Sicurezza

Controlla i gruppi di sicurezza collegati all'Application Load Balancer e ai relativi obiettivi Amazon EC2 . I gruppi di sicurezza Application Load Balancer devono consentire solo le porte in ingresso configurate in un listener. I gruppi di sicurezza di una destinazione non devono accettare connessioni dirette da Internet nella stessa porta sulla quale la destinazione riceve il traffico dal sistema di bilanciamento del carico.

Se un gruppo di sicurezza consente l'accesso a porte non configurate per il bilanciamento del carico o consente l'accesso diretto agli obiettivi, aumenta il rischio di perdita di dati o di attacchi dannosi.

Questo controllo esclude i seguenti gruppi:

8604e947f2

Per una maggiore sicurezza, assicurati che i tuoi gruppi di sicurezza consentano solo i flussi di traffico necessari:

Verifica se il periodo di conservazione dei gruppi di CloudWatch log di Amazon è impostato su 365 giorni o su un altro numero specificato.

Per impostazione predefinita, i log vengono conservati a tempo indeterminato e non scadono mai. Tuttavia, per ogni gruppo di log puoi modificare la policy di conservazione in modo da conformarla per un periodo specifico alle normative di settore o ai requisiti legali.

Puoi specificare il tempo minimo di conservazione e i nomi dei gruppi di log utilizzando i MinRetentionTimeparametri LogGroupNamese nelle tue AWS Config regole.

c18d2gz186

AWS Config Managed Rule: cw-loggroup-retention-period-check

Giallo: il periodo di conservazione di un gruppo di CloudWatch log Amazon è inferiore al numero minimo di giorni desiderato.

Configura un periodo di conservazione di oltre 365 giorni per i dati di log archiviati in Amazon CloudWatch Logs per soddisfare i requisiti di conformità.

Per ulteriori informazioni, consulta Change log data retention in CloudWatch Logs.

Alterazione della conservazione dei log CloudWatch

Controlla le versioni di SQL Server per le istanze Amazon Elastic Compute Cloud (Amazon EC2) in esecuzione nelle ultime 24 ore. Questo controllo ti avvisa se le versioni sono vicine o hanno raggiunto la fine del supporto. Ogni versione di SQL Server offre 10 anni di supporto, inclusi 5 anni di supporto mainstream e 5 anni di supporto esteso. Dopo la fine del supporto, la versione di SQL Server non riceverà aggiornamenti di sicurezza regolari. L'esecuzione di applicazioni con versioni di SQL Server non supportate può comportare rischi per la sicurezza o la conformità.

Qsdfp3A4L3

Per modernizzare i carichi di lavoro di SQL Server, valuta la possibilità di rifattorizzare i database nativi di Cloud AWS come Amazon Aurora. Per ulteriori informazioni, consulta Modernizza i carichi di lavoro Windows con. AWS

Per passare a un database completamente gestito, valuta la possibilità di ridefinire la piattaforma su Amazon Relational Database Service (Amazon RDS). Per ulteriori informazioni, consulta Utilizzo di Amazon RDS per SQL Server.

Per aggiornare SQL Server su Amazon EC2, prendi in considerazione l'utilizzo del runbook di automazione per semplificare l'aggiornamento. Per ulteriori informazioni, consulta la documentazione relativa ad AWS Systems Manager.

Se non riesci ad aggiornare il tuo SQL Server su Amazon EC2, prendi in considerazione il programma di End-of-Support migrazione (EMP) per Windows Server. Per ulteriori informazioni, consulta il sito Web di EMP.

Questo controllo ti avvisa se le versioni sono vicine o hanno raggiunto la fine del supporto. Ogni versione di Windows Server offre 10 anni di supporto. Ciò include 5 anni di supporto mainstream e 5 anni di supporto esteso. Dopo la fine del supporto, la versione di Windows Server non riceverà più i normali aggiornamenti di sicurezza. Se esegui applicazioni con versioni di Windows Server non supportate, la sicurezza o la conformità di tali applicazioni è a rischio.

Qsdfp3A4L4

Per modernizzare i carichi di lavoro di Windows Server, prendi in considerazione le varie opzioni disponibili in Modernize Windows Workloads with. AWS

Per aggiornare i carichi di lavoro di Windows Server in modo da poterli eseguire su versioni più recenti di Windows Server, puoi utilizzare un runbook di automazione. Per ulteriori informazioni, consulta la documentazione di AWS Systems Manager.

Segui la procedura riportata di seguito:

Questo controllo ti avvisa se le versioni sono prossime o hanno raggiunto la fine del supporto standard. È importante agire, migrando alla versione successiva di LTS o effettuando l'aggiornamento a Ubuntu Pro. Dopo la fine del supporto, le tue macchine LTS 18.04 non riceveranno alcun aggiornamento di sicurezza. Con un abbonamento a Ubuntu Pro, la tua distribuzione di Ubuntu 18.04 LTS può ricevere Expanded Security Maintenance (ESM) fino al 2028. Le vulnerabilità di sicurezza che rimangono prive di patch aprono i sistemi agli hacker e al potenziale di una grave violazione.

c1dfprch15

Rosso: un' EC2istanza Amazon ha una versione di Ubuntu che ha raggiunto la fine del supporto standard (Ubuntu 18.04 LTS, 18.04.1 LTS, 18.04.2 LTS, 18.04.3 LTS, 18.04.4 LTS, 18.04.5 LTS e 18.04.6 LTS).

Giallo: un' EC2istanza Amazon ha una versione di Ubuntu che raggiungerà la fine del supporto standard in meno di 6 mesi (Ubuntu 20.04 LTS, 20.04.1 LTS, 20.04.2 LTS, 20.04.3 LTS, 20.04.4 LTS, 20.04.5 LTS e 20.04.6 LTS).

Verde: tutte le EC2 istanze Amazon sono conformi.

Per aggiornare le istanze LTS di Ubuntu 18.04 a una versione LTS supportata, segui i passaggi indicati in questo articolo. Per aggiornare le istanze di Ubuntu 18.04 LTS a Ubuntu Pro, visita la AWS License Manager console e segui i passaggi indicati nella guida per l'utente.AWS License Manager Puoi anche fare riferimento al blog di Ubuntu che mostra una demo dettagliata sull'aggiornamento delle istanze di Ubuntu a Ubuntu Pro.

Per informazioni sui prezzi, contatta. Supporto

Verifica se il file system Amazon EFS è montato utilizzando data-in-transit la crittografia. AWS consiglia ai clienti di utilizzare data-in-transit la crittografia per tutti i flussi di dati per proteggere i dati dall'esposizione accidentale o dall'accesso non autorizzato. Amazon EFS consiglia ai client di utilizzare l'impostazione di montaggio '-o tls' utilizzando l'helper di montaggio Amazon EFS per crittografare i dati in transito utilizzando TLS v1.2.

c1dfpnchv1

Giallo: uno o più client NFS per il tuo file system Amazon EFS non utilizzano le impostazioni di montaggio consigliate che forniscono la data-in-transit crittografia.

Verde: tutti i client NFS per il tuo file system Amazon EFS utilizzano le impostazioni di montaggio consigliate che forniscono la data-in-transit crittografia.

Per sfruttare la funzionalità di data-in-transit crittografia su Amazon EFS, ti consigliamo di rimontare il file system utilizzando l'helper di montaggio di Amazon EFS e le impostazioni di montaggio consigliate.

Verifica le impostazioni di autorizzazione per gli snapshot del volume Amazon Elastic Block Store (Amazon EBS) e ti avvisa se alcune istantanee sono accessibili pubblicamente.

Quando rendi pubblica un'istantanea, consenti a tutti Account AWS e agli utenti l'accesso a tutti i dati in essa contenuti. Per condividere un'istantanea solo con utenti o account specifici, contrassegna l'istantanea come privata. Quindi, specifica l'utente o gli account con cui desideri condividere i dati dell'istantanea. Tieni presente che se hai abilitato Block Public Access in modalità «blocca tutte le condivisioni», le tue istantanee pubbliche non sono accessibili pubblicamente e non compaiono nei risultati di questo controllo.

ePs02jT06w

Rosso: l'istantanea del volume EBS è accessibile al pubblico.

A meno che tu non sia sicuro di voler condividere tutti i dati dell'istantanea con tutti gli utenti, modifica Account AWS le autorizzazioni: contrassegna l'istantanea come privata, quindi specifica gli account a cui desideri concedere le autorizzazioni. Per ulteriori informazioni, consulta Condivisione di uno snapshot Amazon EBS. Usa Block Public Access for EBS Snapshots per controllare le impostazioni che consentono l'accesso pubblico ai tuoi dati. Questo controllo non può essere escluso dalla visualizzazione nella Trusted Advisor console.

Per modificare direttamente le autorizzazioni per le istantanee, utilizza un runbook nella console. AWS Systems Manager Per ulteriori informazioni, consulta AWSSupport-ModifyEBSSnapshotPermission.

Snapshot Amazon EBS

Amazon RDS supporta la crittografia a riposo per tutti i motori di database utilizzando le chiavi da te gestite. AWS Key Management Service Su un'istanza DB attiva con crittografia Amazon RDS, i dati archiviati a riposo nello storage sono crittografati, in modo simile ai backup automatici, alle repliche di lettura e alle istantanee.

Se la crittografia non è attivata durante la creazione di un cluster Aurora DB, è necessario ripristinare un'istantanea decrittografata in un cluster DB crittografato.

c1qf5bt005

Rosso: per le risorse Amazon RDS Aurora non è abilitata la crittografia.

Attiva la crittografia dei dati inattivi per il tuo cluster DB.

È possibile attivare la crittografia durante la creazione di un'istanza DB o utilizzare una soluzione alternativa per attivare la crittografia su un'istanza DB attiva. Non è possibile modificare un cluster DB decrittografato in un cluster DB crittografato. Tuttavia, è possibile ripristinare un'istantanea decrittografata in un cluster DB crittografato. Quando si esegue il ripristino da un'istantanea decrittografata, è necessario specificare una chiave. AWS KMS

Per ulteriori informazioni, consulta Crittografia delle risorse Amazon Aurora.

Le risorse del tuo database non eseguono l'ultima versione secondaria del motore DB. L'ultima versione secondaria contiene le ultime correzioni di sicurezza e altri miglioramenti.

c1qf5bt003

Giallo: le risorse Amazon RDS non eseguono l'ultima versione secondaria del motore DB.

Esegui l'upgrade alla versione più recente del motore.

Ti consigliamo di mantenere il tuo database con la versione minore più recente del motore DB poiché questa versione include le ultime correzioni di sicurezza e funzionalità. Gli aggiornamenti delle versioni secondarie del motore DB contengono solo le modifiche retrocompatibili con le versioni secondarie precedenti della stessa versione principale del motore DB.

Per ulteriori informazioni, consulta Aggiornamento di una versione del motore delle istanze DB.

Controlla le impostazioni di autorizzazione per gli snapshot DB Amazon Relational Database Service (Amazon RDS) e avvisa se eventuali snapshot sono contrassegnati come pubblici.

Quando si rende pubblica un'istantanea, si concede a tutti Account AWS e agli utenti l'accesso a tutti i dati dell'istantanea. Se desideri condividere uno snapshot solo con utenti o account specifici, contrassegna lo snapshot come privato. Specifica quindi l'utente o gli account con cui desideri condividere i dati dello snapshot.

rSs93HQwa1

Rosso: lo snapshot Amazon RDS è contrassegnato come pubblico.

A meno che tu non sia sicuro di voler condividere tutti i dati dell'istantanea con tutti gli utenti, modifica Account AWS le autorizzazioni: contrassegna l'istantanea come privata, quindi specifica gli account a cui desideri concedere le autorizzazioni. Per ulteriori informazioni, consulta Condivisione di uno snapshot DB o DB cluster. Questo controllo non può essere escluso dalla visualizzazione nella console. Trusted Advisor

Per modificare direttamente le autorizzazioni per le istantanee, è possibile utilizzare un runbook nella console. AWS Systems Manager Per ulteriori informazioni, consulta AWSSupport-ModifyRDSSnapshotPermission.

Backup e ripristino di istanze DB di Amazon RDS

Controlla le configurazioni dei gruppi di sicurezza per Amazon Relational Database Service (Amazon RDS) e avverte quando una regola del gruppo di sicurezza concede un accesso troppo permissivo al tuo database. La configurazione consigliata per una regola del gruppo di sicurezza consiste nel consentire l'accesso solo da specifici gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) o da un indirizzo IP specifico.

nNauJisYIT

EC2-Classic è stato ritirato il 15 agosto 2022. Si consiglia di spostare le istanze Amazon RDS su un VPC e utilizzare i gruppi di sicurezza Amazon. EC2 Per ulteriori informazioni sullo spostamento dell'istanza DB su un VPC, consulta Spostare un'istanza DB non contenuta in un VPC in un VPC.

Se non riesci a migrare le istanze Amazon RDS su un VPC, rivedi le regole del gruppo di sicurezza e limita l'accesso agli indirizzi IP o agli intervalli IP autorizzati. Per modificare un gruppo di sicurezza, utilizza l'API Authorize o DBSecurity GroupIngress il. AWS Management Console Per ulteriori informazioni, consulta Utilizzo dei gruppi di sicurezza database.

Amazon RDS supporta la crittografia a riposo per tutti i motori di database utilizzando le chiavi da te gestite. AWS Key Management Service Su un'istanza DB attiva con crittografia Amazon RDS, i dati archiviati a riposo nello storage sono crittografati, in modo simile ai backup automatici, alle repliche di lettura e alle istantanee.

Se la crittografia non è attivata durante la creazione di un'istanza DB, è necessario ripristinare una copia crittografata dello snapshot decrittografato prima di attivare la crittografia.

c1qf5bt006

Rosso: nelle risorse Amazon RDS non è abilitata la crittografia.

Attiva la crittografia dei dati inattivi per la tua istanza DB.

È possibile crittografare un'istanza DB solo quando si crea l'istanza DB. Per crittografare un'istanza DB attiva esistente:

Per ulteriori informazioni, consulta le seguenti risorse:

Controlla le zone ospitate di Amazon Route 53 con record CNAME che puntano direttamente ai nomi host dei bucket Amazon S3 e avvisa se il CNAME non corrisponde al nome del bucket S3.

c1ng44jvbm

Rosso: Amazon Route 53 Hosted Zone contiene record CNAME che indicano nomi host dei bucket S3 non corrispondenti.

Verde: nessun record CNAME non corrispondente trovato nella tua Amazon Route 53 Hosted Zone.

Quando indirizzi i record CNAME ai nomi host dei bucket S3, devi assicurarti che esista un bucket corrispondente per ogni record CNAME o alias che configuri. In questo modo, eviti il rischio che i tuoi record CNAME vengano falsificati. Inoltre, impedisci a qualsiasi AWS utente non autorizzato di ospitare contenuti web difettosi o dannosi con il tuo dominio.

Per evitare di indirizzare i record CNAME direttamente ai nomi host dei bucket S3, prendi in considerazione l'utilizzo di Origin Access Control (OAC) per accedere alle tue risorse web del bucket S3 tramite Amazon. CloudFront

Per ulteriori informazioni sull'associazione di CNAME a un nome host del bucket Amazon S3, consulta Personalizzazione di Amazon S3 con record CNAME. URLs

Per ogni record MX, verifica la presenza di un record TXT associato che contiene un valore SPF valido. Il valore del record TXT deve iniziare con «v=spf1". I tipi di record SPF sono obsoleti dall'Internet Engineering Task Force (IETF). Con Route 53, è consigliabile utilizzare un record TXT anziché un record SPF. Trusted Advisor riporta questo controllo come verde quando a un record MX è associato almeno un record TXT con un valore SPF valido.

c9D319e7sG

Per ogni set di registri delle risorse MX, creane uno TXT contenente un valore SPF valido. Per ulteriori informazioni, consulta Sender Policy Framework: sintassi record SPF e Creazione di set di record delle risorse utilizzando la console Amazon Route 53.

Controlla i bucket in Amazon Simple Storage Service (Amazon S3) che dispongono di autorizzazioni di accesso aperto o che consentono l'accesso a qualsiasi utente autenticato. AWS

Questo controllo esamina le autorizzazioni del bucket esplicite nonché le policy bucket che potrebbero sovrascrivere tali autorizzazioni. È sconsigliato concedere autorizzazioni di accesso alla lista a tutti gli utenti di un bucket Amazon S3. Queste autorizzazioni possono portare a utenti non intenzionali che elencano oggetti nel bucket ad alta frequenza, il che può comportare costi superiori a quelli previsti. Le autorizzazioni che concedono il caricamento ed eliminano l’accesso a chiunque possono causare vulnerabilità di sicurezza nel tuo bucket.

Pfx0RwqBli

Se un bucket consente l'accesso aperto, determina se è veramente necessario. Ad esempio, per ospitare un sito Web statico, puoi utilizzare Amazon CloudFront per fornire i contenuti ospitati su Amazon S3. Vedi Limitazione dell'accesso a un'origine Amazon S3 nella Amazon CloudFront Developer Guide. Quando possibile, aggiorna le autorizzazioni del bucket per limitare l'accesso al proprietario o a utenti specifici. Utilizza l'impostazione per bloccare l'accesso pubblico di Amazon S3 per controllare le impostazioni che consentono l'accesso pubblico ai tuoi dati. Consulta Impostazione delle autorizzazioni di accesso al bucket e agli oggetti.

Gestione delle autorizzazioni di accesso alle risorse di Amazon S3

Configurazione delle impostazioni di blocco dell'accesso pubblico per i bucket Amazon S3

Verifica se le connessioni peering VPC hanno la risoluzione DNS attivata sia per l'accettatore che per il richiedente. VPCs

La risoluzione DNS per una connessione peering VPC consente la risoluzione di nomi host DNS pubblici in indirizzi IPv4 privati quando vengono richieste dal tuo VPC. Ciò consente l'uso di nomi DNS per la comunicazione tra risorse in modalità peer-to-peer. VPCs La risoluzione DNS nelle connessioni peering VPC semplifica lo sviluppo e la gestione delle applicazioni e le rende meno soggette a errori; garantisce, inoltre, che le risorse comunichino sempre in modo privato tramite la connessione peering VPC.

Puoi specificare il VPC utilizzando i parametri IDs VPCIds nelle tue regole. AWS Config

Per ulteriori informazioni, consulta Abilitazione della risoluzione DNS per una connessione peering VPC.

c18d2gz124

AWS Config Managed Rule: vpc-peering-dns-resolution-check

Giallo: la risoluzione DNS non è abilitata sia per l'accettatore che per il richiedente in VPCs una connessione peering VPC.

Attiva la risoluzione DNS per le tue connessioni peering VPC.

Verifica che i gruppi target di Application Load Balancer (ALB) utilizzino il protocollo HTTPS per crittografare le comunicazioni in transito per tipi di istanze o IP di destinazione back-end. Le richieste HTTPS tra ALB e target di back-end aiutano a mantenere la riservatezza dei dati per i dati in transito.

c2vlfg0p1w

Configura i tipi di istanza o IP di destinazione di back-end per supportare l'accesso HTTPS e modifica il gruppo di destinazione per utilizzare il protocollo HTTPS per crittografare la comunicazione tra ALB e i tipi di istanza o IP di destinazione di back-end.

Applica la crittografia in transito

Tipi di target di Application Load Balancer

Configurazione del routing dell'Application Load Balancer

Protezione dei dati in Elastic Load Balancing

Verifica se ai AWS Backup vault è associata una politica basata sulle risorse che impedisce l'eliminazione dei punti di ripristino.

La policy basata sulle risorse impedisce l'eliminazione imprevista dei punti di ripristino, per cui è possibile applicare il controllo degli accessi con privilegi minimi sui dati di backup.

Puoi specificare che non desideri AWS Identity and Access Management ARNs che la regola controlli nel principalArnListparametro delle tue regole. AWS Config

c18d2gz152

AWS Config Managed Rule: backup-recovery-point-manual-deletion-disabled

Giallo: alcuni AWS Backup vault non dispongono di una politica basata sulle risorse per impedire l'eliminazione dei punti di ripristino.

Crea politiche basate sulle risorse per i tuoi AWS Backup vault per prevenire l'eliminazione inaspettata dei punti di ripristino.

La policy deve includere un'istruzione «Deny» con autorizzazioni di backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle. PutBackupVaultAccessPolicy

Per ulteriori informazioni, consulta Impostazione delle policy di accesso su vault di backup.

Verifica l'utilizzo di. AWS CloudTrail CloudTrail offre una maggiore visibilità sull'attività dell'utente Account AWS registrando le informazioni sulle chiamate AWS API effettuate sull'account. È possibile utilizzare questi registri per determinare, ad esempio, quali azioni ha eseguito un determinato utente durante un periodo di tempo specificato o quali utenti hanno eseguito azioni su una determinata risorsa durante un periodo di tempo specificato.

Poiché CloudTrail invia i file di log a un bucket Amazon Simple Storage Service (Amazon S3) CloudTrail , deve disporre delle autorizzazioni di scrittura per il bucket. Se un trail si applica a tutte le Regioni (impostazione predefinita quando si crea un nuovo trail), esso appare più volte nel report Trusted Advisor .

vjafUGJ9H0

Per creare un percorso e avviare la registrazione dalla console, vai alla Console AWS CloudTrail.

Per avviare la registrazione, consulta Interruzione e avvio della registrazione per un percorso.

Se si ricevono errori di consegna del registro, verifica che il bucket esista e che la policy necessaria sia collegata al bucket. Consulta Policy del bucket Amazon S3.

Verifica l'utilizzo di. AWS CloudTrail CloudTrail offre una maggiore visibilità sulle attività del tuo Account AWS. Lo fa registrando le informazioni sulle chiamate AWS API effettuate sull'account. È possibile utilizzare questi registri per determinare, ad esempio, quali azioni ha eseguito un determinato utente durante un periodo di tempo specificato o quali utenti hanno eseguito azioni su una determinata risorsa durante un periodo di tempo specificato.

Poiché CloudTrail invia i file di log a un bucket Amazon Simple Storage Service (Amazon S3) CloudTrail , deve disporre delle autorizzazioni di scrittura per il bucket. Se un percorso si applica a tutti Regioni AWS (impostazione predefinita quando si crea un nuovo percorso), il percorso viene visualizzato più volte nel rapporto. Trusted Advisor

c25hn9x03v

Per creare un percorso e avviare la registrazione dalla console, apri la AWS CloudTrail console.

Per avviare la registrazione, consulta Interruzione e avvio della registrazione per un percorso.

Se ricevi errori di recapito dei log, assicurati che il bucket esista e che al bucket sia allegata la policy necessaria. Consulta Policy del bucket Amazon S3.

Verifica le funzioni Lambda la cui versione $LATEST è configurata per utilizzare un runtime prossimo all'obsolescenza o obsoleto. I runtime obsoleti non sono idonei per gli aggiornamenti di sicurezza o il supporto tecnico

Le versioni delle funzioni Lambda pubblicate sono immutabili, il che significa che possono essere richiamate ma non aggiornate. Solo la versione $LATEST di una funzione Lambda può essere aggiornata. Per ulteriori informazioni, consulta Versioni delle funzioni Lambda.

L4dfs2Q4C5

Se si dispone di funzioni in esecuzione su un runtime che verrà reso obsoleto, devi prepararti per la migrazione a un runtime supportato. Per ulteriori informazioni, consulta Policy di supporto per il runtime.

Ti consigliamo di eliminare le versioni delle funzioni precedenti che non stai più utilizzando.

Runtime Lambda

Verifica la presenza di problemi ad alto rischio (HRIs) per i carichi di lavoro nel pilastro relativo alla sicurezza. Questo controllo si basa sul tuo AWS-Well Architected recensioni. I risultati del controllo dipendono dal fatto che la valutazione del carico di lavoro sia stata completata con AWS Well-Architected.

Wxdfp4B1L3

AWS Well-Architected ha rilevato problemi ad alto rischio durante la valutazione del carico di lavoro. Questi problemi offrono opportunità per ridurre i rischi e risparmiare denaro. Accedi allo strumento AWS Well-Architected per rivedere le tue risposte e risolvere i problemi attivi.

Verifica la presenza di nomi di dominio CloudFront alternativi nei certificati SSL nell'archivio certificati IAM. Questo controllo avvisa l'utente se un certificato è scaduto, scadrà presto, utilizza una crittografia obsoleta o non è configurato correttamente per la distribuzione.

Quando scade un certificato personalizzato per un nome di dominio alternativo, i browser che visualizzano i tuoi CloudFront contenuti potrebbero mostrare un messaggio di avviso sulla sicurezza del tuo sito web. I certificati crittografati utilizzando l'algoritmo di hashing SHA-1 sono obsoleti dalla maggior parte dei browser Web come Chrome e Firefox.

Un certificato deve contenere un nome di dominio che corrisponda al nome di dominio di origine o al nome di dominio nell'intestazione host di una richiesta di visualizzatore. Se non corrisponde, CloudFront restituisce all'utente un codice di stato HTTP 502 (gateway errato). Per ulteriori informazioni, consulta Utilizzo di HTTPS e di nomi di dominio alternativi.

N425c450f2

Si consiglia di AWS Certificate Manager utilizzarlo per fornire, gestire e distribuire i certificati del server. Con ACM, puoi richiedere un nuovo certificato o distribuire un certificato ACM o esterno esistente nelle risorse AWS. I certificati forniti da ACM sono gratuiti e possono essere rinnovati automaticamente. Per ulteriori informazioni sull'utilizzo di ACM, consulta la AWS Certificate Manager Guida per l'utente di . Per verificare le regioni supportate da ACM, consulta gli AWS Certificate Manager endpoint e le quote nel. Riferimenti generali di AWS

Rinnova i certificati scaduti o i certificati che stanno per scadere. Per ulteriori informazioni sul rinnovo di un certificato, consulta Gestione dei certificati del server in IAM.

Sostituisci un certificato crittografato utilizzando l'algoritmo di hashing SHA-1 con uno crittografato utilizzando l'algoritmo di hashing SHA-256.

Sostituisci il certificato con uno che contiene i valori applicabili nei campi Common Name (Nome comune) o Subject Alternative Domain (Nomi alternativi oggetto).

Utilizzo di una connessione HTTPS per accedere agli oggetti

Importazione di certificati

AWS Certificate Manager Guida per l'utente

Controlla il server di origine per i certificati SSL che sono scaduti, stanno per scadere, sono mancanti o che utilizzano una crittografia obsoleta. Se un certificato presenta uno di questi problemi, CloudFront risponde alle richieste relative ai tuoi contenuti con il codice di stato HTTP 502, Bad Gateway.

I certificati crittografati utilizzando l'algoritmo di hashing SHA-1 vengono resi obsoleti da browser web come Chrome e Firefox. A seconda del numero di certificati SSL che hai associato alle tue CloudFront distribuzioni, questo controllo potrebbe aggiungere qualche centesimo al mese alla tua fattura con il tuo provider di web hosting, ad esempio, AWS se utilizzi Amazon EC2 o Elastic Load Balancing come origine per la tua distribuzione. CloudFront Questo controllo non convalida la catena di certificati di origine o le autorità di certificazione. Puoi verificarli nella tua configurazione. CloudFront

N430c450f2

Rinnova il certificato sull'origine se è scaduto o sta per scadere.

Aggiungi un certificato se non ne esiste già uno.

Sostituisci un certificato crittografato utilizzando l'algoritmo di hashing SHA-1 con uno crittografato utilizzando l'algoritmo di hashing SHA-256.

Utilizzo di HTTPS e di nomi di dominio alternativi

Verifica la presenza di sistemi di bilanciamento del carico classici con listener che non utilizzano le configurazioni di sicurezza consigliate per le comunicazioni crittografate. AWS consiglia di utilizzare un protocollo sicuro (HTTPS o SSL), politiche di up-to-date sicurezza e cifrari e protocolli sicuri. Quando si utilizza un protocollo sicuro per una connessione front-end (da client a load balancer), le richieste vengono crittografate tra i client e il sistema di bilanciamento del carico. Questo crea un ambiente più sicuro. Elastic Load Balancing fornisce policy di sicurezza predefinite con crittografia e protocolli che aderiscono alle best practice di sicurezza AWS . Le nuove versioni delle policy predefinite vengono rilasciate man mano che sono disponibili nuove configurazioni.

a2sEc6ILx

Se il traffico verso il load balancer deve essere sicuro, utilizza il protocollo HTTPS o SSL per la connessione front-end.

Aggiorna il load balancer alla versione più recente della policy di sicurezza SSL predefinita.

Utilizza solo crittografie e protocolli consigliati.

Per ulteriori informazioni, consulta Configurazioni del listener per Elastic Load Balancing.

Verifica la presenza di sistemi di bilanciamento del carico configurati con un gruppo di sicurezza che consente l'accesso a porte non configurate per il bilanciamento del carico.

Se un gruppo di sicurezza consente l'accesso a porte non configurate per il load balancer, aumenta il rischio di perdita di dati o attacchi dannosi.

xSqX82fQu

Configura le regole del gruppo di sicurezza per limitare l'accesso solo alle porte e ai protocolli definiti nella configurazione del listener del load balancer e il protocollo ICMP per supportare Path MTU Discovery. Consulta Listener per Classic Load Balancer e Gruppi di sicurezza per load balancer in un VPC.

Se un gruppo di sicurezza non è disponibile, applicane uno nuovo al load balancer. Crea regole del gruppo di sicurezza che limitano l'accesso solo alle porte e ai protocolli definiti nella configurazione del listener del load balancer. Consulta Gruppi di sicurezza per load balancer in un VPC.

Verifica nei repository di codice più diffusi le chiavi di accesso che sono state esposte al pubblico e l'utilizzo irregolare di Amazon Elastic Compute Cloud (Amazon EC2) che potrebbe essere il risultato di una chiave di accesso compromessa.

Una chiave di accesso è composta da un ID chiave di accesso e la relativa chiave di accesso segreta. Le chiavi di accesso esposte rappresentano un rischio per la sicurezza del tuo account e degli altri utenti. Potrebbero comportare addebiti eccessivi derivanti da attività non autorizzate o abusi e violare l’Accordo con il cliente AWS.

Se la chiave di accesso è esposta, agisci immediatamente per proteggere il tuo account. Per proteggere il tuo account da addebiti eccessivi, limita AWS temporaneamente la tua capacità di creare alcune risorse. AWS Questo non rende sicuro il tuo account. Limita solo parzialmente l'utilizzo non autorizzato che ti potrebbe essere addebitato.

Se viene indicata una scadenza per una chiave di accesso, AWS può sospendere l'utilizzo non autorizzato Account AWS se l'utilizzo non autorizzato non viene interrotto entro tale data. Se ritieni che un avviso sia errato, contatta Supporto AWS.

Le informazioni visualizzate Trusted Advisor potrebbero non riflettere lo stato più recente del tuo account. Nessuna chiave di accesso esposta viene contrassegnata come risolta fino a quando tutte le chiavi di accesso esposte sull'account non sono state risolte. Questa sincronizzazione dei dati può richiedere fino a una settimana.

12Fnkpl8Y5

Elimina la chiave di accesso interessata il prima possibile. Se la chiave è associata a un utente IAM, consulta Gestione delle chiavi di accesso per gli utenti IAM.

Verifica la presenza di un utilizzo non autorizzato sul tuo account. Esegui l'accesso alla AWS Management Console e verifica la presenza di risorse sospette su ogni console di servizio. Presta particolare attenzione all'esecuzione di EC2 istanze Amazon, alle richieste di istanze Spot, alle chiavi di accesso e agli utenti IAM. Puoi anche verificare l'utilizzo complessivo sulla Console di gestione fatturazione e costi.

Controlla le chiavi di accesso IAM attive che non sono state ruotate negli ultimi 90 giorni.

Quando si ruotano regolarmente le chiavi di accesso, si riduce la possibilità che una chiave compromessa possa essere utilizzata a tua insaputa per accedere alle risorse. Ai fini di questo controllo, la data e l'ora dell'ultima rotazione coincidono con quelle della creazione o dell’attivazione più recente della chiave di accesso. Il numero e la data della chiave di accesso provengono dalle informazioni access_key_1_last_rotated e access_key_2_last_rotated nel registro delle credenziali IAM più recente.

Poiché la frequenza di rigenerazione di un registro delle credenziali è limitata, l'aggiornamento di questo controllo potrebbe non riflettere le modifiche recenti. Per ulteriori informazioni, consulta Generare registri delle credenziali per il tuo Account AWS.

Per creare e ruotare le chiavi di accesso, un utente deve disporre delle autorizzazioni appropriate. Per ulteriori informazioni, consulta Consentire agli utenti di gestire le proprie password, le chiavi di accesso e le chiavi SSH.

DqdJqYeRm5

Ruota le chiavi di accesso regolarmente. Consulta Rotazione delle chiavi di accesso e Gestione delle chiavi di accesso per gli utenti IAM.

Verifica se è presente l'accesso esterno di IAM Access Analyzer a livello di account.

Gli analizzatori di accesso esterni IAM Access Analyzer aiutano a identificare le risorse negli account condivise con un'entità esterna. L'analizzatore crea quindi una dashboard centralizzata con i risultati. Dopo l'attivazione del nuovo analizzatore nella console IAM, i team di sicurezza possono quindi dare priorità agli account da esaminare in base alle autorizzazioni eccessive. Un analizzatore di accesso esterno crea risultati di accesso pubblici e interaccount alle risorse e viene fornito senza costi aggiuntivi.

07602fcad6

La creazione di un analizzatore di accesso esterno per account aiuta i team di sicurezza a stabilire le priorità degli account da esaminare in base alle autorizzazioni eccessive. Per ulteriori informazioni, consulta Guida introduttiva ai risultati. AWS Identity and Access Management Access Analyzer

Inoltre, è consigliabile utilizzare l'Unused Access Analyzer, una funzionalità a pagamento che semplifica l'ispezione degli accessi inutilizzati per orientare l'utente verso il privilegio minimo. Per ulteriori informazioni, consulta Identificazione dell'accesso non utilizzato concesso a utenti e ruoli IAM.

Controlla la policy delle password per l'account e avverte quando una policy di password non è abilitata o se i requisiti relativi al contenuto della password non sono stati abilitati.

I requisiti relativi ai contenuti delle password aumentano la sicurezza complessiva dell’ambiente AWS mediante la creazione forzata di password utente complesse. Quando crei o modifichi una policy sulle password, la modifica viene applicata immediatamente per i nuovi utenti ma non richiede agli utenti esistenti di modificare le password.

Yw2K9puPzl

Se alcuni requisiti relativi al contenuto non sono abilitati, valuta la possibilità di abilitarli. Se nessuna policy sulle password è abilitata, creane e configurane una. Consulta Impostazione di una policy delle password dell'account per utenti IAM.

Per accedere a AWS Management Console, gli utenti IAM necessitano di password. Come best practice, consigliamo AWS vivamente di utilizzare la federazione anziché creare utenti IAM. La federazione consente agli utenti di utilizzare le proprie credenziali aziendali esistenti per accedere a. AWS Management Console Utilizza IAM Identity Center per creare o federare l'utente e quindi assumere un ruolo IAM in un account.

Per saperne di più sui provider di identità e la federazione, consulta Provider di identità e federazione nella Guida per l'utente IAM. Per ulteriori informazioni su IAM Identity Center, consulta la Guida per l'utente di IAM Identity Center.

La gestione delle password

Verifica se Account AWS è configurato per l'accesso tramite un provider di identità (IdP) che supporta SAML 2.0. Assicurati di seguire le migliori pratiche quando centralizzi le identità e configuri gli utenti in un provider di identità esterno o. AWS IAM Identity Center

c2vlfg0p86

Attiva IAM Identity Center per. Account AWS Per ulteriori informazioni, consulta EnablinGIAM Identity Center. Dopo aver attivato IAM Identity Center, puoi eseguire attività comuni come la creazione di un set di autorizzazioni e l'assegnazione dell'accesso ai gruppi di Identity Center. Per ulteriori informazioni, consulta Attività comuni.

Gestire gli utenti umani in IAM Identity Center è una best practice. Ma puoi attivare l'accesso federato degli utenti con IAM per utenti umani a breve termine per implementazioni su piccola scala. Per ulteriori informazioni, consulta la federazione SAML 2.0.

Cos'è IAM Identity Center?

Che cos'è IAM?

Controlla l'account root e avverte se l'autenticazione a più fattori (MFA) non è abilitata.

Per una maggiore sicurezza, ti consigliamo di proteggere il tuo account utilizzando la MFA, che richiede all'utente di inserire un codice di autenticazione univoco dal proprio hardware o dispositivo virtuale MFA quando interagisce con il sito Web e i siti Web associati. AWS Management Console

7DAFEmoDos

Rosso: l'MFA non è abilitata sull'account root.

Accedi al tuo account root e attiva un dispositivo MFA. Consulta Verifica dello stato MFA e Configurazione di un dispositivo MFA.

Puoi attivare la MFA sul tuo account in qualsiasi momento visitando la pagina Credenziali di sicurezza. Per fare ciò, scegli il menu a discesa dell'account nel.AWS Management Console AWS supporta diverse forme di MFA standard del settore, come FIDO2 gli autenticatori virtuali. Ciò offre la flessibilità necessaria per scegliere un dispositivo MFA che soddisfi le tue esigenze. È consigliabile registrare più di un dispositivo MFA per la resilienza nel caso in cui uno dei dispositivi MFA venga perso o smetta di funzionare.

Per ulteriori informazioni, consulta i passaggi generali per l'attivazione dei dispositivi MFA e Abilita un dispositivo MFA virtuale per l' Account AWS utente root (console) nella Guida per l'utente IAM.

Verifica se è presente la chiave di accesso dell'utente root. Si consiglia vivamente di non creare coppie di chiavi di accesso per l'utente root. Poiché solo alcune attività richiedono l'utilizzo dell'utente root e in genere tali operazioni vengono eseguite raramente, è consigliabile accedere al sito per AWS Management Console eseguire le attività dell'utente root. Prima di creare le chiavi di accesso, esamina le alternative alle chiavi di accesso a lungo termine.

c2vlfg0f4h

Rosso: è presente la chiave di accesso dell'utente root

Verde: la chiave di accesso dell'utente root non è presente

Elimina le chiavi di accesso per l'utente root. Vedere Eliminazione delle chiavi di accesso per l'utente root. Questa operazione deve essere eseguita dall'utente root. Non è possibile eseguire questi passaggi come utente o ruolo IAM.

Attività che richiedono credenziali utente root

Reimpostazione di una password utente root persa o dimenticata

Controlla i gruppi di protezione per le regole che consentono l'accesso illimitato (0.0.0.0/0) a porte specifiche.

L'accesso illimitato aumenta le opportunità di attività dannose (pirateria informatica, denial-of-service attacchi, perdita di dati). Le porte con più alto rischio sono contrassegnate in rosso e quelle con meno rischio sono contrassegnate in giallo. Le porte contrassegnate in verde sono in genere utilizzate da applicazioni che richiedono un accesso illimitato, ad esempio HTTP e SMTP (Simple Mail Transfer Protocol).

Se i gruppi di sicurezza sono stati configurati intenzionalmente in questo modo, si consiglia di utilizzare misure di protezione aggiuntive per proteggere l'infrastruttura (ad esempio tabelle IP).

HCP4007jGY

Limita l'accesso solo agli indirizzi IP che lo richiedono. Per limitare l'accesso a un indirizzo IP specifico, imposta il suffisso su /32 (ad esempio 192.0.2.10/32). Assicurati di eliminare le regole eccessivamente permissive dopo aver creato quelle più restrittive.

Rivedi ed elimina i gruppi di sicurezza non utilizzati. È possibile utilizzarlo AWS Firewall Manager per configurare e gestire centralmente i gruppi di sicurezza su Account AWS larga scala. Per ulteriori informazioni, consulta la AWS Firewall Manager documentazione.

Prendi in considerazione l'utilizzo di Systems Manager Sessions Manager per l'accesso SSH (porta 22) e RDP (porta 3389) alle istanze. EC2 Con il gestore delle sessioni, puoi accedere alle tue EC2 istanze senza abilitare le porte 22 e 3389 nel gruppo di sicurezza.

Controlla i gruppi di sicurezza per le regole che consentono l'accesso illimitato a una risorsa.

L'accesso illimitato aumenta le opportunità di attività dannose (pirateria informatica, denial-of-service attacchi, perdita di dati).

1iG5NDGVre

Limita l'accesso solo agli indirizzi IP che lo richiedono. Per limitare l'accesso a un indirizzo IP specifico, imposta il suffisso su /32 (ad esempio 192.0.2.10/32). Assicurati di eliminare le regole eccessivamente permissive dopo aver creato quelle più restrittive.

Rivedi ed elimina i gruppi di sicurezza non utilizzati. È possibile utilizzarlo AWS Firewall Manager per configurare e gestire centralmente i gruppi di sicurezza su Account AWS larga scala. Per ulteriori informazioni, consulta la AWS Firewall Manager documentazione.

Prendi in considerazione l'utilizzo di Systems Manager Sessions Manager per l'accesso SSH (porta 22) e RDP (porta 3389) alle istanze. EC2 Con il gestore delle sessioni, puoi accedere alle tue EC2 istanze senza abilitare le porte 22 e 3389 nel gruppo di sicurezza.