Sicurezza

Verifica se il periodo di conservazione dei gruppi di CloudWatch log di Amazon è impostato su 365 giorni o su un altro numero specificato.

Per impostazione predefinita, i log vengono conservati a tempo indeterminato e non scadono mai. Tuttavia, per ogni gruppo di log puoi modificare la policy di conservazione in modo da conformarla per un periodo specifico alle normative di settore o ai requisiti legali.

Puoi specificare il tempo minimo di conservazione e i nomi dei gruppi di log utilizzando i MinRetentionTimeparametri LogGroupNamese nelle tue AWS Config regole.

c18d2gz186

AWS Config Managed Rule: cw-loggroup-retention-period-check

Giallo: il periodo di conservazione di un gruppo di CloudWatch log Amazon è inferiore al numero minimo di giorni desiderato.

Configura un periodo di conservazione di oltre 365 giorni per i dati di log archiviati in Amazon CloudWatch Logs per soddisfare i requisiti di conformità.

Per ulteriori informazioni, consulta Change log data retention in CloudWatch Logs.

Alterazione della conservazione dei log CloudWatch

Controlla le versioni del SQL Server per le istanze Amazon Elastic Compute Cloud (AmazonEC2) in esecuzione nelle ultime 24 ore. Questo controllo ti avvisa se le versioni sono vicine o hanno raggiunto la fine del supporto. Ogni versione SQL del Server offre 10 anni di supporto, inclusi 5 anni di supporto mainstream e 5 anni di supporto esteso. Dopo la fine del supporto, la versione SQL Server non riceverà aggiornamenti di sicurezza regolari. L'esecuzione di applicazioni con versioni SQL Server non supportate può comportare rischi per la sicurezza o la conformità.

Qsdfp3A4L3

Per modernizzare i carichi di lavoro dei SQL server, prendi in considerazione il refactoring su database Cloud AWS nativi come Amazon Aurora. Per ulteriori informazioni, consulta Modernizza i carichi di lavoro Windows con. AWS

Per passare a un database completamente gestito, valuta la possibilità di passare ad Amazon Relational Database Service (Amazon). RDS Per ulteriori informazioni, consulta Amazon RDS for SQL Server.

Per aggiornare il tuo SQL server su AmazonEC2, prendi in considerazione l'utilizzo del runbook di automazione per semplificare l'aggiornamento. Per ulteriori informazioni, consulta la documentazione relativa ad AWS Systems Manager.

Se non riesci ad aggiornare il tuo SQL server su AmazonEC2, prendi in considerazione il programma di End-of-Support migrazione (EMP) per Windows Server. Per ulteriori informazioni, consulta il EMPsito Web.

Questo controllo ti avvisa se le versioni sono vicine o hanno raggiunto la fine del supporto. Ogni versione di Windows Server offre 10 anni di supporto. Ciò include 5 anni di supporto mainstream e 5 anni di supporto esteso. Dopo la fine del supporto, la versione di Windows Server non riceverà più i normali aggiornamenti di sicurezza. Se esegui applicazioni con versioni di Windows Server non supportate, la sicurezza o la conformità di tali applicazioni è a rischio.

Qsdfp3A4L4

Per modernizzare i carichi di lavoro di Windows Server, prendi in considerazione le varie opzioni disponibili in Modernize Windows Workloads with. AWS

Per aggiornare i carichi di lavoro di Windows Server in modo da poterli eseguire su versioni più recenti di Windows Server, puoi utilizzare un runbook di automazione. Per ulteriori informazioni, consulta la documentazione di AWS Systems Manager.

Segui la procedura riportata di seguito:

Questo controllo ti avvisa se le versioni sono prossime o hanno raggiunto la fine del supporto standard. È importante agire, migrando alla versione successiva LTS o eseguendo l'aggiornamento a Ubuntu Pro. Dopo la fine del supporto, i LTS computer 18.04 non riceveranno alcun aggiornamento di sicurezza. Con un abbonamento a Ubuntu Pro, la tua LTS distribuzione di Ubuntu 18.04 può ricevere Expanded Security Maintenance (ESM) fino al 2028. Le vulnerabilità di sicurezza che rimangono prive di patch aprono i sistemi agli hacker e al potenziale di gravi violazioni.

c1dfprch15

Rosso: un'EC2istanza Amazon ha una versione di Ubuntu che ha raggiunto la fine del supporto standard (Ubuntu 18.04LTS, 18.04.1, 18.04.2, 18.04.3LTS, 18.04.4LTS, 18.04.5 e LTS 18.04.6). LTS LTS LTS

Giallo: un'EC2istanza Amazon ha una versione di Ubuntu che raggiungerà la fine del supporto standard in meno di 6 mesi (Ubuntu 20.04LTS, 20.04.1, 20.04.2, 20.04.3LTS, 20.04.4LTS, 20.04.5 e LTS 20.04.6). LTS LTS LTS

Verde: tutte le EC2 istanze Amazon sono conformi.

Per aggiornare le LTS istanze di Ubuntu 18.04 a una LTS versione supportata, segui i passaggi indicati in questo articolo. Per aggiornare le LTS istanze di Ubuntu 18.04 a Ubuntu Pro, visita la AWS License Manager console e segui i passaggi indicati nella guida per l'utente.AWS License Manager Puoi anche fare riferimento al blog di Ubuntu che mostra una demo dettagliata sull'aggiornamento delle istanze di Ubuntu a Ubuntu Pro.

Per informazioni sui prezzi, contatta. AWS Support

Verifica se EFS il file system Amazon è montato utilizzando data-in-transit la crittografia. AWS consiglia ai clienti di utilizzare data-in-transit la crittografia per tutti i flussi di dati per proteggere i dati dall'esposizione accidentale o dall'accesso non autorizzato. Amazon EFS consiglia ai clienti di utilizzare l'impostazione di montaggio '-o tls' utilizzando Amazon EFS mount helper per crittografare i dati in transito utilizzando la versione 1.2. TLS

c1dfpnchv1

Giallo: uno o più NFS client per il tuo EFS file system Amazon non utilizzano le impostazioni di montaggio consigliate che forniscono data-in-transit la crittografia.

Verde: tutti NFS i client del tuo EFS file system Amazon utilizzano le impostazioni di montaggio consigliate che forniscono data-in-transit la crittografia.

Per sfruttare la funzionalità di data-in-transit crittografia su AmazonEFS, ti consigliamo di rimontare il file system utilizzando Amazon EFS mount helper e le impostazioni di montaggio consigliate.

Verifica le impostazioni di autorizzazione per gli snapshot del volume Amazon Elastic Block Store (AmazonEBS) e ti avvisa se alcuni snapshot sono accessibili pubblicamente.

Quando rendi pubblica un'istantanea, consenti a tutti Account AWS e agli utenti l'accesso a tutti i dati in essa contenuti. Per condividere un'istantanea solo con utenti o account specifici, contrassegna l'istantanea come privata. Quindi, specifica l'utente o gli account con cui desideri condividere i dati dell'istantanea. Tieni presente che se hai abilitato Block Public Access in modalità «blocca tutte le condivisioni», le tue istantanee pubbliche non sono accessibili pubblicamente e non compaiono nei risultati di questo controllo.

ePs02jT06w

Rosso: l'istantanea del EBS volume è accessibile pubblicamente.

A meno che tu non sia sicuro di voler condividere tutti i dati dell'istantanea con tutti gli utenti, modifica Account AWS le autorizzazioni: contrassegna l'istantanea come privata, quindi specifica gli account a cui desideri concedere le autorizzazioni. Per ulteriori informazioni, consulta Condivisione di Amazon EBS Snapshot. Usa Block Public Access for EBS Snapshots per controllare le impostazioni che consentono l'accesso pubblico ai tuoi dati. Questo controllo non può essere escluso dalla visualizzazione nella Trusted Advisor console.

Per modificare direttamente le autorizzazioni per le istantanee, utilizza un runbook nella console. AWS Systems Manager Per ulteriori informazioni, consulta AWSSupport-ModifyEBSSnapshotPermission.

EBSIstantanee Amazon

Amazon RDS supporta la crittografia a riposo per tutti i motori di database utilizzando le chiavi da te gestite AWS Key Management Service. Su un'istanza DB attiva con RDS crittografia Amazon, i dati archiviati a riposo nello storage sono crittografati, in modo simile ai backup automatici, alle repliche di lettura e alle istantanee.

Se la crittografia non è attivata durante la creazione di un cluster Aurora DB, è necessario ripristinare un'istantanea decrittografata in un cluster DB crittografato.

c1qf5bt005

Rosso: per le risorse di Amazon RDS Aurora non è abilitata la crittografia.

Attiva la crittografia dei dati inattivi per il tuo cluster DB.

È possibile attivare la crittografia durante la creazione di un'istanza DB o utilizzare una soluzione alternativa per attivare la crittografia su un'istanza DB attiva. Non è possibile modificare un cluster DB decrittografato in un cluster DB crittografato. Tuttavia, è possibile ripristinare un'istantanea decrittografata in un cluster DB crittografato. Quando si esegue il ripristino da un'istantanea decrittografata, è necessario specificare una chiave. AWS KMS

Per ulteriori informazioni, consulta Crittografia delle risorse Amazon Aurora.

Le risorse del tuo database non eseguono l'ultima versione secondaria del motore DB. L'ultima versione secondaria contiene le ultime correzioni di sicurezza e altri miglioramenti.

c1qf5bt003

Giallo: RDS le risorse Amazon non eseguono l'ultima versione secondaria del motore DB.

Esegui l'upgrade alla versione più recente del motore.

Ti consigliamo di mantenere il tuo database con la versione minore più recente del motore DB poiché questa versione include le ultime correzioni di sicurezza e funzionalità. Gli aggiornamenti delle versioni secondarie del motore DB contengono solo le modifiche retrocompatibili con le versioni secondarie precedenti della stessa versione principale del motore DB.

Per ulteriori informazioni, consulta Aggiornamento di una versione del motore delle istanze DB.

Controlla le impostazioni di autorizzazione per gli snapshot DB di Amazon Relational Database Service (RDSAmazon) e ti avvisa se alcuni snapshot sono contrassegnati come pubblici.

Quando rendi pubblica una snapshot, consenti a tutti Account AWS e agli utenti l'accesso a tutti i dati in essa contenuti. Se desideri condividere uno snapshot solo con utenti o account specifici, contrassegna lo snapshot come privato. Specifica quindi l'utente o gli account con cui desideri condividere i dati dello snapshot.

rSs93HQwa1

Rosso: lo RDS snapshot di Amazon è contrassegnato come pubblico.

A meno che tu non sia sicuro di voler condividere tutti i dati dello snapshot con tutti gli utenti, modifica Account AWS le autorizzazioni: contrassegna l'istantanea come privata, quindi specifica gli account a cui desideri concedere le autorizzazioni. Per ulteriori informazioni, consulta Condivisione di uno snapshot DB o DB cluster. Questo controllo non può essere escluso dalla visualizzazione nella console. Trusted Advisor

Per modificare direttamente le autorizzazioni per le istantanee, è possibile utilizzare un runbook nella console. AWS Systems Manager Per ulteriori informazioni, consulta AWSSupport-ModifyRDSSnapshotPermission.

Backup e ripristino di istanze Amazon DB RDS

Verifica le configurazioni dei gruppi di sicurezza per Amazon Relational Database Service (RDSAmazon) e avvisa quando una regola del gruppo di sicurezza concede un accesso eccessivamente permissivo al database. La configurazione consigliata per una regola del gruppo di sicurezza consiste nel consentire l'accesso solo da specifici gruppi di sicurezza Amazon Elastic Compute Cloud (AmazonEC2) o da un indirizzo IP specifico.

nNauJisYIT

EC2-Classic è stato ritirato il 15 agosto 2022. Si consiglia di spostare le RDS istanze Amazon in un ambiente VPC e utilizzare i gruppi EC2 di sicurezza Amazon. Per ulteriori informazioni sullo spostamento dell'istanza DB in a, VPC consulta Spostare un'istanza DB not in a VPC in a VPC.

Se non riesci a migrare le tue RDS istanze Amazon aVPC, rivedi le regole del gruppo di sicurezza e limita l'accesso agli indirizzi IP o agli intervalli IP autorizzati. Per modificare un gruppo di sicurezza, usa la A uthorizeDBSecurity GroupIngress API o la. AWS Management Console Per ulteriori informazioni, consulta Utilizzo dei gruppi di sicurezza database.

Amazon RDS supporta la crittografia a riposo per tutti i motori di database utilizzando le chiavi da te gestite AWS Key Management Service. Su un'istanza DB attiva con RDS crittografia Amazon, i dati archiviati a riposo nello storage sono crittografati, in modo simile ai backup automatici, alle repliche di lettura e alle istantanee.

Se la crittografia non è attivata durante la creazione di un'istanza DB, è necessario ripristinare una copia crittografata dello snapshot decrittografato prima di attivare la crittografia.

c1qf5bt006

Rosso: per RDS le risorse Amazon la crittografia non è abilitata.

Attiva la crittografia dei dati inattivi per la tua istanza DB.

È possibile crittografare un'istanza DB solo quando si crea l'istanza DB. Per crittografare un'istanza DB attiva esistente:

Per ulteriori informazioni, consulta le seguenti risorse:

Controlla le zone ospitate di Amazon Route 53 con CNAME record che puntano direttamente ai nomi host dei bucket Amazon S3 e avvisa se CNAME il tuo nome non corrisponde al nome del bucket S3.

c1ng44jvbm

Rosso: Amazon Route 53 Hosted Zone contiene CNAME record che indicano nomi host dei bucket S3 non corrispondenti.

Verde: nessun CNAME record non corrispondente trovato nella tua Amazon Route 53 Hosted Zone.

Quando indirizzi i CNAME record ai nomi host dei bucket S3, devi assicurarti che esista un bucket corrispondente per qualsiasi CNAME record o alias che configuri. In questo modo, eviti il rischio che i tuoi record vengano falsificati. CNAME Inoltre, impedisci a qualsiasi AWS utente non autorizzato di ospitare contenuti web difettosi o dannosi con il tuo dominio.

Per evitare di indirizzare CNAME i record direttamente ai nomi host dei bucket S3, prendi in considerazione l'utilizzo di origin access control (OAC) per accedere alle tue risorse web del bucket S3 tramite Amazon. CloudFront

Per ulteriori informazioni sull'associazione a un nome host del bucket Amazon S3, consulta Personalizzazione di Amazon S3 CNAME con record. URLs CNAME

Per ogni record MX, verifica la presenza di un TXT record associato contenente un SPF valore valido. Il valore del TXT record deve iniziare con «v=spf1". SPFi tipi di record sono obsoleti dalla Internet Engineering Task Force (). IETF Con Route 53, è consigliabile utilizzare un TXT record anziché un record. SPF Trusted Advisor riporta questo controllo come verde quando a un record MX è associato almeno un TXT record con un SPF valore valido.

c9D319e7sG

Per ogni set di record di risorse MX, crea un set di record di TXT risorse che contenga un SPF valore valido. Per ulteriori informazioni, consulta Sender Policy Framework: sintassi dei SPF record e creazione di set di record di risorse utilizzando la console Amazon Route 53.

Controlla i bucket in Amazon Simple Storage Service (Amazon S3) che dispongono di autorizzazioni di accesso aperto o che consentono l'accesso a qualsiasi utente autenticato. AWS

Questo controllo esamina le autorizzazioni del bucket esplicite nonché le policy bucket che potrebbero sovrascrivere tali autorizzazioni. È sconsigliato concedere autorizzazioni di accesso alla lista a tutti gli utenti di un bucket Amazon S3. Queste autorizzazioni possono portare a utenti non intenzionali che elencano oggetti nel bucket ad alta frequenza, il che può comportare costi superiori a quelli previsti. Le autorizzazioni che concedono il caricamento ed eliminano l’accesso a chiunque possono causare vulnerabilità di sicurezza nel tuo bucket.

Pfx0RwqBli

Se un bucket consente l'accesso aperto, determina se è veramente necessario. Ad esempio, per ospitare un sito Web statico, puoi utilizzare Amazon CloudFront per fornire i contenuti ospitati su Amazon S3. Vedi Limitazione dell'accesso all'origine anAmazon S3 nella Amazon CloudFront Developer Guide. Quando possibile, aggiorna le autorizzazioni del bucket per limitare l'accesso al proprietario o a utenti specifici. Utilizza l'impostazione per bloccare l'accesso pubblico di Amazon S3 per controllare le impostazioni che consentono l'accesso pubblico ai tuoi dati. Consulta Impostazione delle autorizzazioni di accesso al bucket e agli oggetti.

Gestione delle autorizzazioni di accesso alle risorse di Amazon S3

Configurazione delle impostazioni di blocco dell'accesso pubblico per i bucket Amazon S3

Verifica se la DNS risoluzione delle connessioni VPC peering è attiva sia per l'accettatore che per il richiedente. VPCs

DNSla risoluzione per una connessione VPC peering consente la risoluzione di DNS nomi di host pubblici in IPv4 indirizzi privati su richiesta dell'utente. VPC Ciò consente l'uso di DNS nomi per la comunicazione tra risorse in modalità peering. VPCs DNSla risoluzione delle connessioni VPC peering semplifica lo sviluppo e la gestione delle applicazioni e riduce il rischio di errori, oltre a garantire che le risorse comunichino sempre in modo privato tramite la connessione peering. VPC

È possibile specificare, utilizzando i parametri nelle regole VPCIDs. vpcIds AWS Config

Per ulteriori informazioni, consulta Abilitare la DNS risoluzione per una connessione VPC peering.

c18d2gz124

AWS Config Managed Rule: vpc-peering-dns-resolution-check

Giallo: la DNS risoluzione non è abilitata sia per l'accettatore che per il richiedente VPCs in una connessione peering. VPC

Attiva la DNS risoluzione per le tue connessioni peeringVPC.

Verifica che i gruppi target di Application Load Balancer (ALB) utilizzino il HTTPS protocollo per crittografare le comunicazioni in transito per tipi di istanze o IP di destinazione back-end. HTTPSle richieste tra destinazioni ALB e destinazioni di back-end aiutano a mantenere la riservatezza dei dati in transito.

c2vlfg0p1w

Configura i tipi di destinazione di istanza o IP di back-end per supportare HTTPS l'accesso e modifica il gruppo di destinazione per utilizzare il HTTPS protocollo per crittografare le comunicazioni tra ALB i tipi di istanza o IP di destinazione di back-end.

Applica la crittografia in transito

Tipi di target di Application Load Balancer

Configurazione del routing dell'Application Load Balancer

Protezione dei dati in Elastic Load Balancing

Verifica se ai AWS Backup vault è associata una politica basata sulle risorse che impedisce l'eliminazione dei punti di ripristino.

La policy basata sulle risorse impedisce l'eliminazione imprevista dei punti di ripristino, per cui è possibile applicare il controllo degli accessi con privilegi minimi sui dati di backup.

Puoi specificare che non desideri AWS Identity and Access Management ARNs che la regola controlli nel principalArnListparametro delle tue regole. AWS Config

c18d2gz152

AWS Config Managed Rule: backup-recovery-point-manual-deletion-disabled

Giallo: alcuni AWS Backup vault non dispongono di una politica basata sulle risorse per impedire l'eliminazione dei punti di ripristino.

Crea politiche basate sulle risorse per i tuoi AWS Backup vault per prevenire l'eliminazione inaspettata dei punti di ripristino.

La policy deve includere un'istruzione «Deny» con autorizzazioni di backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle. PutBackupVaultAccessPolicy

Per ulteriori informazioni, consulta Impostazione delle policy di accesso su vault di backup.

Verifica l'utilizzo di. AWS CloudTrail CloudTrail offre una maggiore visibilità sull'attività dell'utente Account AWS registrando le informazioni sulle AWS API chiamate effettuate sull'account. È possibile utilizzare questi registri per determinare, ad esempio, quali azioni ha eseguito un determinato utente durante un periodo di tempo specificato o quali utenti hanno eseguito azioni su una determinata risorsa durante un periodo di tempo specificato.

Poiché CloudTrail invia i file di log a un bucket Amazon Simple Storage Service (Amazon S3) CloudTrail , deve disporre delle autorizzazioni di scrittura per il bucket. Se un trail si applica a tutte le Regioni (impostazione predefinita quando si crea un nuovo trail), esso appare più volte nel report Trusted Advisor .

vjafUGJ9H0

Per creare un percorso e avviare la registrazione dalla console, vai alla Console AWS CloudTrail.

Per avviare la registrazione, consulta Interruzione e avvio della registrazione per un percorso.

Se si ricevono errori di consegna del registro, verifica che il bucket esista e che la policy necessaria sia collegata al bucket. Consulta Policy del bucket Amazon S3.

Verifica la presenza di funzioni Lambda la cui LATEST versione $ è configurata per utilizzare un runtime prossimo alla deprecazione o obsoleto. I runtime obsoleti non sono idonei per gli aggiornamenti di sicurezza o il supporto tecnico

Le versioni delle funzioni Lambda pubblicate sono immutabili, il che significa che possono essere richiamate ma non aggiornate. Solo la versione $LATEST di una funzione Lambda può essere aggiornata. Per ulteriori informazioni, consulta Versioni delle funzioni Lambda.

L4dfs2Q4C5

Se si dispone di funzioni in esecuzione su un runtime che verrà reso obsoleto, devi prepararti per la migrazione a un runtime supportato. Per ulteriori informazioni, consulta Policy di supporto per il runtime.

Ti consigliamo di eliminare le versioni delle funzioni precedenti che non stai più utilizzando.

Runtime Lambda

Verifica la presenza di problemi ad alto rischio (HRIs) per i carichi di lavoro nel pilastro relativo alla sicurezza. Questo controllo si basa sul tuo AWS-Well Architected recensioni. I risultati del controllo dipendono dal fatto che la valutazione del carico di lavoro sia stata completata con AWS Well-Architected.

Wxdfp4B1L3

AWS Well-Architected ha rilevato problemi ad alto rischio durante la valutazione del carico di lavoro. Questi problemi offrono opportunità per ridurre i rischi e risparmiare denaro. Accedi allo strumento AWS Well-Architected per rivedere le tue risposte e risolvere i problemi attivi.

Verifica la presenza di nomi di dominio CloudFront alternativi nei SSL certificati nell'archivio IAM certificati. Questo controllo avvisa l'utente se un certificato è scaduto, scadrà presto, utilizza una crittografia obsoleta o non è configurato correttamente per la distribuzione.

Quando scade un certificato personalizzato per un nome di dominio alternativo, i browser che visualizzano i tuoi CloudFront contenuti potrebbero mostrare un messaggio di avviso sulla sicurezza del tuo sito web. I certificati crittografati utilizzando l'algoritmo di hashing SHA -1 sono ormai obsoleti dalla maggior parte dei browser Web come Chrome e Firefox.

Un certificato deve contenere un nome di dominio che corrisponda al nome di dominio di origine o al nome di dominio nell'intestazione host di una richiesta di visualizzatore. Se non corrisponde, CloudFront restituisce all'utente un codice di HTTP stato 502 (bad gateway). Per ulteriori informazioni, vedere Utilizzo di nomi di dominio alternativi e. HTTPS

N425c450f2

Si consiglia di AWS Certificate Manager utilizzarlo per fornire, gestire e distribuire i certificati del server. ConACM, puoi richiedere un nuovo certificato o distribuire un certificato esistente ACM o esterno alle AWS risorse. I certificati forniti da ACM sono gratuiti e possono essere rinnovati automaticamente. Per ulteriori informazioni sull'utilizzoACM, consulta la Guida AWS Certificate Manager per l'utente. Per verificare ACM i supporti delle regioni, consulta AWS Certificate Manager gli endpoint e le quote in. Riferimenti generali di AWS

Rinnova i certificati scaduti o i certificati che stanno per scadere. Per ulteriori informazioni sul rinnovo di un certificato, consulta Gestione dei certificati del server in. IAM

Sostituisci un certificato che è stato crittografato utilizzando l'algoritmo di hashing SHA -1 con un certificato crittografato utilizzando l'algoritmo di hashing SHA -256.

Sostituisci il certificato con uno che contiene i valori applicabili nei campi Common Name (Nome comune) o Subject Alternative Domain (Nomi alternativi oggetto).

Utilizzo di una HTTPS connessione per accedere agli oggetti

Importazione di certificati

AWS Certificate Manager Guida per l'utente

Verifica la presenza di SSL certificati scaduti, prossimi alla scadenza, mancanti o che utilizzano una crittografia obsoleta. Se un certificato presenta uno di questi problemi, CloudFront risponde alle richieste relative ai tuoi contenuti con il codice di HTTP stato 502, Bad Gateway.

I certificati che sono stati crittografati utilizzando l'algoritmo di hashing SHA -1 vengono dichiarati obsoleti dai browser Web come Chrome e Firefox. A seconda del numero di SSL certificati che hai associato alle tue CloudFront distribuzioni, questo assegno potrebbe aggiungere qualche centesimo al mese alla tua fattura con il tuo provider di web hosting, ad esempio, AWS se utilizzi Amazon EC2 o Elastic Load Balancing come origine per la tua distribuzione. CloudFront Questo controllo non convalida la catena di certificati di origine o le autorità di certificazione. Puoi verificarli nella tua configurazione. CloudFront

N430c450f2

Rinnova il certificato sull'origine se è scaduto o sta per scadere.

Aggiungi un certificato se non ne esiste già uno.

Sostituisci un certificato crittografato utilizzando l'algoritmo di hashing SHA -1 con un certificato crittografato utilizzando l'algoritmo di hashing SHA -256.

Utilizzo di nomi di dominio alternativi e HTTPS

Verifica la presenza di sistemi di bilanciamento del carico classici con listener che non utilizzano le configurazioni di sicurezza consigliate per le comunicazioni crittografate. AWS consiglia di utilizzare un protocollo (HTTPSoSSL) sicuro, politiche di up-to-date sicurezza e cifrari e protocolli sicuri. Quando si utilizza un protocollo sicuro per una connessione front-end (da client a load balancer), le richieste vengono crittografate tra i client e il sistema di bilanciamento del carico. Questo crea un ambiente più sicuro. Elastic Load Balancing fornisce policy di sicurezza predefinite con crittografia e protocolli che aderiscono alle best practice di sicurezza AWS . Le nuove versioni delle policy predefinite vengono rilasciate man mano che sono disponibili nuove configurazioni.

a2sEc6ILx

Se il traffico verso il sistema di bilanciamento del carico deve essere sicuro, utilizza il protocollo HTTPS o il SSL protocollo per la connessione front-end.

Aggiorna il tuo load balancer alla versione più recente della politica di sicurezza predefinita. SSL

Utilizza solo crittografie e protocolli consigliati.

Per ulteriori informazioni, consulta Configurazioni del listener per Elastic Load Balancing.

Verifica la presenza di sistemi di bilanciamento del carico configurati con un gruppo di sicurezza che consente l'accesso a porte non configurate per il sistema di bilanciamento del carico.

Se un gruppo di sicurezza consente l'accesso a porte non configurate per il load balancer, aumenta il rischio di perdita di dati o attacchi dannosi.

xSqX82fQu

Configura le regole del gruppo di sicurezza per limitare l'accesso solo alle porte e ai protocolli definiti nella configurazione del listener di load balancer, oltre al protocollo per supportare Path Discovery. ICMP MTU Vedi Listeners for Your Classic Load Balancer e Security Groups for Load Balancer in a. VPC

Se un gruppo di sicurezza non è disponibile, applicane uno nuovo al load balancer. Crea regole del gruppo di sicurezza che limitano l'accesso solo alle porte e ai protocolli definiti nella configurazione del listener del load balancer. Vedi Gruppi di sicurezza per Load Balancers in a. VPC

Verifica nei repository di codice più diffusi le chiavi di accesso che sono state esposte al pubblico e l'utilizzo irregolare di Amazon Elastic Compute Cloud (AmazonEC2) che potrebbe essere il risultato di una chiave di accesso compromessa.

Una chiave di accesso è composta da un ID chiave di accesso e la relativa chiave di accesso segreta. Le chiavi di accesso esposte rappresentano un rischio per la sicurezza del tuo account e degli altri utenti. Potrebbero comportare addebiti eccessivi derivanti da attività non autorizzate o abusi e violare l’Accordo con il cliente AWS.

Se la chiave di accesso è esposta, agisci immediatamente per proteggere il tuo account. Per proteggere il tuo account da addebiti eccessivi, limita AWS temporaneamente la tua capacità di creare alcune risorse. AWS Questo non rende sicuro il tuo account. Limita solo parzialmente l'utilizzo non autorizzato che ti potrebbe essere addebitato.

Se viene indicata una scadenza per una chiave di accesso, AWS può sospendere l'utilizzo non autorizzato Account AWS se l'utilizzo non autorizzato non viene interrotto entro tale data. Se ritieni che un avviso sia errato, contatta AWS Support.

Le informazioni visualizzate Trusted Advisor potrebbero non riflettere lo stato più recente del tuo account. Nessuna chiave di accesso esposta viene contrassegnata come risolta fino a quando tutte le chiavi di accesso esposte sull'account non sono state risolte. Questa sincronizzazione dei dati può richiedere fino a una settimana.

12Fnkpl8Y5

Elimina la chiave di accesso interessata il prima possibile. Se la chiave è associata a un IAM utente, consulta Gestione delle chiavi di accesso per gli utenti. IAM

Verifica la presenza di un utilizzo non autorizzato sul tuo account. Esegui l'accesso alla AWS Management Console e verifica la presenza di risorse sospette su ogni console di servizio. Presta particolare attenzione all'esecuzione di EC2 istanze Amazon, alle richieste di istanze Spot, alle chiavi di accesso e IAM agli utenti. Puoi anche verificare l'utilizzo complessivo sulla Console di gestione fatturazione e costi.

Verifica la presenza di chiavi di IAM accesso attive che non sono state ruotate negli ultimi 90 giorni.

Quando si ruotano regolarmente le chiavi di accesso, si riduce la possibilità che una chiave compromessa possa essere utilizzata a tua insaputa per accedere alle risorse. Ai fini di questo controllo, la data e l'ora dell'ultima rotazione coincidono con quelle della creazione o dell’attivazione più recente della chiave di accesso. Il numero e la data della chiave di accesso provengono dalle access_key_2_last_rotated informazioni access_key_1_last_rotated e contenute nel rapporto sulle IAM credenziali più recente.

Poiché la frequenza di rigenerazione di un registro delle credenziali è limitata, l'aggiornamento di questo controllo potrebbe non riflettere le modifiche recenti. Per ulteriori informazioni, consulta Generare registri delle credenziali per il tuo Account AWS.

Per creare e ruotare le chiavi di accesso, un utente deve disporre delle autorizzazioni appropriate. Per ulteriori informazioni, consulta Consentire agli utenti di gestire le proprie password, chiavi di accesso e SSH chiavi.

DqdJqYeRm5

Ruota le chiavi di accesso regolarmente. Vedi Rotazione delle chiavi di accesso e Gestione delle chiavi di accesso per gli IAM utenti.

Verifica se è presente l'IAMaccesso esterno di Access Analyzer a livello di account o organizzazione.

IAMGli analizzatori di accesso esterni Access Analyzer aiutano a identificare le risorse dell'organizzazione e gli account condivisi con un'entità esterna. L'analizzatore crea quindi un pannello di controllo centralizzato con i risultati. Dopo l'attivazione del nuovo analizzatore nella IAM console, i team di sicurezza possono quindi dare la priorità agli account da esaminare in base alle autorizzazioni eccessive. Un analizzatore di accesso esterno crea risultati di accesso pubblici e interaccount alle risorse e viene fornito senza costi aggiuntivi.

07602fcad6

La creazione di un analizzatore di accesso esterno per account aiuta i team di sicurezza a dare priorità agli account da esaminare in base alle autorizzazioni eccessive. Per ulteriori informazioni, consulta Guida introduttiva ai risultati. AWS Identity and Access Management Access Analyzer

Inoltre, è consigliabile utilizzare l'Unused Access Analyzer, una funzionalità a pagamento che semplifica l'ispezione degli accessi inutilizzati per orientare l'utente verso il privilegio minimo. Per ulteriori informazioni, vedere Identificazione dell'accesso non utilizzato concesso a utenti e ruoli. IAM

Controlla la policy delle password per l'account e avverte quando una policy di password non è abilitata o se i requisiti relativi al contenuto della password non sono stati abilitati.

I requisiti relativi ai contenuti delle password aumentano la sicurezza complessiva dell’ambiente AWS mediante la creazione forzata di password utente complesse. Quando crei o modifichi una policy sulle password, la modifica viene applicata immediatamente per i nuovi utenti ma non richiede agli utenti esistenti di modificare le password.

Yw2K9puPzl

Se alcuni requisiti relativi al contenuto non sono abilitati, valuta la possibilità di abilitarli. Se nessuna policy sulle password è abilitata, creane e configurane una. Vedi Impostazione di una politica sulla password dell'account per IAM gli utenti.

Per accedere a AWS Management Console, gli IAM utenti devono disporre di una password. Come procedura ottimale, si consiglia AWS vivamente di utilizzare la federazione anziché creare IAM utenti. La federazione consente agli utenti di utilizzare le credenziali aziendali esistenti per accedere a. AWS Management Console Utilizza IAM Identity Center per creare o federare l'utente e quindi assumere un IAM ruolo in un account.

Per ulteriori informazioni sui provider di identità e la federazione, consulta Fornitori di identità e federazione nella Guida per l'IAMutente. Per ulteriori informazioni su IAM Identity Center, consulta la Guida per l'utente di IAM Identity Center.

La gestione delle password

Verifica se Account AWS è configurato per l'accesso tramite un provider di identità (IdP) che supporta SAML 2.0. Assicurati di seguire le migliori pratiche quando centralizzi le identità e configuri gli utenti in un provider di identità esterno o. AWS IAM Identity Center

c2vlfg0p86

Attiva IAM Identity Center per. Account AWS Per ulteriori informazioni, vedere Enabling IAM Identity Center. Dopo aver attivato IAM Identity Center, puoi eseguire attività comuni come la creazione di un set di autorizzazioni e l'assegnazione dell'accesso ai gruppi di Identity Center. Per ulteriori informazioni, consulta Attività comuni.

È consigliabile gestire gli utenti umani in IAM Identity Center. Tuttavia, è possibile attivare l'accesso federato IAM per utenti umani a breve termine per implementazioni su piccola scala. Per ulteriori informazioni, consulta SAML la federazione 2.0.

Che cos'è IAM Identity Center?

Che cos'èIAM?

Controlla l'account root e avvisa se l'autenticazione a più fattori (MFA) non è abilitata.

Per una maggiore sicurezza, ti consigliamo di proteggere il tuo account utilizzandoMFA, che richiede all'utente di inserire un codice di autenticazione univoco dal proprio MFA hardware o dispositivo virtuale quando interagisce con il sito Web AWS Management Console e i siti Web associati.

7DAFEmoDos

Rosso: non MFA è abilitato sull'account root.

Accedi al tuo account root e attiva un MFA dispositivo. Vedi Verifica MFA dello stato e configurazione di un MFA dispositivo.

Puoi effettuare l'attivazione MFA sul tuo account in qualsiasi momento visitando la pagina Credenziali di sicurezza. Per fare ciò, scegli il menu a discesa dell'account nel.AWS Management Console AWSsupporta diverse forme standard di settoreMFA, come gli autenticatori FIDO2 virtuali. Ciò offre la flessibilità necessaria per scegliere un MFA dispositivo che soddisfi le tue esigenze. È consigliabile registrare più di un MFA dispositivo per garantire la resilienza nel caso in cui uno dei MFA dispositivi venga perso o smetta di funzionare.

Per ulteriori informazioni, consulta la sezione Procedura generale per l'attivazione MFA dei dispositivi e Abilita un MFA dispositivo virtuale per l'utente Account AWS root (console) nella Guida per l'IAMutente.

Verifica se è presente la chiave di accesso dell'utente root. Si consiglia vivamente di non creare coppie di chiavi di accesso per l'utente root. Poiché solo alcune attività richiedono l'utilizzo dell'utente root e in genere tali operazioni vengono eseguite raramente, è consigliabile accedere al sito per AWS Management Console eseguire le attività dell'utente root. Prima di creare le chiavi di accesso, esamina le alternative alle chiavi di accesso a lungo termine.

c2vlfg0f4h

Rosso: è presente la chiave di accesso dell'utente root

Verde: la chiave di accesso dell'utente root non è presente

Elimina le chiavi di accesso per l'utente root. Vedere Eliminazione delle chiavi di accesso per l'utente root. Questa operazione deve essere eseguita dall'utente root. Non puoi eseguire questi passaggi come IAM utente o ruolo.

Attività che richiedono credenziali utente root

Reimpostazione di una password utente root persa o dimenticata

Controlla i gruppi di protezione per le regole che consentono l'accesso illimitato (0.0.0.0/0) a porte specifiche.

L'accesso illimitato aumenta le opportunità di attività dannose (pirateria informatica, denial-of-service attacchi, perdita di dati). Le porte con più alto rischio sono contrassegnate in rosso e quelle con meno rischio sono contrassegnate in giallo. Le porte contrassegnate in verde vengono in genere utilizzate da applicazioni che richiedono un accesso illimitato, come e. HTTP SMTP

Se i gruppi di sicurezza sono stati configurati intenzionalmente in questo modo, si consiglia di utilizzare misure di protezione aggiuntive per proteggere l'infrastruttura (ad esempio tabelle IP).

HCP4007jGY

Limita l'accesso solo agli indirizzi IP che lo richiedono. Per limitare l'accesso a un indirizzo IP specifico, imposta il suffisso su /32 (ad esempio 192.0.2.10/32). Assicurati di eliminare le regole eccessivamente permissive dopo aver creato quelle più restrittive.

Rivedi ed elimina i gruppi di sicurezza non utilizzati. È possibile utilizzarlo AWS Firewall Manager per configurare e gestire centralmente i gruppi di sicurezza su Account AWS larga scala. Per ulteriori informazioni, consulta la AWS Firewall Manager documentazione.

Prendi in considerazione l'utilizzo di Systems Manager Sessions Manager per l'accesso SSH (Porta 22) e RDP (Porta 3389) alle EC2 istanze. Con Sessions Manager, puoi accedere alle tue EC2 istanze senza abilitare le porte 22 e 3389 nel gruppo di sicurezza.

Controlla i gruppi di sicurezza per le regole che consentono l'accesso illimitato a una risorsa.

L'accesso illimitato aumenta le opportunità di attività dannose (pirateria informatica, denial-of-service attacchi, perdita di dati).

1iG5NDGVre

Limita l'accesso solo agli indirizzi IP che lo richiedono. Per limitare l'accesso a un indirizzo IP specifico, imposta il suffisso su /32 (ad esempio 192.0.2.10/32). Assicurati di eliminare le regole eccessivamente permissive dopo aver creato quelle più restrittive.

Rivedi ed elimina i gruppi di sicurezza non utilizzati. È possibile utilizzarlo AWS Firewall Manager per configurare e gestire centralmente i gruppi di sicurezza su Account AWS larga scala. Per ulteriori informazioni, consulta la AWS Firewall Manager documentazione.

Prendi in considerazione l'utilizzo di Systems Manager Sessions Manager per l'accesso SSH (Porta 22) e RDP (Porta 3389) alle EC2 istanze. Con Sessions Manager, puoi accedere alle tue EC2 istanze senza abilitare le porte 22 e 3389 nel gruppo di sicurezza.