | UsarAWSAssociações de gerentes de sistemas para ajudar no inventário de plataformas e aplicativos de software em uma organização.AWS O Systems Manager atribui um estado de configuração às suas instâncias gerenciadas e permite que você defina linhas de base dos níveis de patch do sistema operacional, instalações de software, configurações de aplicativos e outros detalhes sobre seu ambiente. | |
| T0156 | Supervisione e faça recomendações sobre o gerenciamento de configurações. | Ative essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com o patch emAWSGerenciador de sistemas conforme exigido pelas políticas e procedimentos da sua organização. | |
| T0156 | Supervisione e faça recomendações sobre o gerenciamento de configurações. | Essa regra garante que os clusters do Amazon Redshift tenham as configurações preferenciais para sua organização. Especificamente, que eles têm janelas de manutenção preferidas e períodos automatizados de retenção de instantâneos para o banco de dados. Essa regra exige que você defina oallowVersionUpgrade. O padrão é verdadeiro. Também permite que você defina opcionalmente opreferredMaintenanceWindow(o padrão é sáb: 16:00 -sáb: 16:30), e oautomatedSnapshotRetentionPeríodo (o padrão é 1). Os valores reais devem refletir as políticas da sua organização. | |
| T0156 | Supervisione e faça recomendações sobre o gerenciamento de configurações. | A ativação de atualizações gerenciadas de plataforma para um ambiente do Amazon Elastic Beanstalk garante que as últimas correções, atualizações e recursos de plataforma disponíveis para o ambiente sejam instalados. Manter-se atualizado com a instalação de patches é a melhor prática para proteger sistemas. | |
| T0156 | Supervisione e faça recomendações sobre o gerenciamento de configurações. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (padrões de configuração: 20,21,3389,3306,4333). Os valores reais devem refletir as políticas da sua organização. | |
| T0156 | Supervisione e faça recomendações sobre o gerenciamento de configurações. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto ao seuAWSrecursos. | |
| T0156 | Supervisione e faça recomendações sobre o gerenciamento de configurações. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos. | |
| T0160 | Corrija as vulnerabilidades da rede para garantir que as informações sejam protegidas contra terceiros. | Habilite atualizações automáticas de versões secundárias em suas instâncias do Amazon Relational Database Service (RDS) para garantir que as atualizações secundárias mais recentes do Sistema de Gerenciamento de Banco de Dados Relacional (RDBMS) sejam instaladas, o que pode incluir patches de segurança e correções de erros. | |
| T0160 | Corrija as vulnerabilidades da rede para garantir que as informações sejam protegidas contra terceiros. | UsarAWSAssociações de gerentes de sistemas para ajudar no inventário de plataformas e aplicativos de software em uma organização.AWS O Systems Manager atribui um estado de configuração às suas instâncias gerenciadas e permite que você defina linhas de base dos níveis de patch do sistema operacional, instalações de software, configurações de aplicativos e outros detalhes sobre seu ambiente. | |
| T0160 | Corrija as vulnerabilidades da rede para garantir que as informações sejam protegidas contra terceiros. | Ative essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com o patch emAWSGerenciador de sistemas conforme exigido pelas políticas e procedimentos da sua organização. | |
| T0162 | Execute backup e recuperação de bancos de dados para garantir a integridade dos dados. | Para ajudar nos processos de backup de dados, garanta que suas tabelas do Amazon DynamoDB façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| T0162 | Execute backup e recuperação de bancos de dados para garantir a integridade dos dados. | Para ajudar nos processos de backup de dados, garanta que seus volumes do Amazon Elastic Block Store (Amazon EBS) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| T0162 | Execute backup e recuperação de bancos de dados para garantir a integridade dos dados. | Para ajudar nos processos de backup de dados, garanta que seus sistemas de arquivos do Amazon Elastic File System (Amazon EFS) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| T0162 | Execute backup e recuperação de bancos de dados para garantir a integridade dos dados. | Para ajudar nos processos de backup de dados, garanta que suas instâncias do Amazon Relational Database Service (Amazon RDS) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| T0162 | Execute backup e recuperação de bancos de dados para garantir a integridade dos dados. | Para ajudar nos processos de backup de dados, garanta que seus clusters do Amazon Redshift tenham snapshots automatizados. Quando os instantâneos automatizados são habilitados para um cluster, o Redshift tira instantâneos desse cluster periodicamente. Por padrão, o Redshift tira um instantâneo a cada oito horas ou a cada 5 GB por nó de alterações de dados, ou o que ocorrer primeiro. | |
| T0162 | Execute backup e recuperação de bancos de dados para garantir a integridade dos dados. | Para ajudar nos processos de backup de dados, garanta queAWSO plano de backup está definido para uma frequência e retenção mínimas.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. Essa regra permite que você defina orequiredFrequencyValue(Configuração padrão: 1),requiredRetentionDays(Configuração padrão: 35) erequiredFrequencyUnit(Padrão de configuração: dias) parâmetros. O valor real deve refletir os requisitos de sua organização. | |
| T0162 | Execute backup e recuperação de bancos de dados para garantir a integridade dos dados. | Certifique-se de que a criptografia esteja habilitada para seuAWSPontos de recuperação de backup. Como dados confidenciais podem existir em repouso, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| T0162 | Execute backup e recuperação de bancos de dados para garantir a integridade dos dados. | Certifique-se de que seuAWSOs pontos de recuperação de backup têm uma política anexada baseada em recursos que impede a exclusão dos pontos de recuperação. Usar uma política baseada em recursos para evitar a exclusão de pontos de recuperação pode ajudar a evitar a exclusão acidental ou intencional. | |
| T0162 | Execute backup e recuperação de bancos de dados para garantir a integridade dos dados. | O recurso de backup do Amazon RDS cria backups de seus bancos de dados e registros de transações. O Amazon RDS cria automaticamente um snapshot do volume de armazenamento da sua instância de banco de dados, fazendo backup de toda a instância de banco de dados. O sistema permite que você defina períodos de retenção específicos para atender aos seus requisitos de resiliência. | |
| T0162 | Execute backup e recuperação de bancos de dados para garantir a integridade dos dados. | Ative essa regra para verificar se as informações foram copiadas. Ele também mantém os backups, garantindo quepoint-in-timea recuperação está habilitada no Amazon DynamoDB. A recuperação mantém backups contínuos de sua tabela nos últimos 35 dias. | |
| T0162 | Execute backup e recuperação de bancos de dados para garantir a integridade dos dados. | Para ajudar nos processos de backup de dados, garanta que seus recursos do Amazon Elastic Compute Cloud (Amazon EC2) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. | |
| T0162 | Execute backup e recuperação de bancos de dados para garantir a integridade dos dados. | Quando os backups automáticos estão habilitados, a AmazonElastiCachecria um backup do cluster diariamente. O backup pode ser retido por alguns dias, conforme especificado pela sua organização. Os backups automáticos podem ajudar a proteger contra a perda de dados. Se ocorrer uma falha, você poderá criar um novo cluster, que restaura seus dados do backup mais recente. | |
| T0162 | Execute backup e recuperação de bancos de dados para garantir a integridade dos dados. | Essa regra garante que os clusters do Amazon Redshift tenham as configurações preferenciais para sua organização. Especificamente, que eles têm janelas de manutenção preferidas e períodos automatizados de retenção de instantâneos para o banco de dados. Essa regra exige que você defina oallowVersionUpgrade. O padrão é verdadeiro. Também permite que você defina opcionalmente opreferredMaintenanceWindow(o padrão é sáb: 16:00 -sáb: 16:30), e oautomatedSnapshotRetentionPeríodo (o padrão é 1). Os valores reais devem refletir as políticas da sua organização. | |
| T0162 | Execute backup e recuperação de bancos de dados para garantir a integridade dos dados. | A replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) suporta a manutenção de capacidade e disponibilidade adequadas. A CRR permite a cópia automática e assíncrona de objetos em buckets do Amazon S3 para ajudar a garantir que a disponibilidade dos dados seja mantida. | |
| T0162 | Execute backup e recuperação de bancos de dados para garantir a integridade dos dados. | O controle de versão do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter várias variantes de um objeto no mesmo bucket do Amazon S3. Use o controle de versão para preservar, recuperar e restaurar todas as versões de cada objeto armazenado em seu bucket do Amazon S3. O controle de versão ajuda você a se recuperar facilmente de ações não intencionais do usuário e falhas de aplicativos. | |
| T0166 | Realize a correlação de eventos usando informações coletadas de várias fontes dentro da empresa para obter conhecimento da situação e determinar a eficácia de um ataque observado. | Garanta que uma duração mínima dos dados do registro de eventos seja mantida para seus grupos de registros para ajudar na solução de problemas e nas investigações forenses. A falta de dados de registros de eventos anteriores disponíveis dificulta a reconstrução e a identificação de eventos potencialmente maliciosos. | |
| T0166 | Realize a correlação de eventos usando informações coletadas de várias fontes dentro da empresa para obter conhecimento da situação e determinar a eficácia de um ataque observado. | Garanta a AmazonOpenSearchOs domínios de serviço têm registros de erros habilitados e transmitidos para a AmazonCloudWatchRegistros para retenção e resposta. Os registros de erros do domínio podem ajudar nas auditorias de segurança e acesso e podem ajudar a diagnosticar problemas de disponibilidade. | |
| T0166 | Realize a correlação de eventos usando informações coletadas de várias fontes dentro da empresa para obter conhecimento da situação e determinar a eficácia de um ataque observado. | AWS CloudTrailregistrosAWSAções do Management Console e chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando as chamadas ocorreram. CloudTrailentregará arquivos de log de todosAWSRegiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver ativado. Além disso, quandoAWSlança uma nova região,CloudTrailcriará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| T0166 | Realize a correlação de eventos usando informações coletadas de várias fontes dentro da empresa para obter conhecimento da situação e determinar a eficácia de um ataque observado. | Para ajudar com o registro e o monitoramento em seu ambiente, habiliteAWSRegistro WAF (V2) em ACLs da web regionais e globais.AWS O registro do WAF fornece informações detalhadas sobre o tráfego que é analisado pela sua ACL da web. Os registros registram a hora em queAWSO WAF recebeu a solicitação do seuAWSrecurso, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu. | |
| T0166 | Realize a correlação de eventos usando informações coletadas de várias fontes dentro da empresa para obter conhecimento da situação e determinar a eficácia de um ataque observado. | O registro do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como acessaram a API. Esse insight permite a visibilidade das atividades do usuário. | |
| T0166 | Realize a correlação de eventos usando informações coletadas de várias fontes dentro da empresa para obter conhecimento da situação e determinar a eficácia de um ataque observado. | Use a AmazonCloudWatchpara coletar e gerenciar centralmente a atividade de eventos de registro. Inclusão deAWS CloudTrailos dados fornecem detalhes da atividade de chamadas de API em seuAWSconta. | |
| T0166 | Realize a correlação de eventos usando informações coletadas de várias fontes dentro da empresa para obter conhecimento da situação e determinar a eficácia de um ataque observado. | AWS CloudTrailpode ajudar na não repúdio gravandoAWSAções do Management Console e chamadas de API. Você pode identificar os usuários eAWScontas que chamaram umAWSserviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos emAWS CloudTrailGrave o conteúdo. | |
| T0166 | Realize a correlação de eventos usando informações coletadas de várias fontes dentro da empresa para obter conhecimento da situação e determinar a eficácia de um ataque observado. | A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluemAWSinformações da conta que acessaram um bucket do Amazon S3, endereço IP e hora do evento. | |
| T0166 | Realize a correlação de eventos usando informações coletadas de várias fontes dentro da empresa para obter conhecimento da situação e determinar a eficácia de um ataque observado. | A atividade do Elastic Load Balancing é um ponto central de comunicação dentro de um ambiente. Certifique-se de que o registro do ELB esteja ativado. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor. | |
| T0166 | Realize a correlação de eventos usando informações coletadas de várias fontes dentro da empresa para obter conhecimento da situação e determinar a eficácia de um ataque observado. | Para ajudar com o registro e o monitoramento em seu ambiente, certifique-se de que o registro do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| T0166 | Realize a correlação de eventos usando informações coletadas de várias fontes dentro da empresa para obter conhecimento da situação e determinar a eficácia de um ataque observado. | Para proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seus clusters do Amazon Redshift. Você também deve garantir que as configurações necessárias sejam implantadas nos clusters do Amazon Redshift. O registro de auditoria deve estar habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido paraclusterDbEncrypted(Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). Os valores reais devem refletir as políticas da sua organização. | |
| T0166 | Realize a correlação de eventos usando informações coletadas de várias fontes dentro da empresa para obter conhecimento da situação e determinar a eficácia de um ataque observado. | O registro de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados por meio da captura de registros detalhados das solicitações feitas a um bucket do Amazon S3. Cada registro de registro de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem o solicitante, nome do bucket, hora da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante. | |
| T0166 | Realize a correlação de eventos usando informações coletadas de várias fontes dentro da empresa para obter conhecimento da situação e determinar a eficácia de um ataque observado. | Os registros de fluxo do VPC fornecem registros detalhados de informações sobre o tráfego IP que vai e vem das interfaces de rede em sua Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro do log de fluxo inclui valores para os diferentes componentes do fluxo IP, incluindo a origem, o destino e o protocolo. | |
| T0168 | Execute a comparação de hash com o banco de dados estabelecido. | UtilizeAWS CloudTrailvalidação do arquivo de log para verificar a integridade doCloudTrailtroncos. A validação do arquivo de log ajuda a determinar se um arquivo de log foi modificado, excluído ou inalterado apósCloudTrailentregou. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log CloudTrail sem detectar tais ações. | |
| T0195 | Forneça um fluxo gerenciado de informações relevantes (por meio de portais baseados na web ou outros meios) com base nos requisitos da missão. | GarantaAWSO WAF está ativado nos Elastic Load Balancers (ELB) para ajudar a proteger aplicativos da web. Um WAF ajuda a proteger seus aplicativos ou APIs da web contra explorações comuns da web. Essas explorações na web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente. | |
| T0195 | Forneça um fluxo gerenciado de informações relevantes (por meio de portais baseados na web ou outros meios) com base nos requisitos da missão. | AWSO WAF permite que você configure um conjunto de regras (chamado de lista de controle de acesso à web (ACL da web)) que permitem, bloqueiam ou contam solicitações da Web com base nas regras e condições de segurança da Web personalizáveis que você define. Certifique-se de que seu estágio do Amazon API Gateway esteja associado a uma WAF Web ACL para protegê-lo contra ataques maliciosos | |
| T0195 | Forneça um fluxo gerenciado de informações relevantes (por meio de portais baseados na web ou outros meios) com base nos requisitos da missão. | Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. Os recursos do EC2 não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus aplicativos ou servidores. | |
| T0195 | Forneça um fluxo gerenciado de informações relevantes (por meio de portais baseados na web ou outros meios) com base nos requisitos da missão. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Não permitir tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto. | |
| T0195 | Forneça um fluxo gerenciado de informações relevantes (por meio de portais baseados na web ou outros meios) com base nos requisitos da missão. | Implante instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços dentro da Amazon VPC, sem exigir um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Atribua instâncias do Amazon EC2 a uma Amazon VPC para gerenciar adequadamente o acesso. | |
| T0195 | Forneça um fluxo gerenciado de informações relevantes (por meio de portais baseados na web ou outros meios) com base nos requisitos da missão. | Certifique-se de que as tabelas de rotas do Amazon EC2 não tenham rotas irrestritas para um gateway da Internet. Remover ou limitar o acesso à Internet para cargas de trabalho nas Amazon VPCs pode reduzir o acesso não intencional em seu ambiente. | |
| T0195 | Forneça um fluxo gerenciado de informações relevantes (por meio de portais baseados na web ou outros meios) com base nos requisitos da missão. | O roteamento aprimorado da VPC força todo o tráfego COPY e UNLOAD entre o cluster e os repositórios de dados a passar pelo Amazon VPC. Em seguida, você pode usar os recursos da VPC, como grupos de segurança e listas de controle de acesso à rede, para proteger o tráfego da rede. Você também pode usar os registros de fluxo da VPC para monitorar o tráfego da rede. | |
| T0195 | Forneça um fluxo gerenciado de informações relevantes (por meio de portais baseados na web ou outros meios) com base nos requisitos da missão. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente oignorePublicAcls(Padrão de configuração: verdadeiro),blockPublicPolicy(Padrão de configuração: verdadeiro),blockPublicAcls(Config Default: True), erestrictPublicBucketsparâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização. | |
| T0195 | Forneça um fluxo gerenciado de informações relevantes (por meio de portais baseados na web ou outros meios) com base nos requisitos da missão. | GarantaAWSOs documentos do Systems Manager (SSM) não são públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos. | |
| T0195 | Forneça um fluxo gerenciado de informações relevantes (por meio de portais baseados na web ou outros meios) com base nos requisitos da missão. | Gerencie o acesso aoAWSNuvem, garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| T0195 | Forneça um fluxo gerenciado de informações relevantes (por meio de portais baseados na web ou outros meios) com base nos requisitos da missão. | Gerencie o acesso aoAWSNuvem garantindo que os snapshots do EBS não possam ser restaurados publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| T0195 | Forneça um fluxo gerenciado de informações relevantes (por meio de portais baseados na web ou outros meios) com base nos requisitos da missão. | Gerencie o acesso aoAWSNuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| T0195 | Forneça um fluxo gerenciado de informações relevantes (por meio de portais baseados na web ou outros meios) com base nos requisitos da missão. | Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchServiço (OpenSearch(Serviço) Os domínios estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). UmOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entreOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| T0195 | Forneça um fluxo gerenciado de informações relevantes (por meio de portais baseados na web ou outros meios) com base nos requisitos da missão. | Gerencie o acesso aoAWSNuvem, garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| T0195 | Forneça um fluxo gerenciado de informações relevantes (por meio de portais baseados na web ou outros meios) com base nos requisitos da missão. | Gerencie o acesso aos recursos noAWSNuvem, garantindoAWSAs funções do Lambda não podem ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos. | |
| T0195 | Forneça um fluxo gerenciado de informações relevantes (por meio de portais baseados na web ou outros meios) com base nos requisitos da missão. | ImplantarAWSO Lambda funciona em uma Amazon Virtual Private Cloud (Amazon VPC) para uma comunicação segura entre uma função e outros serviços dentro da Amazon VPC. Com essa configuração, não há necessidade de um gateway de Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece seguro dentro doAWSNuvem. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Para gerenciar adequadamente o acesso,AWSAs funções lambda devem ser atribuídas a uma VPC. | |
| T0195 | Forneça um fluxo gerenciado de informações relevantes (por meio de portais baseados na web ou outros meios) com base nos requisitos da missão. | Gerencie o acesso aoAWSNuvem garantindo que os domínios do Amazon Elasticsearch Service (Amazon ES) estejam dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon ES em um Amazon VPC permite a comunicação segura entre o Amazon ES e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| T0195 | Forneça um fluxo gerenciado de informações relevantes (por meio de portais baseados na web ou outros meios) com base nos requisitos da missão. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas. | |
| T0195 | Forneça um fluxo gerenciado de informações relevantes (por meio de portais baseados na web ou outros meios) com base nos requisitos da missão. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| T0195 | Forneça um fluxo gerenciado de informações relevantes (por meio de portais baseados na web ou outros meios) com base nos requisitos da missão. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| T0195 | Forneça um fluxo gerenciado de informações relevantes (por meio de portais baseados na web ou outros meios) com base nos requisitos da missão. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (padrões de configuração: 20,21,3389,3306,4333). Os valores reais devem refletir as políticas da sua organização. | |
| T0195 | Forneça um fluxo gerenciado de informações relevantes (por meio de portais baseados na web ou outros meios) com base nos requisitos da missão. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| T0195 | Forneça um fluxo gerenciado de informações relevantes (por meio de portais baseados na web ou outros meios) com base nos requisitos da missão. | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| T0195 | Forneça um fluxo gerenciado de informações relevantes (por meio de portais baseados na web ou outros meios) com base nos requisitos da missão. | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| T0195 | Forneça um fluxo gerenciado de informações relevantes (por meio de portais baseados na web ou outros meios) com base nos requisitos da missão. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a AmazonSageMakeros notebooks não permitem acesso direto à internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| T0195 | Forneça um fluxo gerenciado de informações relevantes (por meio de portais baseados na web ou outros meios) com base nos requisitos da missão. | Gerencie o acesso aoAWSNuvem garantindo que as sub-redes Amazon Virtual Private Cloud (VPC) não recebam automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são lançadas em sub-redes que têm esse atributo ativado têm um endereço IP público atribuído à sua interface de rede primária. | |
| T0195 | Forneça um fluxo gerenciado de informações relevantes (por meio de portais baseados na web ou outros meios) com base nos requisitos da missão. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto ao seuAWSrecursos. | |
| T0195 | Forneça um fluxo gerenciado de informações relevantes (por meio de portais baseados na web ou outros meios) com base nos requisitos da missão. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos. | |
| T0215 | Reconheça uma possível violação de segurança e tome as medidas apropriadas para denunciar o incidente, conforme necessário. | AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem. | |
| T0244 | Verifique se as posturas de segurança do software aplicativo/rede/sistema foram implementadas conforme declarado, documente os desvios e recomende as ações necessárias para corrigir esses desvios. | UtilizeAWS CloudTrailvalidação do arquivo de log para verificar a integridade doCloudTrailtroncos. A validação do arquivo de log ajuda a determinar se um arquivo de log foi modificado, excluído ou inalterado apósCloudTrailentregou. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log CloudTrail sem detectar tais ações. | |
| T0244 | Verifique se as posturas de segurança do software aplicativo/rede/sistema foram implementadas conforme declarado, documente os desvios e recomende as ações necessárias para corrigir esses desvios. | É possível fazer um inventário das plataformas de software e aplicativos dentro da organização gerenciando instâncias do Amazon Elastic Compute Cloud (Amazon EC2) comAWSGerente de sistemas. UsarAWSSystems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome do aplicativo, editor e versão e outros detalhes sobre seu ambiente. | |
| T0244 | Verifique se as posturas de segurança do software aplicativo/rede/sistema foram implementadas conforme declarado, documente os desvios e recomende as ações necessárias para corrigir esses desvios. | UsarAWSAssociações de gerentes de sistemas para ajudar no inventário de plataformas e aplicativos de software em uma organização.AWS O Systems Manager atribui um estado de configuração às suas instâncias gerenciadas e permite que você defina linhas de base dos níveis de patch do sistema operacional, instalações de software, configurações de aplicativos e outros detalhes sobre seu ambiente. | |
| T0258 | Forneça detecção, identificação e alerta oportunos de possíveis ataques/intrusões, atividades anômalas e atividades de uso indevido e diferencie esses incidentes e eventos de atividades benignas. | AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem. | |
| T0259 | Use ferramentas de defesa cibernética para monitoramento e análise contínuos da atividade do sistema para identificar atividades maliciosas. | AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem. | |
| T0262 | Emprego aprovadodefense-in-depthprincípios e práticas (por exemplo,defense-in-multiplelugares, defesas em camadas, segurança (robustez). | GarantaAWSO WAF está ativado nos Elastic Load Balancers (ELB) para ajudar a proteger aplicativos da web. Um WAF ajuda a proteger seus aplicativos ou APIs da web contra explorações comuns da web. Essas explorações na web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente. | |
| T0262 | Emprego aprovadodefense-in-depthprincípios e práticas (por exemplo,defense-in-multiplelugares, defesas em camadas, segurança (robustez). | AWSO WAF permite que você configure um conjunto de regras (chamado de lista de controle de acesso à web (ACL da web)) que permitem, bloqueiam ou contam solicitações da Web com base nas regras e condições de segurança da Web personalizáveis que você define. Certifique-se de que seu estágio do Amazon API Gateway esteja associado a uma WAF Web ACL para protegê-lo contra ataques maliciosos | |
| T0262 | Emprego aprovadodefense-in-depthprincípios e práticas (por exemplo,defense-in-multiplelugares, defesas em camadas, segurança (robustez). | Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. Os recursos do EC2 não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus aplicativos ou servidores. | |
| T0262 | Emprego aprovadodefense-in-depthprincípios e práticas (por exemplo,defense-in-multiplelugares, defesas em camadas, segurança (robustez). | Implante instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços dentro da Amazon VPC, sem exigir um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Atribua instâncias do Amazon EC2 a uma Amazon VPC para gerenciar adequadamente o acesso. | |
| T0262 | Emprego aprovadodefense-in-depthprincípios e práticas (por exemplo,defense-in-multiplelugares, defesas em camadas, segurança (robustez). | Certifique-se de que as tabelas de rotas do Amazon EC2 não tenham rotas irrestritas para um gateway da Internet. Remover ou limitar o acesso à Internet para cargas de trabalho nas Amazon VPCs pode reduzir o acesso não intencional em seu ambiente. | |
| T0262 | Emprego aprovadodefense-in-depthprincípios e práticas (por exemplo,defense-in-multiplelugares, defesas em camadas, segurança (robustez). | O roteamento aprimorado da VPC força todo o tráfego COPY e UNLOAD entre o cluster e os repositórios de dados a passar pelo Amazon VPC. Em seguida, você pode usar os recursos da VPC, como grupos de segurança e listas de controle de acesso à rede, para proteger o tráfego da rede. Você também pode usar os registros de fluxo da VPC para monitorar o tráfego da rede. | |
| T0262 | Emprego aprovadodefense-in-depthprincípios e práticas (por exemplo,defense-in-multiplelugares, defesas em camadas, segurança (robustez). | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente oignorePublicAcls(Padrão de configuração: verdadeiro),blockPublicPolicy(Padrão de configuração: verdadeiro),blockPublicAcls(Config Default: True), erestrictPublicBucketsparâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização. | |
| T0262 | Emprego aprovadodefense-in-depthprincípios e práticas (por exemplo,defense-in-multiplelugares, defesas em camadas, segurança (robustez). | GarantaAWSOs documentos do Systems Manager (SSM) não são públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos. | |
| T0262 | Emprego aprovadodefense-in-depthprincípios e práticas (por exemplo,defense-in-multiplelugares, defesas em camadas, segurança (robustez). | Gerencie o acesso aoAWSNuvem, garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| T0262 | Emprego aprovadodefense-in-depthprincípios e práticas (por exemplo,defense-in-multiplelugares, defesas em camadas, segurança (robustez). | Gerencie o acesso aoAWSNuvem garantindo que os snapshots do EBS não possam ser restaurados publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| T0262 | Emprego aprovadodefense-in-depthprincípios e práticas (por exemplo,defense-in-multiplelugares, defesas em camadas, segurança (robustez). | Gerencie o acesso aoAWSNuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| T0262 | Emprego aprovadodefense-in-depthprincípios e práticas (por exemplo,defense-in-multiplelugares, defesas em camadas, segurança (robustez). | Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchServiço (OpenSearch(Serviço) Os domínios estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). UmOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entreOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| T0262 | Emprego aprovadodefense-in-depthprincípios e práticas (por exemplo,defense-in-multiplelugares, defesas em camadas, segurança (robustez). | Gerencie o acesso aoAWSNuvem, garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| T0262 | Emprego aprovadodefense-in-depthprincípios e práticas (por exemplo,defense-in-multiplelugares, defesas em camadas, segurança (robustez). | Gerencie o acesso aos recursos noAWSNuvem, garantindoAWSAs funções do Lambda não podem ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos. | |
| T0262 | Emprego aprovadodefense-in-depthprincípios e práticas (por exemplo,defense-in-multiplelugares, defesas em camadas, segurança (robustez). | ImplantarAWSO Lambda funciona em uma Amazon Virtual Private Cloud (Amazon VPC) para uma comunicação segura entre uma função e outros serviços dentro da Amazon VPC. Com essa configuração, não há necessidade de um gateway de Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece seguro dentro doAWSNuvem. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Para gerenciar adequadamente o acesso,AWSAs funções lambda devem ser atribuídas a uma VPC. | |
| T0262 | Emprego aprovadodefense-in-depthprincípios e práticas (por exemplo,defense-in-multiplelugares, defesas em camadas, segurança (robustez). | Gerencie o acesso aoAWSNuvem garantindo que os domínios do Amazon Elasticsearch Service (Amazon ES) estejam dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon ES em um Amazon VPC permite a comunicação segura entre o Amazon ES e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| T0262 | Emprego aprovadodefense-in-depthprincípios e práticas (por exemplo,defense-in-multiplelugares, defesas em camadas, segurança (robustez). | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas. | |
| T0262 | Emprego aprovadodefense-in-depthprincípios e práticas (por exemplo,defense-in-multiplelugares, defesas em camadas, segurança (robustez). | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| T0262 | Emprego aprovadodefense-in-depthprincípios e práticas (por exemplo,defense-in-multiplelugares, defesas em camadas, segurança (robustez). | Gerencie o acesso aos recursos noAWSNuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| T0262 | Emprego aprovadodefense-in-depthprincípios e práticas (por exemplo,defense-in-multiplelugares, defesas em camadas, segurança (robustez). | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (padrões de configuração: 20,21,3389,3306,4333). Os valores reais devem refletir as políticas da sua organização. | |
| T0262 | Emprego aprovadodefense-in-depthprincípios e práticas (por exemplo,defense-in-multiplelugares, defesas em camadas, segurança (robustez). | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| T0262 | Emprego aprovadodefense-in-depthprincípios e práticas (por exemplo,defense-in-multiplelugares, defesas em camadas, segurança (robustez). | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| T0262 | Emprego aprovadodefense-in-depthprincípios e práticas (por exemplo,defense-in-multiplelugares, defesas em camadas, segurança (robustez). | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| T0262 | Emprego aprovadodefense-in-depthprincípios e práticas (por exemplo,defense-in-multiplelugares, defesas em camadas, segurança (robustez). | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a AmazonSageMakeros notebooks não permitem acesso direto à internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| T0262 | Emprego aprovadodefense-in-depthprincípios e práticas (por exemplo,defense-in-multiplelugares, defesas em camadas, segurança (robustez). | Gerencie o acesso aoAWSNuvem garantindo que as sub-redes Amazon Virtual Private Cloud (VPC) não recebam automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são lançadas em sub-redes que têm esse atributo ativado têm um endereço IP público atribuído à sua interface de rede primária. | |
| T0262 | Emprego aprovadodefense-in-depthprincípios e práticas (por exemplo,defense-in-multiplelugares, defesas em camadas, segurança (robustez). | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto ao seuAWSrecursos. | |
| T0262 | Emprego aprovadodefense-in-depthprincípios e práticas (por exemplo,defense-in-multiplelugares, defesas em camadas, segurança (robustez). | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Gerenciamento centralizado deAWScontas dentroAWSAs organizações ajudam a garantir a conformidade das contas. A falta de governança centralizada da conta pode levar a configurações de conta inconsistentes, o que pode expor recursos e dados confidenciais. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | GarantaAWSO WAF está ativado nos Elastic Load Balancers (ELB) para ajudar a proteger aplicativos da web. Um WAF ajuda a proteger seus aplicativos ou APIs da web contra explorações comuns da web. Essas explorações na web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | AWSO WAF permite que você configure um conjunto de regras (chamado de lista de controle de acesso à web (ACL da web)) que permitem, bloqueiam ou contam solicitações da Web com base nas regras e condições de segurança da Web personalizáveis que você define. Certifique-se de que seu estágio do Amazon API Gateway esteja associado a uma WAF Web ACL para protegê-lo contra ataques maliciosos | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. Os recursos do EC2 não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus aplicativos ou servidores. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Os perfis de instância do EC2 transmitem uma função do IAM para uma instância do EC2. Anexar um perfil de instância às suas instâncias pode ajudar no menor gerenciamento de privilégios e permissões. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Se uma definição de tarefa tem privilégios elevados, é porque o cliente optou especificamente por essas configurações. Esse controle verifica o aumento inesperado de privilégios quando uma definição de tarefa tem a rede do host habilitada, mas o cliente não optou por privilégios elevados. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política em linha para controlar o acesso a sistemas e ativos.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem reutilização, controle de versão e reversão, além de delegar o gerenciamento de permissões. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Certifique-se de que as ações do IAM sejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Implante instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços dentro da Amazon VPC, sem exigir um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Atribua instâncias do Amazon EC2 a uma Amazon VPC para gerenciar adequadamente o acesso. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Certifique-se de que as tabelas de rotas do Amazon EC2 não tenham rotas irrestritas para um gateway da Internet. Remover ou limitar o acesso à Internet para cargas de trabalho nas Amazon VPCs pode reduzir o acesso não intencional em seu ambiente. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Habilite atualizações automáticas de versões secundárias em suas instâncias do Amazon Relational Database Service (RDS) para garantir que as atualizações secundárias mais recentes do Sistema de Gerenciamento de Banco de Dados Relacional (RDBMS) sejam instaladas, o que pode incluir patches de segurança e correções de erros. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | O roteamento aprimorado da VPC força todo o tráfego COPY e UNLOAD entre o cluster e os repositórios de dados a passar pelo Amazon VPC. Em seguida, você pode usar os recursos da VPC, como grupos de segurança e listas de controle de acesso à rede, para proteger o tráfego da rede. Você também pode usar os registros de fluxo da VPC para monitorar o tráfego da rede. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente oignorePublicAcls(Padrão de configuração: verdadeiro),blockPublicPolicy(Padrão de configuração: verdadeiro),blockPublicAcls(Config Default: True), erestrictPublicBucketsparâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | GarantaAWSOs documentos do Systems Manager (SSM) não são públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Certifique-se de que seuAWSOs pontos de recuperação de backup têm uma política anexada baseada em recursos que impede a exclusão dos pontos de recuperação. Usar uma política baseada em recursos para evitar a exclusão de pontos de recuperação pode ajudar a evitar a exclusão acidental ou intencional. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | UtilizeAWS CloudTrailvalidação do arquivo de log para verificar a integridade doCloudTrailtroncos. A validação do arquivo de log ajuda a determinar se um arquivo de log foi modificado, excluído ou inalterado apósCloudTrailentregou. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log CloudTrail sem detectar tais ações. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Certifique-se de que as credenciais de autenticação AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY não existam emAWSAmbientes de projeto Codebuild. Não armazene essas variáveis em texto não criptografado. Armazenar essas variáveis em texto não criptografado leva à exposição não intencional dos dados e ao acesso não autorizado. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Garanta que oGitHubou o URL do repositório de origem do Bitbucket não contém tokens de acesso pessoal nem credenciais de loginAWSAmbientes de projeto Codebuild. Use OAuth em vez de tokens de acesso pessoal ou credenciais de login para conceder autorização de acessoGitHubou repositórios Bitbucket. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Gerencie o acesso aoAWSNuvem, garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Gerencie o acesso aoAWSNuvem garantindo que os snapshots do EBS não possam ser restaurados publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Gerencie o acesso aoAWSNuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchServiço (OpenSearch(Serviço) Os domínios estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). UmOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entreOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | As permissões e autorizações de acesso podem ser gerenciadas e incorporadas com os princípios de menor privilégio e separação de funções, habilitando o Kerberos para clusters do Amazon EMR. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como principais. Os diretores existem dentro de um reino de Kerberos. Dentro do reino, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para os diretores se autenticarem. O KDC se autentica emitindo tíquetes para autenticação. O KDC mantém um banco de dados das entidades principais dentro do realm, as senhas e outras informações administrativas sobre cada principal. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Gerencie o acesso aoAWSNuvem, garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todosAWSChaves do serviço de gerenciamento de chaves. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. Essa regra permite que você defina oblockedActionsPatternsparâmetro. (AWSValor fundamental das melhores práticas de segurança: kms:decrypt, kms:ReEncryptFrom). Os valores reais devem refletir as políticas da sua organização | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o mínimo de privilégios. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política embutida para permitir ações bloqueadas em todosAWSChaves do serviço de gerenciamento de chaves.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina oblockedActionsPatternsparâmetro. (AWSValor fundamental das melhores práticas de segurança: kms:decrypt, kms:ReEncryptFrom). Os valores reais devem refletir as políticas da sua organização. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política de senha organizacional do IAM. Eles atendem ou excedem os requisitos, conforme declarado pelo NIST SP 800-63 e peloAWSPadrão básico de melhores práticas de segurança para segurança de senhas. Essa regra permite que você defina opcionalmenteRequireUppercaseCharacters(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireLowercaseCharacters(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireSymbols(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireNumbers(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),MinimumPasswordLength(AWSValor fundamental das melhores práticas de segurança: 14),PasswordReusePrevention(AWSValor fundamental das melhores práticas de segurança: 24) eMaxPasswordAge(AWSValor fundamental das melhores práticas de segurança: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da sua organização. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” em vez de “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | O acesso a sistemas e ativos pode ser controlado verificando se o usuário root não tem chaves de acesso anexadas aos seusAWSFunção de gerenciamento de identidade e acesso (IAM). Certifique-se de que as chaves de acesso root sejam excluídas. Em vez disso, crie e use com base em funçõesAWScontas para ajudar a incorporar o princípio da menor funcionalidade. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a restringir as permissões e autorizações de acesso, garantindo que os usuários sejam membros de pelo menos um grupo. Permitir aos usuários mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Ative essa regra para restringir o acesso aos recursos noAWSNuvem. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção sobre um nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo MFA para os usuários. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Esta regra garanteAWSAs políticas de gerenciamento de identidade e acesso (IAM) são vinculadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios no nível do grupo ou da função ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período de tempo especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou remover as credenciais, pois isso pode violar o princípio do menor privilégio. Essa regra exige que você defina um valor para omaxCredentialUsageIdade (padrão de configuração: 90). O valor real deve refletir as políticas da sua organização. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Gerencie o acesso aos recursos noAWSNuvem, garantindoAWSAs funções do Lambda não podem ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | ImplantarAWSO Lambda funciona em uma Amazon Virtual Private Cloud (Amazon VPC) para uma comunicação segura entre uma função e outros serviços dentro da Amazon VPC. Com essa configuração, não há necessidade de um gateway de Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece seguro dentro doAWSNuvem. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Para gerenciar adequadamente o acesso,AWSAs funções lambda devem ser atribuídas a uma VPC. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a MFA esteja habilitada para todosAWSUsuários do Gerenciamento de Identidade e Acesso (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir a MFA para os usuários, você pode reduzir os incidentes de contas comprometidas e impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Gerencie o acesso aoAWSNuvem garantindo que os domínios do Amazon Elasticsearch Service (Amazon ES) estejam dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon ES em um Amazon VPC permite a comunicação segura entre o Amazon ES e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Essa regra garante que os clusters do Amazon Redshift tenham as configurações preferenciais para sua organização. Especificamente, que eles têm janelas de manutenção preferidas e períodos automatizados de retenção de instantâneos para o banco de dados. Essa regra exige que você defina oallowVersionUpgrade. O padrão é verdadeiro. Também permite que você defina opcionalmente opreferredMaintenanceWindow(o padrão é sáb: 16:00 -sáb: 16:30), e oautomatedSnapshotRetentionPeríodo (o padrão é 1). Os valores reais devem refletir as políticas da sua organização. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (padrões de configuração: 20,21,3389,3306,4333). Os valores reais devem refletir as políticas da sua organização. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a MFA de hardware esteja habilitada para o usuário root. O usuário root é o usuário mais privilegiado em umAWSconta. O MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir MFA para o usuário root, você pode reduzir os incidentes de comprometimentoAWScontas. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que o MFA esteja habilitado para o usuário root. O usuário root é o usuário mais privilegiado em umAWSconta. O MFA adiciona uma camada extra de proteção para um nome de usuário e senha. Ao exigir MFA para o usuário root, você pode reduzir os incidentes de comprometimentoAWScontas. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a AmazonSageMakeros notebooks não permitem acesso direto à internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Gerencie o acesso aoAWSNuvem garantindo que as sub-redes Amazon Virtual Private Cloud (VPC) não recebam automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são lançadas em sub-redes que têm esse atributo ativado têm um endereço IP público atribuído à sua interface de rede primária. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto ao seuAWSrecursos. | |
| T0284 | Projete e desenvolva novas ferramentas/tecnologias relacionadas à segurança cibernética. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos. | |
| T0306 | Oferece suporte ao gerenciamento de incidentes, gerenciamento de nível de serviço, gerenciamento de mudanças, gerenciamento de versões, gerenciamento de continuidade e gerenciamento de disponibilidade para bancos de dados e sistemas de gerenciamento de dados. | AWSO Security Hub ajuda a monitorar pessoal, conexões, dispositivos e software não autorizados.AWS O Security Hub agrega, organiza e prioriza os alertas de segurança, ou descobertas, de váriosAWSserviços. Alguns desses serviços são Amazon Security Hub, Amazon Inspector, Amazon Macie,AWSAnalisador de acesso de gerenciamento de identidade e acesso (IAM) eAWSGerenciador de Firewall eAWSSoluções de parceiros. | |
| T0306 | Oferece suporte ao gerenciamento de incidentes, gerenciamento de nível de serviço, gerenciamento de mudanças, gerenciamento de versões, gerenciamento de continuidade e gerenciamento de disponibilidade para bancos de dados e sistemas de gerenciamento de dados. | AmazôniaCloudWatchalertam quando uma métrica ultrapassa o limite de um determinado número de períodos de avaliação. O alarme realiza uma ou mais ações com base no valor da métrica ou na expressão relativa a um limite em alguns períodos. Essa regra exige um valor paraalarmActionRequired(Padrão de configuração: verdadeiro),insufficientDataActionObrigatório (padrão de configuração: verdadeiro),okActionRequired(Padrão de configuração: falso). O valor real deve refletir as ações de alarme do seu ambiente. | |
| T0306 | Oferece suporte ao gerenciamento de incidentes, gerenciamento de nível de serviço, gerenciamento de mudanças, gerenciamento de versões, gerenciamento de continuidade e gerenciamento de disponibilidade para bancos de dados e sistemas de gerenciamento de dados. | AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem. | |
| T0314 | Desenvolva um contexto de segurança do sistema, um conceito preliminar de operações de segurança do sistema (CONOPS) e defina os requisitos básicos de segurança do sistema de acordo com os requisitos de segurança cibernética aplicáveis. | É possível fazer um inventário das plataformas de software e aplicativos dentro da organização gerenciando instâncias do Amazon Elastic Compute Cloud (Amazon EC2) comAWSGerente de sistemas. UsarAWSSystems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome do aplicativo, editor e versão e outros detalhes sobre seu ambiente. | |
| T0314 | Desenvolva um contexto de segurança do sistema, um conceito preliminar de operações de segurança do sistema (CONOPS) e defina os requisitos básicos de segurança do sistema de acordo com os requisitos de segurança cibernética aplicáveis. | UsarAWSAssociações de gerentes de sistemas para ajudar no inventário de plataformas e aplicativos de software em uma organização.AWS O Systems Manager atribui um estado de configuração às suas instâncias gerenciadas e permite que você defina linhas de base dos níveis de patch do sistema operacional, instalações de software, configurações de aplicativos e outros detalhes sobre seu ambiente. | |
| T0314 | Desenvolva um contexto de segurança do sistema, um conceito preliminar de operações de segurança do sistema (CONOPS) e defina os requisitos básicos de segurança do sistema de acordo com os requisitos de segurança cibernética aplicáveis. | Habilite essa regra para ajudar na configuração básica das instâncias do Amazon Elastic Compute Cloud (Amazon EC2) verificando se as instâncias do Amazon EC2 foram interrompidas por mais do que o número permitido de dias, de acordo com os padrões da sua organização. | |
| T0314 | Desenvolva um contexto de segurança do sistema, um conceito preliminar de operações de segurança do sistema (CONOPS) e defina os requisitos básicos de segurança do sistema de acordo com os requisitos de segurança cibernética aplicáveis. | Essa regra garante que os volumes do Amazon Elastic Block Store anexados às instâncias do Amazon Elastic Compute Cloud (Amazon EC2) sejam marcados para exclusão quando uma instância for encerrada. Se um volume do Amazon EBS não for excluído quando a instância à qual ele está conectado for encerrada, ele poderá violar o conceito de menor funcionalidade. | |
| T0314 | Desenvolva um contexto de segurança do sistema, um conceito preliminar de operações de segurança do sistema (CONOPS) e defina os requisitos básicos de segurança do sistema de acordo com os requisitos de segurança cibernética aplicáveis. | Essa regra garante que o Elastic Load Balancing tenha a proteção contra exclusão ativada. Use esse recurso para evitar que seu balanceador de carga seja excluído acidental ou maliciosamente, o que pode levar à perda de disponibilidade de seus aplicativos. | |
| T0314 | Desenvolva um contexto de segurança do sistema, um conceito preliminar de operações de segurança do sistema (CONOPS) e defina os requisitos básicos de segurança do sistema de acordo com os requisitos de segurança cibernética aplicáveis. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (padrões de configuração: 20,21,3389,3306,4333). Os valores reais devem refletir as políticas da sua organização. | |
| T0333 | Realize análises e relatórios de tendências de defesa cibernética. | AWSO Security Hub ajuda a monitorar pessoal, conexões, dispositivos e software não autorizados.AWS O Security Hub agrega, organiza e prioriza os alertas de segurança, ou descobertas, de váriosAWSserviços. Alguns desses serviços são Amazon Security Hub, Amazon Inspector, Amazon Macie,AWSAnalisador de acesso de gerenciamento de identidade e acesso (IAM) eAWSGerenciador de Firewall eAWSSoluções de parceiros. | |
| T0333 | Realize análises e relatórios de tendências de defesa cibernética. | AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem. | |
| T0347 | Avalie a validade dos dados de origem e das descobertas subsequentes. | AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem. | |
| T0358 | Projete e desenvolva a funcionalidade de administração e gerenciamento do sistema para usuários de acesso privilegiado. | Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política em linha para controlar o acesso a sistemas e ativos.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem reutilização, controle de versão e reversão, além de delegar o gerenciamento de permissões. | |
| T0358 | Projete e desenvolva a funcionalidade de administração e gerenciamento do sistema para usuários de acesso privilegiado. | Certifique-se de que as ações do IAM sejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| T0358 | Projete e desenvolva a funcionalidade de administração e gerenciamento do sistema para usuários de acesso privilegiado. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todosAWSChaves do serviço de gerenciamento de chaves. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. Essa regra permite que você defina oblockedActionsPatternsparâmetro. (AWSValor fundamental das melhores práticas de segurança: kms:decrypt, kms:ReEncryptFrom). Os valores reais devem refletir as políticas da sua organização | |
| T0358 | Projete e desenvolva a funcionalidade de administração e gerenciamento do sistema para usuários de acesso privilegiado. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o mínimo de privilégios. | |
| T0358 | Projete e desenvolva a funcionalidade de administração e gerenciamento do sistema para usuários de acesso privilegiado. | Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política embutida para permitir ações bloqueadas em todosAWSChaves do serviço de gerenciamento de chaves.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina oblockedActionsPatternsparâmetro. (AWSValor fundamental das melhores práticas de segurança: kms:decrypt, kms:ReEncryptFrom). Os valores reais devem refletir as políticas da sua organização. | |
| T0358 | Projete e desenvolva a funcionalidade de administração e gerenciamento do sistema para usuários de acesso privilegiado. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” em vez de “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| T0358 | Projete e desenvolva a funcionalidade de administração e gerenciamento do sistema para usuários de acesso privilegiado. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a restringir as permissões e autorizações de acesso, garantindo que os usuários sejam membros de pelo menos um grupo. Permitir aos usuários mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| T0358 | Projete e desenvolva a funcionalidade de administração e gerenciamento do sistema para usuários de acesso privilegiado. | Esta regra garanteAWSAs políticas de gerenciamento de identidade e acesso (IAM) são vinculadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios no nível do grupo ou da função ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| T0376 | Estabeleça, forneça recursos, implemente e avalie programas de gerenciamento da força de trabalho cibernética de acordo com os requisitos organizacionais. | Os perfis de instância do EC2 transmitem uma função do IAM para uma instância do EC2. Anexar um perfil de instância às suas instâncias pode ajudar no menor gerenciamento de privilégios e permissões. | |
| T0376 | Estabeleça, forneça recursos, implemente e avalie programas de gerenciamento da força de trabalho cibernética de acordo com os requisitos organizacionais. | Se uma definição de tarefa tem privilégios elevados, é porque o cliente optou especificamente por essas configurações. Esse controle verifica o aumento inesperado de privilégios quando uma definição de tarefa tem a rede do host habilitada, mas o cliente não optou por privilégios elevados. | |
| T0376 | Estabeleça, forneça recursos, implemente e avalie programas de gerenciamento da força de trabalho cibernética de acordo com os requisitos organizacionais. | Garanta a AmazonOpenSearchOs domínios de serviço têm registros de erros habilitados e transmitidos para a AmazonCloudWatchRegistros para retenção e resposta. Os registros de erros do domínio podem ajudar nas auditorias de segurança e acesso e podem ajudar a diagnosticar problemas de disponibilidade. | |
| T0376 | Estabeleça, forneça recursos, implemente e avalie programas de gerenciamento da força de trabalho cibernética de acordo com os requisitos organizacionais. | Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política em linha para controlar o acesso a sistemas e ativos.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem reutilização, controle de versão e reversão, além de delegar o gerenciamento de permissões. | |
| T0376 | Estabeleça, forneça recursos, implemente e avalie programas de gerenciamento da força de trabalho cibernética de acordo com os requisitos organizacionais. | Certifique-se de que as ações do IAM sejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| T0376 | Estabeleça, forneça recursos, implemente e avalie programas de gerenciamento da força de trabalho cibernética de acordo com os requisitos organizacionais. | AWS CloudTrailregistrosAWSAções do Management Console e chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando as chamadas ocorreram. CloudTrailentregará arquivos de log de todosAWSRegiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver ativado. Além disso, quandoAWSlança uma nova região,CloudTrailcriará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| T0376 | Estabeleça, forneça recursos, implemente e avalie programas de gerenciamento da força de trabalho cibernética de acordo com os requisitos organizacionais. | Para ajudar com o registro e o monitoramento em seu ambiente, certifique-se de que o registro do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| T0376 | Estabeleça, forneça recursos, implemente e avalie programas de gerenciamento da força de trabalho cibernética de acordo com os requisitos organizacionais. | Use a AmazonCloudWatchpara coletar e gerenciar centralmente a atividade de eventos de registro. Inclusão deAWS CloudTrailos dados fornecem detalhes da atividade de chamadas de API em seuAWSconta. | |
| T0376 | Estabeleça, forneça recursos, implemente e avalie programas de gerenciamento da força de trabalho cibernética de acordo com os requisitos organizacionais. | AWS CloudTrailpode ajudar na não repúdio gravandoAWSAções do Management Console e chamadas de API. Você pode identificar os usuários eAWScontas que chamaram umAWSserviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos emAWS CloudTrailGrave o conteúdo. | |
| T0376 | Estabeleça, forneça recursos, implemente e avalie programas de gerenciamento da força de trabalho cibernética de acordo com os requisitos organizacionais. | A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluemAWSinformações da conta que acessaram um bucket do Amazon S3, endereço IP e hora do evento. | |
| T0376 | Estabeleça, forneça recursos, implemente e avalie programas de gerenciamento da força de trabalho cibernética de acordo com os requisitos organizacionais. | As permissões e autorizações de acesso podem ser gerenciadas e incorporadas com os princípios de menor privilégio e separação de funções, habilitando o Kerberos para clusters do Amazon EMR. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como principais. Os diretores existem dentro de um reino de Kerberos. Dentro do reino, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para os diretores se autenticarem. O KDC se autentica emitindo tíquetes para autenticação. O KDC mantém um banco de dados das entidades principais dentro do realm, as senhas e outras informações administrativas sobre cada principal. | |
| T0376 | Estabeleça, forneça recursos, implemente e avalie programas de gerenciamento da força de trabalho cibernética de acordo com os requisitos organizacionais. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todosAWSChaves do serviço de gerenciamento de chaves. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. Essa regra permite que você defina oblockedActionsPatternsparâmetro. (AWSValor fundamental das melhores práticas de segurança: kms:decrypt, kms:ReEncryptFrom). Os valores reais devem refletir as políticas da sua organização | |
| T0376 | Estabeleça, forneça recursos, implemente e avalie programas de gerenciamento da força de trabalho cibernética de acordo com os requisitos organizacionais. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o mínimo de privilégios. | |
| T0376 | Estabeleça, forneça recursos, implemente e avalie programas de gerenciamento da força de trabalho cibernética de acordo com os requisitos organizacionais. | Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política embutida para permitir ações bloqueadas em todosAWSChaves do serviço de gerenciamento de chaves.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina oblockedActionsPatternsparâmetro. (AWSValor fundamental das melhores práticas de segurança: kms:decrypt, kms:ReEncryptFrom). Os valores reais devem refletir as políticas da sua organização. | |
| T0376 | Estabeleça, forneça recursos, implemente e avalie programas de gerenciamento da força de trabalho cibernética de acordo com os requisitos organizacionais. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” em vez de “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| T0376 | Estabeleça, forneça recursos, implemente e avalie programas de gerenciamento da força de trabalho cibernética de acordo com os requisitos organizacionais. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a restringir as permissões e autorizações de acesso, garantindo que os usuários sejam membros de pelo menos um grupo. Permitir aos usuários mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| T0376 | Estabeleça, forneça recursos, implemente e avalie programas de gerenciamento da força de trabalho cibernética de acordo com os requisitos organizacionais. | Esta regra garanteAWSAs políticas de gerenciamento de identidade e acesso (IAM) são vinculadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios no nível do grupo ou da função ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| T0376 | Estabeleça, forneça recursos, implemente e avalie programas de gerenciamento da força de trabalho cibernética de acordo com os requisitos organizacionais. | O registro de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados por meio da captura de registros detalhados das solicitações feitas a um bucket do Amazon S3. Cada registro de registro de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem o solicitante, nome do bucket, hora da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante. | |
| T0376 | Estabeleça, forneça recursos, implemente e avalie programas de gerenciamento da força de trabalho cibernética de acordo com os requisitos organizacionais. | Os registros de fluxo do VPC fornecem registros detalhados de informações sobre o tráfego IP que vai e vem das interfaces de rede em sua Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro do log de fluxo inclui valores para os diferentes componentes do fluxo IP, incluindo a origem, o destino e o protocolo. | |
| T0416 | Habilite aplicativos com chaveamento público aproveitando as bibliotecas existentes de infraestrutura de chave pública (PKI) e incorporando funcionalidades de gerenciamento e criptografia de certificados quando apropriado. | Garanta que a integridade da rede esteja protegida garantindo que os certificados X509 sejam emitidos porAWSACM. Esses certificados devem ser válidos e não expirados. Essa regra exige um valor paradaysToExpiration(AWSValor das melhores práticas básicas de segurança: 90). O valor real deve refletir as políticas da sua organização. | |
| T0416 | Habilite aplicativos com chaveamento público aproveitando as bibliotecas existentes de infraestrutura de chave pública (PKI) e incorporando funcionalidades de gerenciamento e criptografia de certificados quando apropriado. | Para ajudar a proteger os dados em trânsito, certifique-se de que seu Application Load Balancer redirecione automaticamente solicitações HTTP não criptografadas para HTTPS. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| T0416 | Habilite aplicativos com chaveamento público aproveitando as bibliotecas existentes de infraestrutura de chave pública (PKI) e incorporando funcionalidades de gerenciamento e criptografia de certificados quando apropriado. | Garantanode-to-nodecriptografia para AmazonOpenSearchO serviço está habilitado. Node-to-nodea criptografia permite a criptografia TLS 1.2 para todas as comunicações dentro da Amazon Virtual Private Cloud (Amazon VPC). Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| T0416 | Habilite aplicativos com chaveamento público aproveitando as bibliotecas existentes de infraestrutura de chave pública (PKI) e incorporando funcionalidades de gerenciamento e criptografia de certificados quando apropriado. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em trânsito, garanta que a criptografia esteja habilitada para seu Elastic Load Balancing. UseAWSGerenciador de certificados para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados comAWSserviços e recursos internos. | |
| T0416 | Habilite aplicativos com chaveamento público aproveitando as bibliotecas existentes de infraestrutura de chave pública (PKI) e incorporando funcionalidades de gerenciamento e criptografia de certificados quando apropriado. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em trânsito, garanta que a criptografia esteja habilitada para seu Elastic Load Balancing. UseAWSGerenciador de certificados para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados comAWSserviços e recursos internos. | |
| T0416 | Habilite aplicativos com chaveamento público aproveitando as bibliotecas existentes de infraestrutura de chave pública (PKI) e incorporando funcionalidades de gerenciamento e criptografia de certificados quando apropriado. | Certifique-se de que seus Elastic Load Balancers (ELBs) estejam configurados com ouvintes SSL ou HTTPS. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| T0416 | Habilite aplicativos com chaveamento público aproveitando as bibliotecas existentes de infraestrutura de chave pública (PKI) e incorporando funcionalidades de gerenciamento e criptografia de certificados quando apropriado. | Garantanode-to-nodecriptografia para AmazonOpenSearchO serviço está habilitado. Node-to-nodea criptografia permite a criptografia TLS 1.2 para todas as comunicações dentro da Amazon Virtual Private Cloud (Amazon VPC). Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| T0416 | Habilite aplicativos com chaveamento público aproveitando as bibliotecas existentes de infraestrutura de chave pública (PKI) e incorporando funcionalidades de gerenciamento e criptografia de certificados quando apropriado. | Certifique-se de que seus clusters do Amazon Redshift exijam criptografia TLS/SSL para se conectar aos clientes SQL. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| T0416 | Habilite aplicativos com chaveamento público aproveitando as bibliotecas existentes de infraestrutura de chave pública (PKI) e incorporando funcionalidades de gerenciamento e criptografia de certificados quando apropriado. | Para ajudar a proteger os dados em trânsito, certifique-se de que seus buckets do Amazon Simple Storage Service (Amazon S3) exijam solicitações para usar o Secure Socket Layer (SSL). Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| T0416 | Habilite aplicativos com chaveamento público aproveitando as bibliotecas existentes de infraestrutura de chave pública (PKI) e incorporando funcionalidades de gerenciamento e criptografia de certificados quando apropriado. | Certifique-se de que os estágios da API REST do Amazon API Gateway estejam configurados com certificados SSL para permitir que os sistemas de back-end autentiquem que as solicitações são originadas do API Gateway. | |
| T0421 | Gerencie a indexação/catalogação, o armazenamento e o acesso ao conhecimento organizacional explícito (por exemplo, documentos impressos, arquivos digitais). | Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. Os recursos do EC2 não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus aplicativos ou servidores. | |
| T0421 | Gerencie a indexação/catalogação, o armazenamento e o acesso ao conhecimento organizacional explícito (por exemplo, documentos impressos, arquivos digitais). | Gerencie o acesso aoAWSNuvem, garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| T0421 | Gerencie a indexação/catalogação, o armazenamento e o acesso ao conhecimento organizacional explícito (por exemplo, documentos impressos, arquivos digitais). | Gerencie o acesso aoAWSNuvem garantindo que os snapshots do EBS não possam ser restaurados publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| T0421 | Gerencie a indexação/catalogação, o armazenamento e o acesso ao conhecimento organizacional explícito (por exemplo, documentos impressos, arquivos digitais). | Gerencie o acesso aoAWSNuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| T0421 | Gerencie a indexação/catalogação, o armazenamento e o acesso ao conhecimento organizacional explícito (por exemplo, documentos impressos, arquivos digitais). | Gerencie o acesso aoAWSNuvem, garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| T0421 | Gerencie a indexação/catalogação, o armazenamento e o acesso ao conhecimento organizacional explícito (por exemplo, documentos impressos, arquivos digitais). | Gerencie o acesso aos recursos noAWSNuvem, garantindoAWSAs funções do Lambda não podem ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos. | |
| T0421 | Gerencie a indexação/catalogação, o armazenamento e o acesso ao conhecimento organizacional explícito (por exemplo, documentos impressos, arquivos digitais). | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas. | |
| T0421 | Gerencie a indexação/catalogação, o armazenamento e o acesso ao conhecimento organizacional explícito (por exemplo, documentos impressos, arquivos digitais). | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| T0421 | Gerencie a indexação/catalogação, o armazenamento e o acesso ao conhecimento organizacional explícito (por exemplo, documentos impressos, arquivos digitais). | Gerencie o acesso aos recursos noAWSNuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| T0421 | Gerencie a indexação/catalogação, o armazenamento e o acesso ao conhecimento organizacional explícito (por exemplo, documentos impressos, arquivos digitais). | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente oignorePublicAcls(Padrão de configuração: verdadeiro),blockPublicPolicy(Padrão de configuração: verdadeiro),blockPublicAcls(Config Default: True), erestrictPublicBucketsparâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização. | |
| T0421 | Gerencie a indexação/catalogação, o armazenamento e o acesso ao conhecimento organizacional explícito (por exemplo, documentos impressos, arquivos digitais). | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| T0421 | Gerencie a indexação/catalogação, o armazenamento e o acesso ao conhecimento organizacional explícito (por exemplo, documentos impressos, arquivos digitais). | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| T0421 | Gerencie a indexação/catalogação, o armazenamento e o acesso ao conhecimento organizacional explícito (por exemplo, documentos impressos, arquivos digitais). | GarantaAWSOs documentos do Systems Manager (SSM) não são públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos. | |
| T0421 | Gerencie a indexação/catalogação, o armazenamento e o acesso ao conhecimento organizacional explícito (por exemplo, documentos impressos, arquivos digitais). | As permissões e autorizações de acesso podem ser gerenciadas e incorporadas com os princípios de menor privilégio e separação de funções, habilitando o Kerberos para clusters do Amazon EMR. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como principais. Os diretores existem dentro de um reino de Kerberos. Dentro do reino, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para os diretores se autenticarem. O KDC se autentica emitindo tíquetes para autenticação. O KDC mantém um banco de dados das entidades principais dentro do realm, as senhas e outras informações administrativas sobre cada principal. | |
| T0421 | Gerencie a indexação/catalogação, o armazenamento e o acesso ao conhecimento organizacional explícito (por exemplo, documentos impressos, arquivos digitais). | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| T0421 | Gerencie a indexação/catalogação, o armazenamento e o acesso ao conhecimento organizacional explícito (por exemplo, documentos impressos, arquivos digitais). | Gerencie o acesso aoAWSNuvem garantindo que as sub-redes Amazon Virtual Private Cloud (VPC) não recebam automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são lançadas em sub-redes que têm esse atributo ativado têm um endereço IP público atribuído à sua interface de rede primária. | |
| T0475 | Avalie os controles de acesso adequados com base nos princípios de menor privilégio eneed-to-know. | Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. Os recursos do EC2 não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus aplicativos ou servidores. | |
| T0475 | Avalie os controles de acesso adequados com base nos princípios de menor privilégio eneed-to-know. | Os perfis de instância do EC2 transmitem uma função do IAM para uma instância do EC2. Anexar um perfil de instância às suas instâncias pode ajudar no menor gerenciamento de privilégios e permissões. | |
| T0475 | Avalie os controles de acesso adequados com base nos princípios de menor privilégio eneed-to-know. | Se uma definição de tarefa tem privilégios elevados, é porque o cliente optou especificamente por essas configurações. Esse controle verifica o aumento inesperado de privilégios quando uma definição de tarefa tem a rede do host habilitada, mas o cliente não optou por privilégios elevados. | |
| T0475 | Avalie os controles de acesso adequados com base nos princípios de menor privilégio eneed-to-know. | Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política em linha para controlar o acesso a sistemas e ativos.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem reutilização, controle de versão e reversão, além de delegar o gerenciamento de permissões. | |
| T0475 | Avalie os controles de acesso adequados com base nos princípios de menor privilégio eneed-to-know. | Certifique-se de que as ações do IAM sejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| T0475 | Avalie os controles de acesso adequados com base nos princípios de menor privilégio eneed-to-know. | Implante instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços dentro da Amazon VPC, sem exigir um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Atribua instâncias do Amazon EC2 a uma Amazon VPC para gerenciar adequadamente o acesso. | |
| T0475 | Avalie os controles de acesso adequados com base nos princípios de menor privilégio eneed-to-know. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente oignorePublicAcls(Padrão de configuração: verdadeiro),blockPublicPolicy(Padrão de configuração: verdadeiro),blockPublicAcls(Config Default: True), erestrictPublicBucketsparâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização. | |
| T0475 | Avalie os controles de acesso adequados com base nos princípios de menor privilégio eneed-to-know. | GarantaAWSOs documentos do Systems Manager (SSM) não são públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos. | |
| T0475 | Avalie os controles de acesso adequados com base nos princípios de menor privilégio eneed-to-know. | Gerencie o acesso aoAWSNuvem, garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| T0475 | Avalie os controles de acesso adequados com base nos princípios de menor privilégio eneed-to-know. | Gerencie o acesso aoAWSNuvem garantindo que os snapshots do EBS não possam ser restaurados publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| T0475 | Avalie os controles de acesso adequados com base nos princípios de menor privilégio eneed-to-know. | Gerencie o acesso aoAWSNuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| T0475 | Avalie os controles de acesso adequados com base nos princípios de menor privilégio eneed-to-know. | Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchServiço (OpenSearch(Serviço) Os domínios estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). UmOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entreOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| T0475 | Avalie os controles de acesso adequados com base nos princípios de menor privilégio eneed-to-know. | As permissões e autorizações de acesso podem ser gerenciadas e incorporadas com os princípios de menor privilégio e separação de funções, habilitando o Kerberos para clusters do Amazon EMR. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como principais. Os diretores existem dentro de um reino de Kerberos. Dentro do reino, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para os diretores se autenticarem. O KDC se autentica emitindo tíquetes para autenticação. O KDC mantém um banco de dados das entidades principais dentro do realm, as senhas e outras informações administrativas sobre cada principal. | |
| T0475 | Avalie os controles de acesso adequados com base nos princípios de menor privilégio eneed-to-know. | Gerencie o acesso aoAWSNuvem, garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| T0475 | Avalie os controles de acesso adequados com base nos princípios de menor privilégio eneed-to-know. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todosAWSChaves do serviço de gerenciamento de chaves. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. Essa regra permite que você defina oblockedActionsPatternsparâmetro. (AWSValor fundamental das melhores práticas de segurança: kms:decrypt, kms:ReEncryptFrom). Os valores reais devem refletir as políticas da sua organização | |
| T0475 | Avalie os controles de acesso adequados com base nos princípios de menor privilégio eneed-to-know. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o mínimo de privilégios. | |
| T0475 | Avalie os controles de acesso adequados com base nos princípios de menor privilégio eneed-to-know. | Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política embutida para permitir ações bloqueadas em todosAWSChaves do serviço de gerenciamento de chaves.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina oblockedActionsPatternsparâmetro. (AWSValor fundamental das melhores práticas de segurança: kms:decrypt, kms:ReEncryptFrom). Os valores reais devem refletir as políticas da sua organização. | |
| T0475 | Avalie os controles de acesso adequados com base nos princípios de menor privilégio eneed-to-know. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” em vez de “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| T0475 | Avalie os controles de acesso adequados com base nos princípios de menor privilégio eneed-to-know. | O acesso a sistemas e ativos pode ser controlado verificando se o usuário root não tem chaves de acesso anexadas aos seusAWSFunção de gerenciamento de identidade e acesso (IAM). Certifique-se de que as chaves de acesso root sejam excluídas. Em vez disso, crie e use com base em funçõesAWScontas para ajudar a incorporar o princípio da menor funcionalidade. | |
| T0475 | Avalie os controles de acesso adequados com base nos princípios de menor privilégio eneed-to-know. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a restringir as permissões e autorizações de acesso, garantindo que os usuários sejam membros de pelo menos um grupo. Permitir aos usuários mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| T0475 | Avalie os controles de acesso adequados com base nos princípios de menor privilégio eneed-to-know. | Esta regra garanteAWSAs políticas de gerenciamento de identidade e acesso (IAM) são vinculadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios no nível do grupo ou da função ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| T0475 | Avalie os controles de acesso adequados com base nos princípios de menor privilégio eneed-to-know. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período de tempo especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou remover as credenciais, pois isso pode violar o princípio do menor privilégio. Essa regra exige que você defina um valor para omaxCredentialUsageIdade (padrão de configuração: 90). O valor real deve refletir as políticas da sua organização. | |
| T0475 | Avalie os controles de acesso adequados com base nos princípios de menor privilégio eneed-to-know. | Gerencie o acesso aos recursos noAWSNuvem, garantindoAWSAs funções do Lambda não podem ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos. | |
| T0475 | Avalie os controles de acesso adequados com base nos princípios de menor privilégio eneed-to-know. | ImplantarAWSO Lambda funciona em uma Amazon Virtual Private Cloud (Amazon VPC) para uma comunicação segura entre uma função e outros serviços dentro da Amazon VPC. Com essa configuração, não há necessidade de um gateway de Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece seguro dentro doAWSNuvem. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Para gerenciar adequadamente o acesso,AWSAs funções lambda devem ser atribuídas a uma VPC. | |
| T0475 | Avalie os controles de acesso adequados com base nos princípios de menor privilégio eneed-to-know. | Gerencie o acesso aoAWSNuvem garantindo que os domínios do Amazon Elasticsearch Service (Amazon ES) estejam dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon ES em um Amazon VPC permite a comunicação segura entre o Amazon ES e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| T0475 | Avalie os controles de acesso adequados com base nos princípios de menor privilégio eneed-to-know. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas. | |
| T0475 | Avalie os controles de acesso adequados com base nos princípios de menor privilégio eneed-to-know. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| T0475 | Avalie os controles de acesso adequados com base nos princípios de menor privilégio eneed-to-know. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| T0475 | Avalie os controles de acesso adequados com base nos princípios de menor privilégio eneed-to-know. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| T0475 | Avalie os controles de acesso adequados com base nos princípios de menor privilégio eneed-to-know. | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| T0475 | Avalie os controles de acesso adequados com base nos princípios de menor privilégio eneed-to-know. | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| T0475 | Avalie os controles de acesso adequados com base nos princípios de menor privilégio eneed-to-know. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a AmazonSageMakeros notebooks não permitem acesso direto à internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| T0475 | Avalie os controles de acesso adequados com base nos princípios de menor privilégio eneed-to-know. | Gerencie o acesso aoAWSNuvem garantindo que as sub-redes Amazon Virtual Private Cloud (VPC) não recebam automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são lançadas em sub-redes que têm esse atributo ativado têm um endereço IP público atribuído à sua interface de rede primária. | |
| T0489 | Implemente medidas de segurança do sistema de acordo com os procedimentos estabelecidos para garantir confidencialidade, integridade, disponibilidade, autenticação e não repúdio. | Garanta a AmazonOpenSearchOs domínios de serviço têm registros de erros habilitados e transmitidos para a AmazonCloudWatchRegistros para retenção e resposta. Os registros de erros do domínio podem ajudar nas auditorias de segurança e acesso e podem ajudar a diagnosticar problemas de disponibilidade. | |
| T0489 | Implemente medidas de segurança do sistema de acordo com os procedimentos estabelecidos para garantir confidencialidade, integridade, disponibilidade, autenticação e não repúdio. | AWS CloudTrailregistrosAWSAções do Management Console e chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando as chamadas ocorreram. CloudTrailentregará arquivos de log de todosAWSRegiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver ativado. Além disso, quandoAWSlança uma nova região,CloudTrailcriará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| T0489 | Implemente medidas de segurança do sistema de acordo com os procedimentos estabelecidos para garantir confidencialidade, integridade, disponibilidade, autenticação e não repúdio. | Para ajudar com o registro e o monitoramento em seu ambiente, habiliteAWSRegistro WAF (V2) em ACLs da web regionais e globais.AWS O registro do WAF fornece informações detalhadas sobre o tráfego que é analisado pela sua ACL da web. Os registros registram a hora em queAWSO WAF recebeu a solicitação do seuAWSrecurso, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu. | |
| T0489 | Implemente medidas de segurança do sistema de acordo com os procedimentos estabelecidos para garantir confidencialidade, integridade, disponibilidade, autenticação e não repúdio. | O registro do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como acessaram a API. Esse insight permite a visibilidade das atividades do usuário. | |
| T0489 | Implemente medidas de segurança do sistema de acordo com os procedimentos estabelecidos para garantir confidencialidade, integridade, disponibilidade, autenticação e não repúdio. | Use a AmazonCloudWatchpara coletar e gerenciar centralmente a atividade de eventos de registro. Inclusão deAWS CloudTrailos dados fornecem detalhes da atividade de chamadas de API em seuAWSconta. | |
| T0489 | Implemente medidas de segurança do sistema de acordo com os procedimentos estabelecidos para garantir confidencialidade, integridade, disponibilidade, autenticação e não repúdio. | AWS CloudTrailpode ajudar na não repúdio gravandoAWSAções do Management Console e chamadas de API. Você pode identificar os usuários eAWScontas que chamaram umAWSserviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos emAWS CloudTrailGrave o conteúdo. | |
| T0489 | Implemente medidas de segurança do sistema de acordo com os procedimentos estabelecidos para garantir confidencialidade, integridade, disponibilidade, autenticação e não repúdio. | A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluemAWSinformações da conta que acessaram um bucket do Amazon S3, endereço IP e hora do evento. | |
| T0489 | Implemente medidas de segurança do sistema de acordo com os procedimentos estabelecidos para garantir confidencialidade, integridade, disponibilidade, autenticação e não repúdio. | A atividade do Elastic Load Balancing é um ponto central de comunicação dentro de um ambiente. Certifique-se de que o registro do ELB esteja ativado. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor. | |
| T0489 | Implemente medidas de segurança do sistema de acordo com os procedimentos estabelecidos para garantir confidencialidade, integridade, disponibilidade, autenticação e não repúdio. | Para ajudar com o registro e o monitoramento em seu ambiente, certifique-se de que o registro do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| T0489 | Implemente medidas de segurança do sistema de acordo com os procedimentos estabelecidos para garantir confidencialidade, integridade, disponibilidade, autenticação e não repúdio. | Para proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seus clusters do Amazon Redshift. Você também deve garantir que as configurações necessárias sejam implantadas nos clusters do Amazon Redshift. O registro de auditoria deve estar habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido paraclusterDbEncrypted(Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). Os valores reais devem refletir as políticas da sua organização. | |
| T0489 | Implemente medidas de segurança do sistema de acordo com os procedimentos estabelecidos para garantir confidencialidade, integridade, disponibilidade, autenticação e não repúdio. | O registro de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados por meio da captura de registros detalhados das solicitações feitas a um bucket do Amazon S3. Cada registro de registro de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem o solicitante, nome do bucket, hora da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante. | |
| T0489 | Implemente medidas de segurança do sistema de acordo com os procedimentos estabelecidos para garantir confidencialidade, integridade, disponibilidade, autenticação e não repúdio. | Os registros de fluxo do VPC fornecem registros detalhados de informações sobre o tráfego IP que vai e vem das interfaces de rede em sua Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro do log de fluxo inclui valores para os diferentes componentes do fluxo IP, incluindo a origem, o destino e o protocolo. | |
| T0491 | Instale e configure hardware, software e equipamentos periféricos para usuários do sistema de acordo com os padrões organizacionais. | É possível fazer um inventário das plataformas de software e aplicativos dentro da organização gerenciando instâncias do Amazon Elastic Compute Cloud (Amazon EC2) comAWSGerente de sistemas. UsarAWSSystems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome do aplicativo, editor e versão e outros detalhes sobre seu ambiente. | |
| T0491 | Instale e configure hardware, software e equipamentos periféricos para usuários do sistema de acordo com os padrões organizacionais. | UsarAWSAssociações de gerentes de sistemas para ajudar no inventário de plataformas e aplicativos de software em uma organização.AWS O Systems Manager atribui um estado de configuração às suas instâncias gerenciadas e permite que você defina linhas de base dos níveis de patch do sistema operacional, instalações de software, configurações de aplicativos e outros detalhes sobre seu ambiente. | |
| T0491 | Instale e configure hardware, software e equipamentos periféricos para usuários do sistema de acordo com os padrões organizacionais. | Ative essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com o patch emAWSGerenciador de sistemas conforme exigido pelas políticas e procedimentos da sua organização. | |
| T0503 | Monitore fontes de dados externas (por exemplo, sites de fornecedores de defesa cibernética, equipes de resposta a emergências de computador, foco na segurança) para manter a atualidade da condição de ameaça à defesa cibernética e determinar quais problemas de segurança podem ter um impacto na empresa. | AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem. | |
| T0509 | Realize uma avaliação de risco de segurança da informação. | annual-risk-assessment-performed(verificação do processo) | Faça uma avaliação anual de riscos em sua organização. As avaliações de risco podem ajudar a determinar a probabilidade e o impacto dos riscos e/ou vulnerabilidades identificados que afetam uma organização. |
| T0553 | Aplique funções de segurança cibernética (por exemplo, criptografia, controle de acesso e gerenciamento de identidade) para reduzir as oportunidades de exploração. | Para ajudar a proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seus volumes do Amazon Elastic Block Store (Amazon EBS). Como dados confidenciais podem existir em repouso nesses volumes, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| T0553 | Aplique funções de segurança cibernética (por exemplo, criptografia, controle de acesso e gerenciamento de identidade) para reduzir as oportunidades de exploração. | Garantanode-to-nodea criptografia para o Amazon Elasticsearch Service está habilitada. Node-to-nodea criptografia permite a criptografia TLS 1.2 para todas as comunicações dentro da Amazon Virtual Private Cloud (Amazon VPC). Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| T0553 | Aplique funções de segurança cibernética (por exemplo, criptografia, controle de acesso e gerenciamento de identidade) para reduzir as oportunidades de exploração. | Certifique-se de que seus Elastic Load Balancers (ELBs) estejam configurados com ouvintes SSL ou HTTPS. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| T0553 | Aplique funções de segurança cibernética (por exemplo, criptografia, controle de acesso e gerenciamento de identidade) para reduzir as oportunidades de exploração. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todosAWSChaves do serviço de gerenciamento de chaves. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. Essa regra permite que você defina oblockedActionsPatternsparâmetro. (AWSValor fundamental das melhores práticas de segurança: kms:decrypt, kms:ReEncryptFrom). Os valores reais devem refletir as políticas da sua organização | |
| T0553 | Aplique funções de segurança cibernética (por exemplo, criptografia, controle de acesso e gerenciamento de identidade) para reduzir as oportunidades de exploração. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o mínimo de privilégios. | |
| T0553 | Aplique funções de segurança cibernética (por exemplo, criptografia, controle de acesso e gerenciamento de identidade) para reduzir as oportunidades de exploração. | Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política embutida para permitir ações bloqueadas em todosAWSChaves do serviço de gerenciamento de chaves.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina oblockedActionsPatternsparâmetro. (AWSValor fundamental das melhores práticas de segurança: kms:decrypt, kms:ReEncryptFrom). Os valores reais devem refletir as políticas da sua organização. | |
| T0553 | Aplique funções de segurança cibernética (por exemplo, criptografia, controle de acesso e gerenciamento de identidade) para reduzir as oportunidades de exploração. | Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política em linha para controlar o acesso a sistemas e ativos.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem reutilização, controle de versão e reversão, além de delegar o gerenciamento de permissões. | |
| T0553 | Aplique funções de segurança cibernética (por exemplo, criptografia, controle de acesso e gerenciamento de identidade) para reduzir as oportunidades de exploração. | As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política de senha organizacional do IAM. Eles atendem ou excedem os requisitos, conforme declarado pelo NIST SP 800-63 e peloAWSPadrão básico de melhores práticas de segurança para segurança de senhas. Essa regra permite que você defina opcionalmenteRequireUppercaseCharacters(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireLowercaseCharacters(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireSymbols(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireNumbers(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),MinimumPasswordLength(AWSValor fundamental das melhores práticas de segurança: 14),PasswordReusePrevention(AWSValor fundamental das melhores práticas de segurança: 24) eMaxPasswordAge(AWSValor fundamental das melhores práticas de segurança: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da sua organização. | |
| T0553 | Aplique funções de segurança cibernética (por exemplo, criptografia, controle de acesso e gerenciamento de identidade) para reduzir as oportunidades de exploração. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” em vez de “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| T0553 | Aplique funções de segurança cibernética (por exemplo, criptografia, controle de acesso e gerenciamento de identidade) para reduzir as oportunidades de exploração. | Certifique-se de que as ações do IAM sejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| T0553 | Aplique funções de segurança cibernética (por exemplo, criptografia, controle de acesso e gerenciamento de identidade) para reduzir as oportunidades de exploração. | O acesso a sistemas e ativos pode ser controlado verificando se o usuário root não tem chaves de acesso anexadas aos seusAWSFunção de gerenciamento de identidade e acesso (IAM). Certifique-se de que as chaves de acesso root sejam excluídas. Em vez disso, crie e use com base em funçõesAWScontas para ajudar a incorporar o princípio da menor funcionalidade. | |
| T0553 | Aplique funções de segurança cibernética (por exemplo, criptografia, controle de acesso e gerenciamento de identidade) para reduzir as oportunidades de exploração. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a restringir as permissões e autorizações de acesso, garantindo que os usuários sejam membros de pelo menos um grupo. Permitir aos usuários mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| T0553 | Aplique funções de segurança cibernética (por exemplo, criptografia, controle de acesso e gerenciamento de identidade) para reduzir as oportunidades de exploração. | Ative essa regra para restringir o acesso aos recursos noAWSNuvem. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção sobre um nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo MFA para os usuários. | |
| T0553 | Aplique funções de segurança cibernética (por exemplo, criptografia, controle de acesso e gerenciamento de identidade) para reduzir as oportunidades de exploração. | Esta regra garanteAWSAs políticas de gerenciamento de identidade e acesso (IAM) são vinculadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios no nível do grupo ou da função ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| T0553 | Aplique funções de segurança cibernética (por exemplo, criptografia, controle de acesso e gerenciamento de identidade) para reduzir as oportunidades de exploração. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período de tempo especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou remover as credenciais, pois isso pode violar o princípio do menor privilégio. Essa regra exige que você defina um valor para omaxCredentialUsageIdade (padrão de configuração: 90). O valor real deve refletir as políticas da sua organização. | |
| T0553 | Aplique funções de segurança cibernética (por exemplo, criptografia, controle de acesso e gerenciamento de identidade) para reduzir as oportunidades de exploração. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a MFA esteja habilitada para todosAWSUsuários do Gerenciamento de Identidade e Acesso (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir a MFA para os usuários, você pode reduzir os incidentes de contas comprometidas e impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| T0553 | Aplique funções de segurança cibernética (por exemplo, criptografia, controle de acesso e gerenciamento de identidade) para reduzir as oportunidades de exploração. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seus domínios do Amazon Elasticsearch Service (Amazon ES). | |
| T0553 | Aplique funções de segurança cibernética (por exemplo, criptografia, controle de acesso e gerenciamento de identidade) para reduzir as oportunidades de exploração. | Garantanode-to-nodea criptografia para o Amazon Elasticsearch Service está habilitada. Node-to-nodea criptografia permite a criptografia TLS 1.2 para todas as comunicações dentro da Amazon Virtual Private Cloud (Amazon VPC). Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| T0553 | Aplique funções de segurança cibernética (por exemplo, criptografia, controle de acesso e gerenciamento de identidade) para reduzir as oportunidades de exploração. | Certifique-se de que a criptografia esteja habilitada para seus snapshots do Amazon Relational Database Service (Amazon RDS). Como dados confidenciais podem existir em repouso, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| T0553 | Aplique funções de segurança cibernética (por exemplo, criptografia, controle de acesso e gerenciamento de identidade) para reduzir as oportunidades de exploração. | Certifique-se de que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso em um bucket do Amazon S3, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| T0553 | Aplique funções de segurança cibernética (por exemplo, criptografia, controle de acesso e gerenciamento de identidade) para reduzir as oportunidades de exploração. | Para ajudar a proteger os dados em repouso, garanta a criptografia comAWSServiço de gerenciamento de chaves (AWSO KMS) está habilitado para seuSageMakercaderno. Porque dados confidenciais podem existir em repouso noSageMakernotebook, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| T0553 | Aplique funções de segurança cibernética (por exemplo, criptografia, controle de acesso e gerenciamento de identidade) para reduzir as oportunidades de exploração. | Para ajudar a proteger os dados em trânsito, certifique-se de que seu Application Load Balancer redirecione automaticamente solicitações HTTP não criptografadas para HTTPS. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| T0553 | Aplique funções de segurança cibernética (por exemplo, criptografia, controle de acesso e gerenciamento de identidade) para reduzir as oportunidades de exploração. | Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja ativada para o cache do estágio do API Gateway. Como dados confidenciais podem ser capturados pelo método da API, ative a criptografia em repouso para ajudar a proteger esses dados. | |
| T0553 | Aplique funções de segurança cibernética (por exemplo, criptografia, controle de acesso e gerenciamento de identidade) para reduzir as oportunidades de exploração. | Certifique-se de que os estágios da API REST do Amazon API Gateway estejam configurados com certificados SSL para permitir que os sistemas de back-end autentiquem que as solicitações são originadas do API Gateway. | |
| T0553 | Aplique funções de segurança cibernética (por exemplo, criptografia, controle de acesso e gerenciamento de identidade) para reduzir as oportunidades de exploração. | Como podem existir dados confidenciais e, para ajudar a proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seuAWS CloudTrailtrilhas. | |
| T0553 | Aplique funções de segurança cibernética (por exemplo, criptografia, controle de acesso e gerenciamento de identidade) para reduzir as oportunidades de exploração. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seu Amazon Elastic File System (EFS). | |
| T0553 | Aplique funções de segurança cibernética (por exemplo, criptografia, controle de acesso e gerenciamento de identidade) para reduzir as oportunidades de exploração. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seus domínios do Amazon Elasticsearch Service (Amazon ES). | |
| T0553 | Aplique funções de segurança cibernética (por exemplo, criptografia, controle de acesso e gerenciamento de identidade) para reduzir as oportunidades de exploração. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em trânsito, garanta que a criptografia esteja habilitada para seu Elastic Load Balancing. UsarAWSGerenciador de certificados para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados comAWSserviços e recursos internos. | |
| T0553 | Aplique funções de segurança cibernética (por exemplo, criptografia, controle de acesso e gerenciamento de identidade) para reduzir as oportunidades de exploração. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seus volumes do Amazon Elastic Block Store (Amazon EBS). | |
| T0553 | Aplique funções de segurança cibernética (por exemplo, criptografia, controle de acesso e gerenciamento de identidade) para reduzir as oportunidades de exploração. | Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para suas instâncias do Amazon Relational Database Service (Amazon RDS). Como dados confidenciais podem existir em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| T0553 | Aplique funções de segurança cibernética (por exemplo, criptografia, controle de acesso e gerenciamento de identidade) para reduzir as oportunidades de exploração. | Para proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seus clusters do Amazon Redshift. Você também deve garantir que as configurações necessárias sejam implantadas nos clusters do Amazon Redshift. O registro de auditoria deve estar habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido paraclusterDbEncrypted(Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). Os valores reais devem refletir as políticas da sua organização. | |
| T0553 | Aplique funções de segurança cibernética (por exemplo, criptografia, controle de acesso e gerenciamento de identidade) para reduzir as oportunidades de exploração. | Para ajudar a proteger os dados em repouso, garanta a criptografia comAWSServiço de gerenciamento de chaves (AWSO KMS) está habilitado para seu cluster do Amazon Redshift. Como dados confidenciais podem existir em repouso nos clusters do Redshift, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| T0553 | Aplique funções de segurança cibernética (por exemplo, criptografia, controle de acesso e gerenciamento de identidade) para reduzir as oportunidades de exploração. | Certifique-se de que seus clusters do Amazon Redshift exijam criptografia TLS/SSL para se conectar aos clientes SQL. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| T0553 | Aplique funções de segurança cibernética (por exemplo, criptografia, controle de acesso e gerenciamento de identidade) para reduzir as oportunidades de exploração. | Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a proteger esses dados. | |
| T0553 | Aplique funções de segurança cibernética (por exemplo, criptografia, controle de acesso e gerenciamento de identidade) para reduzir as oportunidades de exploração. | Para ajudar a proteger os dados em trânsito, certifique-se de que seus buckets do Amazon Simple Storage Service (Amazon S3) exijam solicitações para usar o Secure Socket Layer (SSL). Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| T0553 | Aplique funções de segurança cibernética (por exemplo, criptografia, controle de acesso e gerenciamento de identidade) para reduzir as oportunidades de exploração. | Para ajudar a proteger os dados em repouso, garanta a criptografia comAWSServiço de gerenciamento de chaves (AWSO KMS) está habilitado para seuSageMakerponto final. Porque dados confidenciais podem existir em repouso noSageMakerendpoint, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| T0557 | Integre as principais funções de gerenciamento relacionadas ao ciberespaço. | Ative a rotação de chaves para garantir que as chaves sejam giradas quando chegarem ao final do período criptográfico. | |
| T0557 | Integre as principais funções de gerenciamento relacionadas ao ciberespaço. | Para ajudar a proteger os dados em repouso, certifique-se de que as chaves mestras do cliente (CMKs) necessárias não estejam programadas para exclusão noAWSServiço de gerenciamento de chaves (AWSKMS). Como a exclusão da chave às vezes é necessária, essa regra pode ajudar a verificar todas as chaves programadas para exclusão, caso uma chave tenha sido agendada sem querer. | |
| T0576 | Avalie a inteligência de todas as fontes e recomende metas para apoiar os objetivos da operação cibernética. | AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem. | |
| T0609 | Conduza a habilitação de acesso a computadores sem fio e redes digitais. | GarantaAWSO WAF está ativado nos Elastic Load Balancers (ELB) para ajudar a proteger aplicativos da web. Um WAF ajuda a proteger seus aplicativos ou APIs da web contra explorações comuns da web. Essas explorações na web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente. | |
| T0609 | Conduza a habilitação de acesso a computadores sem fio e redes digitais. | AWSO WAF permite que você configure um conjunto de regras (chamado de lista de controle de acesso à web (ACL da web)) que permitem, bloqueiam ou contam solicitações da Web com base nas regras e condições de segurança da Web personalizáveis que você define. Certifique-se de que seu estágio do Amazon API Gateway esteja associado a uma WAF Web ACL para protegê-lo contra ataques maliciosos | |
| T0609 | Conduza a habilitação de acesso a computadores sem fio e redes digitais. | Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. Os recursos do EC2 não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus aplicativos ou servidores. | |
| T0609 | Conduza a habilitação de acesso a computadores sem fio e redes digitais. | Gerencie o acesso aoAWSNuvem, garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| T0609 | Conduza a habilitação de acesso a computadores sem fio e redes digitais. | Gerencie o acesso aoAWSNuvem garantindo que os snapshots do EBS não possam ser restaurados publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| T0609 | Conduza a habilitação de acesso a computadores sem fio e redes digitais. | Gerencie o acesso aoAWSNuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| T0609 | Conduza a habilitação de acesso a computadores sem fio e redes digitais. | Gerencie o acesso aoAWSNuvem garantindo que os domínios do Amazon Elasticsearch Service (Amazon ES) estejam dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon ES em um Amazon VPC permite a comunicação segura entre o Amazon ES e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| T0609 | Conduza a habilitação de acesso a computadores sem fio e redes digitais. | Gerencie o acesso aoAWSNuvem, garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| T0609 | Conduza a habilitação de acesso a computadores sem fio e redes digitais. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Não permitir tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto. | |
| T0609 | Conduza a habilitação de acesso a computadores sem fio e redes digitais. | Implante instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços dentro da Amazon VPC, sem exigir um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Atribua instâncias do Amazon EC2 a uma Amazon VPC para gerenciar adequadamente o acesso. | |
| T0609 | Conduza a habilitação de acesso a computadores sem fio e redes digitais. | Gerencie o acesso aos recursos noAWSNuvem, garantindoAWSAs funções do Lambda não podem ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos. | |
| T0609 | Conduza a habilitação de acesso a computadores sem fio e redes digitais. | ImplantarAWSO Lambda funciona em uma Amazon Virtual Private Cloud (Amazon VPC) para uma comunicação segura entre uma função e outros serviços dentro da Amazon VPC. Com essa configuração, não há necessidade de um gateway de Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece seguro dentro doAWSNuvem. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Para gerenciar adequadamente o acesso,AWSAs funções lambda devem ser atribuídas a uma VPC. | |
| T0609 | Conduza a habilitação de acesso a computadores sem fio e redes digitais. | Certifique-se de que as tabelas de rotas do Amazon EC2 não tenham rotas irrestritas para um gateway da Internet. Remover ou limitar o acesso à Internet para cargas de trabalho nas Amazon VPCs pode reduzir o acesso não intencional em seu ambiente. | |
| T0609 | Conduza a habilitação de acesso a computadores sem fio e redes digitais. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas. | |
| T0609 | Conduza a habilitação de acesso a computadores sem fio e redes digitais. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| T0609 | Conduza a habilitação de acesso a computadores sem fio e redes digitais. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| T0609 | Conduza a habilitação de acesso a computadores sem fio e redes digitais. | O roteamento aprimorado da VPC força todo o tráfego COPY e UNLOAD entre o cluster e os repositórios de dados a passar pelo Amazon VPC. Em seguida, você pode usar os recursos da VPC, como grupos de segurança e listas de controle de acesso à rede, para proteger o tráfego da rede. Você também pode usar os registros de fluxo da VPC para monitorar o tráfego da rede. | |
| T0609 | Conduza a habilitação de acesso a computadores sem fio e redes digitais. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (padrões de configuração: 20,21,3389,3306,4333). Os valores reais devem refletir as políticas da sua organização. | |
| T0609 | Conduza a habilitação de acesso a computadores sem fio e redes digitais. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente oignorePublicAcls(Padrão de configuração: verdadeiro),blockPublicPolicy(Padrão de configuração: verdadeiro),blockPublicAcls(Config Default: True), erestrictPublicBucketsparâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização. | |
| T0609 | Conduza a habilitação de acesso a computadores sem fio e redes digitais. | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| T0609 | Conduza a habilitação de acesso a computadores sem fio e redes digitais. | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| T0609 | Conduza a habilitação de acesso a computadores sem fio e redes digitais. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a AmazonSageMakeros notebooks não permitem acesso direto à internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| T0609 | Conduza a habilitação de acesso a computadores sem fio e redes digitais. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto ao seuAWSrecursos. | |
| T0609 | Conduza a habilitação de acesso a computadores sem fio e redes digitais. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos. | |
| T0609 | Conduza a habilitação de acesso a computadores sem fio e redes digitais. | Gerencie o acesso aoAWSNuvem garantindo que os domínios do Amazon Elasticsearch Service (Amazon ES) estejam dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon ES em um Amazon VPC permite a comunicação segura entre o Amazon ES e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| T0609 | Conduza a habilitação de acesso a computadores sem fio e redes digitais. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| T0609 | Conduza a habilitação de acesso a computadores sem fio e redes digitais. | Gerencie o acesso aoAWSNuvem garantindo que as sub-redes Amazon Virtual Private Cloud (VPC) não recebam automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são lançadas em sub-redes que têm esse atributo ativado têm um endereço IP público atribuído à sua interface de rede primária. | |
| T0616 | Realize análises de rede e de vulnerabilidade de sistemas dentro de uma rede. | AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem. | |
| T0686 | Identifique as vulnerabilidades das ameaças. | Ative essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com o patch emAWSGerenciador de sistemas conforme exigido pelas políticas e procedimentos da sua organização. | |
| T0686 | Identifique as vulnerabilidades das ameaças. | AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem. | |
| T0706 | Colete informações sobre redes por meio de técnicas tradicionais e alternativas (por exemplo, análise de redes sociais, cadeia de chamadas, análise de tráfego). | Garanta que uma duração mínima dos dados do registro de eventos seja mantida para seus grupos de registros para ajudar na solução de problemas e nas investigações forenses. A falta de dados de registros de eventos anteriores disponíveis dificulta a reconstrução e a identificação de eventos potencialmente maliciosos. | |
| T0706 | Colete informações sobre redes por meio de técnicas tradicionais e alternativas (por exemplo, análise de redes sociais, cadeia de chamadas, análise de tráfego). | Garanta que os domínios do serviço Amazon Elasticsearch tenham registros de erros habilitados e transmitidos para a AmazonCloudWatchRegistros para retenção e resposta. Os registros de erros do domínio podem ajudar nas auditorias de segurança e acesso e podem ajudar a diagnosticar problemas de disponibilidade. | |
| T0706 | Colete informações sobre redes por meio de técnicas tradicionais e alternativas (por exemplo, análise de redes sociais, cadeia de chamadas, análise de tráfego). | Essa regra garante que os limites altos e baixos de simultaneidade de uma função Lambda sejam estabelecidos. Isso pode ajudar a definir como base o número de solicitações que sua função está atendendo a qualquer momento. | |
| T0706 | Colete informações sobre redes por meio de técnicas tradicionais e alternativas (por exemplo, análise de redes sociais, cadeia de chamadas, análise de tráfego). | Ative essa regra para ajudar a notificar a equipe apropriada por meio do Amazon Simple Queue Service (Amazon SQS) ou do Amazon Simple Notification Service (Amazon SNS) quando uma função falhar. | |
| T0706 | Colete informações sobre redes por meio de técnicas tradicionais e alternativas (por exemplo, análise de redes sociais, cadeia de chamadas, análise de tráfego). | AWS CloudTrailregistrosAWSAções do Management Console e chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando as chamadas ocorreram. CloudTrailentregará arquivos de log de todosAWSRegiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver ativado. Além disso, quandoAWSlança uma nova região,CloudTrailcriará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| T0706 | Colete informações sobre redes por meio de técnicas tradicionais e alternativas (por exemplo, análise de redes sociais, cadeia de chamadas, análise de tráfego). | Habilite o Amazon Relational Database Service (Amazon RDS) para ajudar a monitorar a disponibilidade do Amazon RDS. Isso fornece visibilidade detalhada da integridade de suas instâncias de banco de dados do Amazon RDS. Quando o armazenamento do Amazon RDS usa mais de um dispositivo físico subjacente, o Enhanced Monitoring coleta os dados de cada dispositivo. Além disso, quando a instância do banco de dados do Amazon RDS está sendo executada em uma implantação Multi-AZ, os dados de cada dispositivo no host secundário são coletados e as métricas do host secundário. | |
| T0706 | Colete informações sobre redes por meio de técnicas tradicionais e alternativas (por exemplo, análise de redes sociais, cadeia de chamadas, análise de tráfego). | Para ajudar com o registro e o monitoramento em seu ambiente, certifique-se de que o registro do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| T0706 | Colete informações sobre redes por meio de técnicas tradicionais e alternativas (por exemplo, análise de redes sociais, cadeia de chamadas, análise de tráfego). | AWSO Security Hub ajuda a monitorar pessoal, conexões, dispositivos e software não autorizados.AWS O Security Hub agrega, organiza e prioriza os alertas de segurança, ou descobertas, de váriosAWSserviços. Alguns desses serviços são Amazon Security Hub, Amazon Inspector, Amazon Macie,AWSAnalisador de acesso de gerenciamento de identidade e acesso (IAM) eAWSGerenciador de Firewall eAWSSoluções de parceiros. | |
| T0706 | Colete informações sobre redes por meio de técnicas tradicionais e alternativas (por exemplo, análise de redes sociais, cadeia de chamadas, análise de tráfego). | Para ajudar com o registro e o monitoramento em seu ambiente, habiliteAWSRegistro WAF (V2) em ACLs da web regionais e globais.AWS O registro do WAF fornece informações detalhadas sobre o tráfego que é analisado pela sua ACL da web. Os registros registram a hora em queAWSO WAF recebeu a solicitação do seuAWSrecurso, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu. | |
| T0706 | Colete informações sobre redes por meio de técnicas tradicionais e alternativas (por exemplo, análise de redes sociais, cadeia de chamadas, análise de tráfego). | O registro do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como acessaram a API. Esse insight permite a visibilidade das atividades do usuário. | |
| T0706 | Colete informações sobre redes por meio de técnicas tradicionais e alternativas (por exemplo, análise de redes sociais, cadeia de chamadas, análise de tráfego). | As verificações de integridade do Elastic Load Balancer (ELB) para grupos de Auto Scaling do Amazon Elastic Compute Cloud (Amazon EC2) oferecem suporte à manutenção de capacidade e disponibilidade adequadas. O balanceador de carga envia periodicamente pings, tenta conexões ou envia solicitações para testar a integridade das instâncias do Amazon EC2 em um grupo de escalonamento automático. Se uma instância não estiver reportando, o tráfego será enviado para uma nova instância do Amazon EC2. | |
| T0706 | Colete informações sobre redes por meio de técnicas tradicionais e alternativas (por exemplo, análise de redes sociais, cadeia de chamadas, análise de tráfego). | AWSOs relatórios de saúde aprimorados do Elastic Beanstalk permitem uma resposta mais rápida às mudanças na integridade da infraestrutura subjacente. Essas mudanças podem resultar na falta de disponibilidade do aplicativo. Os relatórios de saúde aprimorados do Elastic Beanstalk fornecem um descritor de status para avaliar a gravidade dos problemas identificados e identificar possíveis causas a serem investigadas. | |
| T0706 | Colete informações sobre redes por meio de técnicas tradicionais e alternativas (por exemplo, análise de redes sociais, cadeia de chamadas, análise de tráfego). | Use a AmazonCloudWatchpara coletar e gerenciar centralmente a atividade de eventos de registro. Inclusão deAWS CloudTrailos dados fornecem detalhes da atividade de chamadas de API em seuAWSconta. | |
| T0706 | Colete informações sobre redes por meio de técnicas tradicionais e alternativas (por exemplo, análise de redes sociais, cadeia de chamadas, análise de tráfego). | AWS CloudTrailpode ajudar na não repúdio gravandoAWSAções do Management Console e chamadas de API. Você pode identificar os usuários eAWScontas que chamaram umAWSserviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos emAWS CloudTrailGrave o conteúdo. | |
| T0706 | Colete informações sobre redes por meio de técnicas tradicionais e alternativas (por exemplo, análise de redes sociais, cadeia de chamadas, análise de tráfego). | A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluemAWSinformações da conta que acessaram um bucket do Amazon S3, endereço IP e hora do evento. | |
| T0706 | Colete informações sobre redes por meio de técnicas tradicionais e alternativas (por exemplo, análise de redes sociais, cadeia de chamadas, análise de tráfego). | AmazôniaCloudWatchalertam quando uma métrica ultrapassa o limite de um determinado número de períodos de avaliação. O alarme realiza uma ou mais ações com base no valor da métrica ou na expressão relativa a um limite em alguns períodos. Essa regra exige um valor paraalarmActionRequired(Padrão de configuração: verdadeiro),insufficientDataActionObrigatório (padrão de configuração: verdadeiro),okActionRequired(Padrão de configuração: falso). O valor real deve refletir as ações de alarme do seu ambiente. | |
| T0706 | Colete informações sobre redes por meio de técnicas tradicionais e alternativas (por exemplo, análise de redes sociais, cadeia de chamadas, análise de tráfego). | Ative essa regra para garantir que a capacidade de taxa de transferência provisionada seja verificada em suas tabelas do Amazon DynamoDB. Essa é a quantidade de atividade de leitura/gravação que cada tabela pode suportar. O DynamoDB usa essas informações para reservar recursos suficientes do sistema para atender aos seus requisitos de throughput. Essa regra gera um alerta quando a taxa de transferência se aproxima do limite máximo da conta de um cliente. Essa regra permite que você defina opcionalmente AccountRCUThresholdPercentage(Configuração padrão: 80) e AccountWCUThresholdPercentage(Padrão de configuração: 80) parâmetros. Os valores reais devem refletir as políticas da sua organização. | |
| T0706 | Colete informações sobre redes por meio de técnicas tradicionais e alternativas (por exemplo, análise de redes sociais, cadeia de chamadas, análise de tráfego). | Ative essa regra para ajudar a melhorar o monitoramento de instâncias do Amazon Elastic Compute Cloud (Amazon EC2) no console do Amazon EC2, que exibe gráficos de monitoramento com um período de 1 minuto para a instância. | |
| T0706 | Colete informações sobre redes por meio de técnicas tradicionais e alternativas (por exemplo, análise de redes sociais, cadeia de chamadas, análise de tráfego). | A atividade do Elastic Load Balancing é um ponto central de comunicação dentro de um ambiente. Certifique-se de que o registro do ELB esteja ativado. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor. | |
| T0706 | Colete informações sobre redes por meio de técnicas tradicionais e alternativas (por exemplo, análise de redes sociais, cadeia de chamadas, análise de tráfego). | AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem. | |
| T0706 | Colete informações sobre redes por meio de técnicas tradicionais e alternativas (por exemplo, análise de redes sociais, cadeia de chamadas, análise de tráfego). | Para proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seus clusters do Amazon Redshift. Você também deve garantir que as configurações necessárias sejam implantadas nos clusters do Amazon Redshift. O registro de auditoria deve estar habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido paraclusterDbEncrypted(Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). Os valores reais devem refletir as políticas da sua organização. | |
| T0706 | Colete informações sobre redes por meio de técnicas tradicionais e alternativas (por exemplo, análise de redes sociais, cadeia de chamadas, análise de tráfego). | O registro de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados por meio da captura de registros detalhados das solicitações feitas a um bucket do Amazon S3. Cada registro de registro de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem o solicitante, nome do bucket, hora da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante. | |
| T0706 | Colete informações sobre redes por meio de técnicas tradicionais e alternativas (por exemplo, análise de redes sociais, cadeia de chamadas, análise de tráfego). | Os registros de fluxo do VPC fornecem registros detalhados de informações sobre o tráfego IP que vai e vem das interfaces de rede em sua Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro do log de fluxo inclui valores para os diferentes componentes do fluxo IP, incluindo a origem, o destino e o protocolo. | |
| T0777 | Perfis administradores de rede ou sistema e suas atividades. | AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem. | |
| T0805 | Relate intrusões e eventos de rede significativos derivados da inteligência. | AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem. | |
| T0877 | Trabalhe em cooperação com as unidades organizacionais aplicáveis na supervisão dos direitos de acesso às informações do consumidor | Os perfis de instância do EC2 transmitem uma função do IAM para uma instância do EC2. Anexar um perfil de instância às suas instâncias pode ajudar no menor gerenciamento de privilégios e permissões. | |
| T0877 | Trabalhe em cooperação com as unidades organizacionais aplicáveis na supervisão dos direitos de acesso às informações do consumidor | Se uma definição de tarefa tem privilégios elevados, é porque o cliente optou especificamente por essas configurações. Esse controle verifica o aumento inesperado de privilégios quando uma definição de tarefa tem a rede do host habilitada, mas o cliente não optou por privilégios elevados. | |
| T0877 | Trabalhe em cooperação com as unidades organizacionais aplicáveis na supervisão dos direitos de acesso às informações do consumidor | Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política em linha para controlar o acesso a sistemas e ativos.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem reutilização, controle de versão e reversão, além de delegar o gerenciamento de permissões. | |
| T0877 | Trabalhe em cooperação com as unidades organizacionais aplicáveis na supervisão dos direitos de acesso às informações do consumidor | Certifique-se de que as ações do IAM sejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| T0877 | Trabalhe em cooperação com as unidades organizacionais aplicáveis na supervisão dos direitos de acesso às informações do consumidor | GarantaAWSOs documentos do Systems Manager (SSM) não são públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos. | |
| T0877 | Trabalhe em cooperação com as unidades organizacionais aplicáveis na supervisão dos direitos de acesso às informações do consumidor | As permissões e autorizações de acesso podem ser gerenciadas e incorporadas com os princípios de menor privilégio e separação de funções, habilitando o Kerberos para clusters do Amazon EMR. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como principais. Os diretores existem dentro de um reino de Kerberos. Dentro do reino, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para os diretores se autenticarem. O KDC se autentica emitindo tíquetes para autenticação. O KDC mantém um banco de dados das entidades principais dentro do realm, as senhas e outras informações administrativas sobre cada principal. | |
| T0877 | Trabalhe em cooperação com as unidades organizacionais aplicáveis na supervisão dos direitos de acesso às informações do consumidor | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o mínimo de privilégios. | |
| T0877 | Trabalhe em cooperação com as unidades organizacionais aplicáveis na supervisão dos direitos de acesso às informações do consumidor | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” em vez de “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| T0877 | Trabalhe em cooperação com as unidades organizacionais aplicáveis na supervisão dos direitos de acesso às informações do consumidor | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a restringir as permissões e autorizações de acesso, garantindo que os usuários sejam membros de pelo menos um grupo. Permitir aos usuários mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| T0877 | Trabalhe em cooperação com as unidades organizacionais aplicáveis na supervisão dos direitos de acesso às informações do consumidor | Esta regra garanteAWSAs políticas de gerenciamento de identidade e acesso (IAM) são vinculadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios no nível do grupo ou da função ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| T0877 | Trabalhe em cooperação com as unidades organizacionais aplicáveis na supervisão dos direitos de acesso às informações do consumidor | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (padrões de configuração: 20,21,3389,3306,4333). Os valores reais devem refletir as políticas da sua organização. | |
| T0935 | Realize uma avaliação de risco de segurança da informação. | annual-risk-assessment-performed(verificação do processo) | Faça uma avaliação anual de riscos em sua organização. As avaliações de risco podem ajudar a determinar a probabilidade e o impacto dos riscos e/ou vulnerabilidades identificados que afetam uma organização. |
| T0960 | Monitore as mudanças em um sistema e em seu ambiente de operação. | Essa regra garante que os limites altos e baixos de simultaneidade de uma função Lambda sejam estabelecidos. Isso pode ajudar a definir como base o número de solicitações que sua função está atendendo a qualquer momento. | |
| T0960 | Monitore as mudanças em um sistema e em seu ambiente de operação. | Ative essa regra para ajudar a notificar a equipe apropriada por meio do Amazon Simple Queue Service (Amazon SQS) ou do Amazon Simple Notification Service (Amazon SNS) quando uma função falhar. | |
| T0960 | Monitore as mudanças em um sistema e em seu ambiente de operação. | Habilite o Amazon Relational Database Service (Amazon RDS) para ajudar a monitorar a disponibilidade do Amazon RDS. Isso fornece visibilidade detalhada da integridade de suas instâncias de banco de dados do Amazon RDS. Quando o armazenamento do Amazon RDS usa mais de um dispositivo físico subjacente, o Enhanced Monitoring coleta os dados de cada dispositivo. Além disso, quando a instância do banco de dados do Amazon RDS está sendo executada em uma implantação Multi-AZ, os dados de cada dispositivo no host secundário são coletados e as métricas do host secundário. | |
| T0960 | Monitore as mudanças em um sistema e em seu ambiente de operação. | As verificações de integridade do Elastic Load Balancer (ELB) para grupos de Auto Scaling do Amazon Elastic Compute Cloud (Amazon EC2) oferecem suporte à manutenção de capacidade e disponibilidade adequadas. O balanceador de carga envia periodicamente pings, tenta conexões ou envia solicitações para testar a integridade das instâncias do Amazon EC2 em um grupo de escalonamento automático. Se uma instância não estiver reportando, o tráfego será enviado para uma nova instância do Amazon EC2. | |
| T0960 | Monitore as mudanças em um sistema e em seu ambiente de operação. | AWSOs relatórios de saúde aprimorados do Elastic Beanstalk permitem uma resposta mais rápida às mudanças na integridade da infraestrutura subjacente. Essas mudanças podem resultar na falta de disponibilidade do aplicativo. Os relatórios de saúde aprimorados do Elastic Beanstalk fornecem um descritor de status para avaliar a gravidade dos problemas identificados e identificar possíveis causas a serem investigadas. | |
| T0960 | Monitore as mudanças em um sistema e em seu ambiente de operação. | AmazôniaCloudWatchalertam quando uma métrica ultrapassa o limite de um determinado número de períodos de avaliação. O alarme realiza uma ou mais ações com base no valor da métrica ou na expressão relativa a um limite em alguns períodos. Essa regra exige um valor paraalarmActionRequired(Padrão de configuração: verdadeiro),insufficientDataActionObrigatório (padrão de configuração: verdadeiro),okActionRequired(Padrão de configuração: falso). O valor real deve refletir as ações de alarme do seu ambiente. | |
| T0960 | Monitore as mudanças em um sistema e em seu ambiente de operação. | Ative essa regra para garantir que a capacidade de taxa de transferência provisionada seja verificada em suas tabelas do Amazon DynamoDB. Essa é a quantidade de atividade de leitura/gravação que cada tabela pode suportar. O DynamoDB usa essas informações para reservar recursos suficientes do sistema para atender aos seus requisitos de throughput. Essa regra gera um alerta quando a taxa de transferência se aproxima do limite máximo da conta de um cliente. Essa regra permite que você defina opcionalmente AccountRCUThresholdPercentage(Configuração padrão: 80) e AccountWCUThresholdPercentage(Padrão de configuração: 80) parâmetros. Os valores reais devem refletir as políticas da sua organização. | |
| T0960 | Monitore as mudanças em um sistema e em seu ambiente de operação. | Ative essa regra para ajudar a melhorar o monitoramento de instâncias do Amazon Elastic Compute Cloud (Amazon EC2) no console do Amazon EC2, que exibe gráficos de monitoramento com um período de 1 minuto para a instância. | |
| T0992 | Determine como os resultados do monitoramento contínuo serão usados na autorização contínua. | Os perfis de instância do EC2 transmitem uma função do IAM para uma instância do EC2. Anexar um perfil de instância às suas instâncias pode ajudar no menor gerenciamento de privilégios e permissões. | |
| T0992 | Determine como os resultados do monitoramento contínuo serão usados na autorização contínua. | Se uma definição de tarefa tem privilégios elevados, é porque o cliente optou especificamente por essas configurações. Esse controle verifica o aumento inesperado de privilégios quando uma definição de tarefa tem a rede do host habilitada, mas o cliente não optou por privilégios elevados. | |
| T0992 | Determine como os resultados do monitoramento contínuo serão usados na autorização contínua. | Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política em linha para controlar o acesso a sistemas e ativos.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem reutilização, controle de versão e reversão, além de delegar o gerenciamento de permissões. | |
| T0992 | Determine como os resultados do monitoramento contínuo serão usados na autorização contínua. | Certifique-se de que as ações do IAM sejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| T0992 | Determine como os resultados do monitoramento contínuo serão usados na autorização contínua. | As credenciais são auditadas para dispositivos, usuários e processos autorizados, garantindo que as chaves de acesso do IAM sejam alternadas de acordo com a política organizacional. Alterar as chaves de acesso regularmente é uma prática recomendada de segurança. Isso reduz o período em que uma chave de acesso está ativa e reduz o impacto nos negócios se as chaves forem comprometidas. Essa regra exige um valor de rotação da chave de acesso (padrão de configuração: 90). O valor real deve refletir as políticas da sua organização. | |
| T0992 | Determine como os resultados do monitoramento contínuo serão usados na autorização contínua. | As permissões e autorizações de acesso podem ser gerenciadas e incorporadas com os princípios de menor privilégio e separação de funções, habilitando o Kerberos para clusters do Amazon EMR. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como principais. Os diretores existem dentro de um reino de Kerberos. Dentro do reino, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para os diretores se autenticarem. O KDC se autentica emitindo tíquetes para autenticação. O KDC mantém um banco de dados das entidades principais dentro do realm, as senhas e outras informações administrativas sobre cada principal. | |
| T0992 | Determine como os resultados do monitoramento contínuo serão usados na autorização contínua. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todosAWSChaves do serviço de gerenciamento de chaves. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. Essa regra permite que você defina oblockedActionsPatternsparâmetro. (AWSValor fundamental das melhores práticas de segurança: kms:decrypt, kms:ReEncryptFrom). Os valores reais devem refletir as políticas da sua organização | |
| T0992 | Determine como os resultados do monitoramento contínuo serão usados na autorização contínua. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o mínimo de privilégios. | |
| T0992 | Determine como os resultados do monitoramento contínuo serão usados na autorização contínua. | Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política embutida para permitir ações bloqueadas em todosAWSChaves do serviço de gerenciamento de chaves.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina oblockedActionsPatternsparâmetro. (AWSValor fundamental das melhores práticas de segurança: kms:decrypt, kms:ReEncryptFrom). Os valores reais devem refletir as políticas da sua organização. | |
| T0992 | Determine como os resultados do monitoramento contínuo serão usados na autorização contínua. | As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política de senha organizacional do IAM. Eles atendem ou excedem os requisitos, conforme declarado pelo NIST SP 800-63 e peloAWSPadrão básico de melhores práticas de segurança para segurança de senhas. Essa regra permite que você defina opcionalmenteRequireUppercaseCharacters(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireLowercaseCharacters(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireSymbols(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireNumbers(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),MinimumPasswordLength(AWSValor fundamental das melhores práticas de segurança: 14),PasswordReusePrevention(AWSValor fundamental das melhores práticas de segurança: 24) eMaxPasswordAge(AWSValor fundamental das melhores práticas de segurança: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da sua organização. | |
| T0992 | Determine como os resultados do monitoramento contínuo serão usados na autorização contínua. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” em vez de “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| T0992 | Determine como os resultados do monitoramento contínuo serão usados na autorização contínua. | O acesso a sistemas e ativos pode ser controlado verificando se o usuário root não tem chaves de acesso anexadas aos seusAWSFunção de gerenciamento de identidade e acesso (IAM). Certifique-se de que as chaves de acesso root sejam excluídas. Em vez disso, crie e use com base em funçõesAWScontas para ajudar a incorporar o princípio da menor funcionalidade. | |
| T0992 | Determine como os resultados do monitoramento contínuo serão usados na autorização contínua. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a restringir as permissões e autorizações de acesso, garantindo que os usuários sejam membros de pelo menos um grupo. Permitir aos usuários mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| T0992 | Determine como os resultados do monitoramento contínuo serão usados na autorização contínua. | Ative essa regra para restringir o acesso aos recursos noAWSNuvem. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção sobre um nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo MFA para os usuários. | |
| T0992 | Determine como os resultados do monitoramento contínuo serão usados na autorização contínua. | Esta regra garanteAWSAs políticas de gerenciamento de identidade e acesso (IAM) são vinculadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios no nível do grupo ou da função ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| T0992 | Determine como os resultados do monitoramento contínuo serão usados na autorização contínua. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período de tempo especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou remover as credenciais, pois isso pode violar o princípio do menor privilégio. Essa regra exige que você defina um valor para omaxCredentialUsageIdade (padrão de configuração: 90). O valor real deve refletir as políticas da sua organização. | |
| T0992 | Determine como os resultados do monitoramento contínuo serão usados na autorização contínua. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a MFA esteja habilitada para todosAWSUsuários do Gerenciamento de Identidade e Acesso (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir a MFA para os usuários, você pode reduzir os incidentes de contas comprometidas e impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| T0992 | Determine como os resultados do monitoramento contínuo serão usados na autorização contínua. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a MFA de hardware esteja habilitada para o usuário root. O usuário root é o usuário mais privilegiado em umAWSconta. O MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir MFA para o usuário root, você pode reduzir os incidentes de comprometimentoAWScontas. | |
| T0992 | Determine como os resultados do monitoramento contínuo serão usados na autorização contínua. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que o MFA esteja habilitado para o usuário root. O usuário root é o usuário mais privilegiado em umAWSconta. O MFA adiciona uma camada extra de proteção para um nome de usuário e senha. Ao exigir MFA para o usuário root, você pode reduzir os incidentes de comprometimentoAWScontas. | |
| T0992 | Determine como os resultados do monitoramento contínuo serão usados na autorização contínua. | Esta regra garanteAWSOs segredos do Secrets Manager têm a rotação ativada. A rotação de segredos em um cronograma regular pode reduzir o período em que um segredo está ativo e, potencialmente, reduzir o impacto nos negócios se o segredo for comprometido. | |
| T0993 | Estabeleça ferramentas e tecnologias de monitoramento contínuo, processos e procedimentos de controle de acesso. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todosAWSChaves do serviço de gerenciamento de chaves. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. Essa regra permite que você defina oblockedActionsPatternsparâmetro. (AWSValor fundamental das melhores práticas de segurança: kms:decrypt, kms:ReEncryptFrom). Os valores reais devem refletir as políticas da sua organização | |
| T0993 | Estabeleça ferramentas e tecnologias de monitoramento contínuo, processos e procedimentos de controle de acesso. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o mínimo de privilégios. | |
| T0993 | Estabeleça ferramentas e tecnologias de monitoramento contínuo, processos e procedimentos de controle de acesso. | Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política embutida para permitir ações bloqueadas em todosAWSChaves do serviço de gerenciamento de chaves.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina oblockedActionsPatternsparâmetro. (AWSValor fundamental das melhores práticas de segurança: kms:decrypt, kms:ReEncryptFrom). Os valores reais devem refletir as políticas da sua organização. | |
| T0993 | Estabeleça ferramentas e tecnologias de monitoramento contínuo, processos e procedimentos de controle de acesso. | Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política em linha para controlar o acesso a sistemas e ativos.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem reutilização, controle de versão e reversão, além de delegar o gerenciamento de permissões. | |
| T0993 | Estabeleça ferramentas e tecnologias de monitoramento contínuo, processos e procedimentos de controle de acesso. | As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política de senha organizacional do IAM. Eles atendem ou excedem os requisitos, conforme declarado pelo NIST SP 800-63 e peloAWSPadrão básico de melhores práticas de segurança para segurança de senhas. Essa regra permite que você defina opcionalmenteRequireUppercaseCharacters(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireLowercaseCharacters(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireSymbols(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireNumbers(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),MinimumPasswordLength(AWSValor fundamental das melhores práticas de segurança: 14),PasswordReusePrevention(AWSValor fundamental das melhores práticas de segurança: 24) eMaxPasswordAge(AWSValor fundamental das melhores práticas de segurança: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da sua organização. | |
| T0993 | Estabeleça ferramentas e tecnologias de monitoramento contínuo, processos e procedimentos de controle de acesso. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” em vez de “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| T0993 | Estabeleça ferramentas e tecnologias de monitoramento contínuo, processos e procedimentos de controle de acesso. | Certifique-se de que as ações do IAM sejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| T0993 | Estabeleça ferramentas e tecnologias de monitoramento contínuo, processos e procedimentos de controle de acesso. | O acesso a sistemas e ativos pode ser controlado verificando se o usuário root não tem chaves de acesso anexadas aos seusAWSFunção de gerenciamento de identidade e acesso (IAM). Certifique-se de que as chaves de acesso root sejam excluídas. Em vez disso, crie e use com base em funçõesAWScontas para ajudar a incorporar o princípio da menor funcionalidade. | |
| T0993 | Estabeleça ferramentas e tecnologias de monitoramento contínuo, processos e procedimentos de controle de acesso. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a restringir as permissões e autorizações de acesso, garantindo que os usuários sejam membros de pelo menos um grupo. Permitir aos usuários mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| T0993 | Estabeleça ferramentas e tecnologias de monitoramento contínuo, processos e procedimentos de controle de acesso. | Esta regra garanteAWSAs políticas de gerenciamento de identidade e acesso (IAM) são vinculadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios no nível do grupo ou da função ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| T0993 | Estabeleça ferramentas e tecnologias de monitoramento contínuo, processos e procedimentos de controle de acesso. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período de tempo especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou remover as credenciais, pois isso pode violar o princípio do menor privilégio. Essa regra exige que você defina um valor para omaxCredentialUsageIdade (padrão de configuração: 90). O valor real deve refletir as políticas da sua organização. | |
| T0993 | Estabeleça ferramentas e tecnologias de monitoramento contínuo, processos e procedimentos de controle de acesso. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a MFA esteja habilitada para todosAWSUsuários do Gerenciamento de Identidade e Acesso (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir a MFA para os usuários, você pode reduzir os incidentes de contas comprometidas e impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| T0993 | Estabeleça ferramentas e tecnologias de monitoramento contínuo, processos e procedimentos de controle de acesso. | Ative essa regra para restringir o acesso aos recursos noAWSNuvem. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção sobre um nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo MFA para os usuários. | |
| T0993 | Estabeleça ferramentas e tecnologias de monitoramento contínuo, processos e procedimentos de controle de acesso. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a MFA de hardware esteja habilitada para o usuário root. O usuário root é o usuário mais privilegiado em umAWSconta. O MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir MFA para o usuário root, você pode reduzir os incidentes de comprometimentoAWScontas. | |
| T0993 | Estabeleça ferramentas e tecnologias de monitoramento contínuo, processos e procedimentos de controle de acesso. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que o MFA esteja habilitado para o usuário root. O usuário root é o usuário mais privilegiado em umAWSconta. O MFA adiciona uma camada extra de proteção para um nome de usuário e senha. Ao exigir MFA para o usuário root, você pode reduzir os incidentes de comprometimentoAWScontas. |
Modelo
O modelo está disponível emGitHub:Melhores práticas operacionais para o NIST 800 181
