Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Best practice operative per carichi di lavoro di materiali ABS CCIG 2.0
I Conformance Pack forniscono un framework di conformità generico progettato per consentire di creare controlli di governance relativi alla sicurezza, all'operatività o all'ottimizzazione dei costi utilizzando regole gestite o personalizzate e azioni correttive. AWS Config AWS Config I pacchetti di conformità, in quanto modelli di esempio, non sono pensati per garantire la piena conformità a uno specifico standard di governance o conformità. È tua responsabilità valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.
Di seguito viene fornito un esempio di mappatura tra la ABS Cloud Computing Implementation Guide 2.0 - Material Workloads e le regole AWS Config gestite. Ogni regola di Config si applica a una AWS risorsa specifica e si riferisce a uno o più controlli della ABS Cloud Computing Implementation Guide. Un controllo della ABS Cloud Computing Implementation Guide può essere correlato a più regole di Config. Consulta la tabella seguente per maggiori dettagli e indicazioni relativi a queste mappature.
| ID controllo | AWS Regola di Config | Linea guida |
|---|---|---|
| sezione 4 -2 a-govern-the-cloud - carichi di lavoro relativi ai materiali | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| sezione 4 a-govern-the-cloud - 2 carichi di lavoro materiali | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management IAM () Access Analyzer e Firewall AWS Manager e soluzioni Partner. AWS | |
| sezione 4 - 2 carichi di lavoro standard a-govern-the-cloud | La gestione centralizzata Account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. L'assenza di una governance centralizzata degli account può comportare configurazioni incoerenti di account, il che può mettere a rischio risorse e dati sensibili. | |
| a-govern-the-cloudsezione 4 - 2 carichi di lavoro standard | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| sezione 4 a-govern-the-cloud -2 carichi di lavoro standard | Questa regola aiuta a garantire l'uso delle migliori pratiche di sicurezza AWS consigliate per AWS CloudTrail, verificando l'abilitazione di più impostazioni. Queste includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione AWS CloudTrail in più aree. | |
| sezione 4 a-govern-the-cloud - 2 - carichi di lavoro standard | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| sezione 4 -2 - carichi di lavoro standard a-govern-the-cloud | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle API chiamate all'interno del tuo Account AWS. | |
| sezione 4 a-govern-the-cloud - 2 carichi di lavoro standard | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (AmazonEC2) con AWS Systems Manager. Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| sezione 4 a-govern-the-cloud - 2 carichi di lavoro standard | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| sezione 4 a-govern-the-cloud - 2 carichi di lavoro standard | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management IAM () Access Analyzer e Firewall AWS Manager e soluzioni Partner. AWS | |
| sezione 4 - Carichi di lavoro a 3 materiali a-govern-the-cloud | Abilita questa regola per assicurarti che la capacità effettiva di trasmissione assegnata sia verificata nelle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura e scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando la velocità di trasmissione effettiva si avvicina al limite massimo per l'account di un cliente. Questa regola consente di impostare facoltativamente i parametri accountRCUThreshold Percentage (Config Default: 80) accountWCUThreshold e Percentage (Config Default: 80). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| a-govern-the-cloudsezione 4 - 3 - carichi di lavoro relativi ai materiali | Questa regola garantisce che vengano stabiliti i limiti massimi e minimi di simultaneità di una funzione Lambda. Ciò può aiutare a stabilire il numero di richieste che la funzione serve in un dato momento. | |
| sezione 4 a-govern-the-cloud - 3 carichi di lavoro standard | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (AmazonEC2) con AWS Systems Manager. Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| sezione 4 a-govern-the-cloud - 3 carichi di lavoro standard | Abilita questa regola per facilitare la configurazione di base delle istanze Amazon Elastic Compute Cloud EC2 (Amazon) controllando se le istanze Amazon EC2 sono state interrotte per più del numero di giorni consentito, in base agli standard della tua organizzazione. | |
| sezione 4 - 3 carichi di lavoro standard a-govern-the-cloud | Questa regola garantisce che i volumi di Amazon Elastic Block Store collegati alle istanze di Amazon Elastic Compute Cloud (AmazonEC2) siano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un EBS volume Amazon non viene eliminato quando l'istanza a cui è collegato viene terminata, potrebbe violare il concetto di funzionalità minima. | |
| sezione 4 - 3 carichi di lavoro standard a-govern-the-cloud | Questa regola garantisce che gli elementi elastici IPs allocati a un Amazon Virtual Private Cloud (AmazonVPC) siano collegati alle istanze Amazon Elastic Compute Cloud (AmazonEC2) o alle interfacce di rete elastiche in uso. Questa regola aiuta a monitorare gli elementi inutilizzati nel tuo ambiente. EIPs | |
| sezione 4 a-govern-the-cloud - 3 carichi di lavoro standard | Questa regola garantisce che le liste di controllo degli accessi alla rete di Amazon Virtual Private Cloud (VPC) siano in uso. Il monitoraggio delle liste di controllo degli accessi di rete non utilizzati può aiutare a effettuare un inventario e una gestione accurati del proprio ambiente. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud 1 | Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. EC2le risorse non devono essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso indesiderato alle applicazioni o ai server. | |
| sezione 4 b-design-and-secure -the-cloud-1 - carichi di lavoro standard | Gestisci l'accesso al cloud assicurando che le istanze di replica non siano accessibili pubblicamente. AWS DMS DMSle istanze di replica possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| sezione 4 - i carichi di lavoro standard del cloud 1 b-design-and-secure | Gestisci l'accesso al AWS cloud assicurando che le EBS istantanee non siano ripristinabili pubblicamente. EBSgli snapshot dei volumi possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud 1 | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (AmazonEC2) non siano accessibili pubblicamente. EC2Le istanze Amazon possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud 1 | EC2i profili di istanza passano un IAM ruolo a un'EC2istanza. L'associazione di un profilo dell'istanza alle istanze può facilitare la gestione delle autorizzazioni e del privilegio minimo. | |
| sezione 4 b-design-and-secure -the-cloud-1 - carichi di lavoro standard | Se una definizione di attività ha privilegi elevati, significa che il cliente ha scelto specificamente di accedere a tali configurazioni. Questo controllo verifica l'aumento imprevisto dei privilegi quando la rete host prevede una definizione di attività ma il cliente non ha scelto privilegi elevati. | |
| sezione 4 b-design-and-secure -the-cloud-1 - carichi di lavoro standard | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati secondo i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon. EMR In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno dell'ambito, un server Kerberos è noto come centro di distribuzione delle chiavi (). KDC Fornisce un mezzo per l'autenticazione dei principali. KDCSi autentica emettendo ticket per l'autenticazione. The KDC mantiene un database dei principali all'interno del suo regno, delle relative password e di altre informazioni amministrative su ciascun principale. | |
| b-design-and-securesezione 4 - i carichi di lavoro standard del cloud-1 | Gestisci l'accesso al AWS cloud assicurando che i nodi master EMR del cluster Amazon non siano accessibili pubblicamente. I nodi master EMR del cluster Amazon possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud 1 | AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi del servizio di gestione delle AWS chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle AWS migliori pratiche di sicurezza di base: kms: Decrypt,). kms: ReEncryptFrom I valori effettivi devono riflettere le policy dell'organizzazione. | |
| sezione b-design-and-secure 4 -the-cloud-1 - carichi di lavoro standard | AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che IAM i gruppi abbiano almeno un utente. Collocare gli utenti in gruppi in base ai permessi associati o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| sezione 4 - i carichi di lavoro standard del cloud 1 b-design-and-secure | Assicurati che un utente, IAM ruolo o IAM gruppo AWS Identity and Access Management (IAM) non disponga di una politica in linea per consentire azioni bloccate su tutte le chiavi del servizio di gestione delle AWS chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle AWS migliori pratiche di sicurezza di base: kms: Decrypt,). kms: ReEncryptFrom I valori effettivi devono riflettere le policy dell'organizzazione. | |
| sezione b-design-and-secure 4 -the-cloud-1 - carichi di lavoro standard | Assicurati che un utente, IAM ruolo o IAM gruppo di AWS Identity and Access Management (IAM) non disponga di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud 1 | Le identità e le credenziali vengono emesse, gestite e verificate in base a una politica organizzativa in materia di password. IAM Soddisfano o superano i requisiti indicati dallo standard NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per IAMPolitica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| sezione 4 b-design-and-secure -the-cloud-1 - carichi di lavoro standard | AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| sezione 4 - i carichi di lavoro standard del cloud 1 b-design-and-secure | Assicurati che le azioni siano limitate solo alle azioni necessarieIAM. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| sezione 4 b-design-and-secure -the-cloud-1 - carichi di lavoro standard | L'accesso ai sistemi e alle risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| sezione 4 - i carichi di lavoro standard del cloud 1 b-design-and-secure | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| sezione 4 -the-cloud-1 - carichi di lavoro standard b-design-and-secure | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS . Questa regola garantisce che l'autenticazione a più fattori () sia abilitata per tutti gli utenti. MFA MFAaggiunge un ulteriore livello di protezione oltre a nome utente e password. Riduci gli incidenti dovuti agli account compromessi MFA richiedendo agli utenti. | |
| sezione 4 - the-cloud-1 - carichi di lavoro standard b-design-and-secure | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| sezione 4 b-design-and-secure -the-cloud-1 - carichi di lavoro standard | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando IAM le password e le chiavi di accesso che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud 1 | I gruppi di sicurezza di Amazon Elastic Compute Cloud (AmazonEC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| b-design-and-securesezione 4 - i carichi di lavoro standard del cloud-1 | Implementa istanze Amazon Elastic Compute Cloud (AmazonEC2) all'interno di un Amazon Virtual Private Cloud (AmazonVPC) per consentire comunicazioni sicure tra un'istanza e altri servizi all'interno di AmazonVPC, senza richiedere un gateway Internet, un NAT dispositivo o una connessione. VPN Tutto il traffico rimane sicuro all'interno del cloud. AWS A causa del loro isolamento logico, i domini che risiedono all'interno di Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Assegna EC2 istanze Amazon a un Amazon per VPC gestire correttamente l'accesso. | |
| sezione 4 - the-cloud-1 - carichi di lavoro standard b-design-and-secure | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (AmazonVPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon, il VPC che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon. VPC | |
| b-design-and-securesezione 4 -the-cloud-1 - carichi di lavoro standard | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud 1 | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (VPCAmazon) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon. VPC Con questa configurazione, non è necessario un gateway Internet, un NAT dispositivo o VPN una connessione. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. A causa del loro isolamento logico, i domini che risiedono all'interno di Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un. VPC | |
| sezione 4 b-design-and-secure -the-cloud-1 - carichi di lavoro standard | Gestisci l'accesso alle risorse nel AWS Cloud assicurandoti che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFAaggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo MFA agli utenti, è possibile ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| b-design-and-securesezione 4 -the-cloud-1 - carichi di lavoro standard | Assicurati che le tabelle di EC2 routing di Amazon non abbiano percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPCs può ridurre gli accessi involontari all'interno del tuo ambiente. | |
| b-design-and-securesezione 4 - i carichi di lavoro standard del cloud 1 | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (RDSAmazon) non siano pubbliche. Le istanze di RDS database Amazon possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud 1 | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| sezione 4 - i carichi di lavoro standard del cloud 1 b-design-and-secure | Il VPC routing avanzato impone a tutto COPY il UNLOAD traffico tra il cluster e gli archivi di dati di passare attraverso Amazon. VPC Puoi quindi utilizzare VPC funzionalità come i gruppi di sicurezza e gli elenchi di controllo degli accessi alla rete per proteggere il traffico di rete. È inoltre possibile utilizzare i registri di VPC flusso per monitorare il traffico di rete. | |
| sezione 4 b-design-and-secure -the-cloud-1 - carichi di lavoro standard | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (AmazonEC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente da blockedPort 1 a blockedPort 5 parametri (Config Defaults: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| b-design-and-securesezione 4 - i carichi di lavoro standard del cloud 1 | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'hardware MFA sia abilitato per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| sezione 4 - i carichi di lavoro standard del cloud 1 b-design-and-secure | Gestisci l'accesso alle risorse nel Cloud assicurandoti che sia abilitato per l'utente root. AWS MFA L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per un nome utente e una password. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di Account AWS compromissione. | |
| sezione 4 - i carichi di lavoro standard del cloud 1 b-design-and-secure | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| b-design-and-securesection4 -the-cloud-1-standard-workload | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| sezione 4 - i carichi di lavoro standard del cloud-1 b-design-and-secure | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| sezione 4 - i carichi di lavoro standard del cloud-1 b-design-and-secure | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| b-design-and-securesezione 4 - i carichi di lavoro standard del cloud 1 | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso indesiderato ai tuoi SSM documenti. Un SSM documento pubblico può esporre informazioni sull'account, sulle risorse e sui processi interni. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud 1 | I gruppi di sicurezza di Amazon Elastic Compute Cloud (AmazonEC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| sezione 4 -the-cloud-1 - carichi di lavoro standard b-design-and-secure | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (AmazonEC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni. | |
| sezione 4 b-design-and-secure -the-cloud-1 - carichi di lavoro standard | Per facilitare l'implementazione del principio del privilegio minimo, le definizioni delle attività di Amazon Elastic Container Service (AmazonECS) non devono avere privilegi elevati abilitati. Se il parametro è true, al container vengono assegnati privilegi elevati nell'istanza di container host (simile all'utente root). | |
| b-design-and-securesezione 4 - i carichi di lavoro standard del cloud-1 | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| sezione 4 -the-cloud-1 - carichi di lavoro standard b-design-and-secure | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato alla loro interfaccia di rete principale. | |
| sezione b-design-and-secure 4 - i carichi di lavoro standard del cloud 2 | Questa regola aiuta a garantire l'uso delle migliori pratiche di sicurezza AWS consigliate per AWS CloudTrail, verificando l'abilitazione di più impostazioni. Queste includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione AWS CloudTrail in più aree. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud 2 | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (AmazonEC2) con AWS Systems Manager. Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud 2 | ec2- -controlla managedinstance-association-compliance-status |
Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee guida per livelli di patch del sistema operativo, installazioni software, configurazioni delle applicazioni e altri dettagli sull'ambiente. |
| sezione 4 b-design-and-secure - carichi di lavoro standard sul cloud 2 | Abilita questa regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (AmazonEC2). La regola verifica se le patch delle EC2 istanze Amazon sono conformi in AWS Systems Manager, come richiesto dalle politiche e dalle procedure della tua organizzazione. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard-the-cloud-2 | Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno finestre di manutenzione preferite e periodi di conservazione automatica degli snapshot per il database. Questa regola richiede l'impostazione di. allowVersionUpgrade Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sab: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| b-design-and-securesezione 4 - i carichi di lavoro del cloud e dei 3 materiali | La scalabilità automatica di Amazon DynamoDB utilizza il servizio Application AWS Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura e scrittura assegnata per gestire improvvisi aumenti di traffico, senza alcuna limitazione (della larghezza di banda della rete). | |
| b-design-and-securesezione 4 - carichi di lavoro su cloud e 3 materiali | Abilita il bilanciamento del carico tra zone per Elastic Load Balancers (ELBs) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze. | |
| b-design-and-securesezione 4 - i carichi di lavoro del cloud con 3 materiali | Questa regola garantisce che per Elastic Load Balancing sia abilitata la protezione da eliminazione. Utilizza questa funzionalità per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| sezione 4 b-design-and-secure - i carichi di lavoro relativi al cloud con 3 materiali | Assicurati che le istanze di Amazon Relational Database Service (RDSAmazon) abbiano la protezione da eliminazione abilitata. Usa la protezione dall'eliminazione per evitare che le tue RDS istanze Amazon vengano eliminate accidentalmente o intenzionalmente, il che può portare alla perdita di disponibilità delle tue applicazioni. | |
| b-design-and-securesezione 4 - i carichi di lavoro del cloud con 3 materiali | Il supporto Multi-AZ in Amazon Relational Database Service (RDSAmazon) offre disponibilità e durabilità avanzate per le istanze di database. Quando effettui il provisioning di un'istanza di database Multi-AZ, Amazon crea RDS automaticamente un'istanza di database principale e replica in modo sincrono i dati su un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico verso lo standby in modo da poter riprendere le operazioni del database non appena il failover è completo. | |
| sezione 4 - i carichi di lavoro del cloud e dei 3 materiali b-design-and-secure | Il supporto Multi-AZ in Amazon Relational Database Service (RDSAmazon) offre disponibilità e durabilità avanzate per le istanze di database. Quando effettui il provisioning di un'istanza di database Multi-AZ, Amazon crea RDS automaticamente un'istanza di database principale e replica in modo sincrono i dati su un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico verso lo standby in modo da poter riprendere le operazioni del database non appena il failover è completo. | |
| sezione 4 - i carichi di lavoro del cloud e dei 3 materiali b-design-and-secure | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication CRR () supporta il mantenimento di capacità e disponibilità adeguate. CRRconsente la copia automatica e asincrona degli oggetti tra i bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati. | |
| b-design-and-securesezione 4 - i carichi di lavoro standard del cloud 3 | I controlli di integrità di Elastic Load Balancer (ELB) per i gruppi Amazon Elastic Compute Cloud (Amazon) Auto EC2 Scaling supportano il mantenimento di capacità e disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ping, tenta connessioni o invia richieste per testare lo stato delle EC2 istanze Amazon in un gruppo di auto-scaling. Se un'istanza non restituisce i dati, il traffico viene inviato a una nuova EC2 istanza Amazon. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud 3 | La scalabilità automatica di Amazon DynamoDB utilizza il servizio Application AWS Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura e scrittura assegnata per gestire improvvisi aumenti di traffico, senza alcuna limitazione (della larghezza di banda della rete). | |
| b-design-and-securesezione 4 - carichi di lavoro standard sul cloud 3 | Abilita questa regola per migliorare il monitoraggio delle istanze Amazon Elastic Compute Cloud (AmazonEC2) sulla EC2 console Amazon, che visualizza grafici di monitoraggio con un periodo di 1 minuto per l'istanza. | |
| b-design-and-securesezione 4 - i carichi di lavoro standard del cloud 3 | Abilita il bilanciamento del carico tra zone per Elastic Load Balancers (ELBs) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze. | |
| b-design-and-securesezione 4 - i carichi di lavoro standard-the-cloud-3-standard- | Questa regola garantisce che per Elastic Load Balancing sia abilitata la protezione da eliminazione. Utilizza questa funzionalità per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| sezione 4 b-design-and-secure - carichi di lavoro standard-the-cloud-3-standard-the-cloud- | Abilita Amazon Relational Database Service (RDSAmazon) per monitorare la disponibilità di RDS Amazon. Ciò fornisce una visibilità dettagliata sullo stato delle istanze di RDS database Amazon. Quando lo RDS storage Amazon utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ogni dispositivo. Inoltre, quando l'istanza del RDS database Amazon è in esecuzione in una distribuzione Multi-AZ, vengono raccolti i dati per ogni dispositivo sull'host secondario e le metriche dell'host secondario. | |
| sezione 4 - i carichi di lavoro standard del cloud 3 b-design-and-secure | Il supporto Multi-AZ in Amazon Relational Database Service (RDSAmazon) offre disponibilità e durabilità avanzate per le istanze di database. Quando effettui il provisioning di un'istanza di database Multi-AZ, Amazon crea RDS automaticamente un'istanza di database principale e replica in modo sincrono i dati su un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico verso lo standby in modo da poter riprendere le operazioni del database non appena il failover è completo. | |
| sezione 4 - i carichi di lavoro standard del cloud 3 b-design-and-secure | Il supporto Multi-AZ in Amazon Relational Database Service (RDSAmazon) offre disponibilità e durabilità avanzate per le istanze di database. Quando effettui il provisioning di un'istanza di database Multi-AZ, Amazon crea RDS automaticamente un'istanza di database principale e replica in modo sincrono i dati su un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico verso lo standby in modo da poter riprendere le operazioni del database non appena il failover è completo. | |
| sezione 4 - i carichi di lavoro standard del cloud 3 b-design-and-secure | AWS La reportistica avanzata sullo stato di Elastic Beanstalk consente una risposta più rapida ai cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione. Il reporting avanzato sull'integrità di Elastic Beanstalk fornisce un descrittore dello stato per valutare la gravità dei problemi identificati e per individuare le possibili cause su cui indagare. | |
| b-design-and-securesezione 4 - carichi di lavoro relativi al cloud e ai 4 materiali | Ensure AWS WAF è abilitato su Elastic Load Balancers () per aiutare a proteggere le applicazioni web. ELB A WAF aiuta a proteggere le applicazioni web o APIs dagli exploit web più comuni. Questi exploit Web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. | |
| sezione 4 b-design-and-secure - i carichi di lavoro relativi al cloud e ai 4 materiali | AWS WAFconsente di configurare una serie di regole (denominate lista di controllo degli accessi Web (WebACL)) che consentono, bloccano o contano le richieste Web in base a regole e condizioni di sicurezza Web personalizzabili definite dall'utente. Assicurati che la tua fase Amazon API Gateway sia associata ACL a un WAF Web per proteggerla da attacchi dannosi | |
| sezione 4 b-design-and-secure - i carichi di lavoro relativi al cloud e ai 4 materiali | Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. EC2le risorse non devono essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso indesiderato alle applicazioni o ai server. | |
| sezione 4 b-design-and-secure - i carichi di lavoro relativi al cloud e ai 4 materiali | Gestisci l'accesso al cloud assicurando che le istanze di replica non siano accessibili AWS pubblicamente. DMS DMSle istanze di replica possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| sezione 4 - carichi di lavoro relativi al cloud e ai 4 materiali b-design-and-secure | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (AmazonEC2) non siano accessibili pubblicamente. EC2Le istanze Amazon possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| sezione 4 b-design-and-secure - i carichi di lavoro del cloud e dei 4 materiali | Gestisci l'accesso al AWS cloud assicurando che i nodi master EMR del cluster Amazon non siano accessibili pubblicamente. I nodi master EMR del cluster Amazon possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account. | |
| sezione 4 b-design-and-secure - carichi di lavoro relativi al cloud e ai 4 materiali | I gruppi di sicurezza di Amazon Elastic Compute Cloud (AmazonEC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| b-design-and-securesezione 4 - i carichi di lavoro relativi al cloud e ai 4 materiali | Implementa istanze Amazon Elastic Compute Cloud (AmazonEC2) all'interno di un Amazon Virtual Private Cloud (AmazonVPC) per consentire comunicazioni sicure tra un'istanza e altri servizi all'interno di AmazonVPC, senza richiedere un gateway Internet, un NAT dispositivo o una connessione. VPN Tutto il traffico rimane sicuro all'interno del cloud. AWS A causa del loro isolamento logico, i domini che risiedono all'interno di Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Assegna EC2 istanze Amazon a un Amazon per VPC gestire correttamente l'accesso. | |
| sezione 4 - i carichi di lavoro relativi al cloud e ai 4 materiali b-design-and-secure | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (AmazonVPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon, il VPC che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon. VPC | |
| b-design-and-securesezione 4 - carichi di lavoro relativi al cloud e ai 4 materiali | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| sezione 4 b-design-and-secure - i carichi di lavoro del cloud e dei 4 materiali | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (VPCAmazon) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon. VPC Con questa configurazione, non è necessario un gateway Internet, un NAT dispositivo o VPN una connessione. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. A causa del loro isolamento logico, i domini che risiedono all'interno di Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un. VPC | |
| sezione 4 b-design-and-secure - i carichi di lavoro del cloud e dei 4 materiali | Assicurati che le tabelle di EC2 routing di Amazon non abbiano percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPCs può ridurre gli accessi involontari all'interno del tuo ambiente. | |
| b-design-and-securesezione 4 - i carichi di lavoro relativi al cloud e ai 4 materiali | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (AmazonVPC). Un dominio Amazon OpenSearch Service all'interno di Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un NAT dispositivo o una VPN connessione. | |
| sezione 4 b-design-and-secure - i carichi di lavoro del cloud a 4 materiali | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (RDSAmazon) non siano pubbliche. Le istanze di RDS database Amazon possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi. | |
| sezione 4 b-design-and-secure - i carichi di lavoro relativi al cloud e ai 4 materiali | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| sezione 4 - i carichi di lavoro relativi al cloud e ai 4 materiali b-design-and-secure | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (AmazonEC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente da blockedPort 1 a blockedPort 5 parametri (Config Defaults: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| b-design-and-securesezione 4 - carichi di lavoro relativi al cloud a 4 materiali | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| b-design-and-securesection4 -the-cloud-4-material-workload | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| b-design-and-securesezione 4 - i carichi di lavoro relativi al cloud e ai 4 materiali | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso indesiderato ai tuoi SSM documenti. Un SSM documento pubblico può esporre informazioni sull'account, sulle risorse e sui processi interni. | |
| sezione 4 b-design-and-secure - i carichi di lavoro del cloud e dei 4 materiali | I gruppi di sicurezza di Amazon Elastic Compute Cloud (AmazonEC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| sezione 4 - i carichi di lavoro relativi al cloud e ai 4 materiali b-design-and-secure | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (AmazonEC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni. | |
| sezione 4 b-design-and-secure - i carichi di lavoro relativi al cloud e ai 4 materiali | È possibile implementare tunnel ridondanti per soddisfare i requisiti di resilienza. Site-to-Site VPN Utilizza due tunnel per garantire la connettività nel caso in cui una delle connessioni non sia disponibile. Site-to-Site VPN Per proteggerti dalla perdita di connettività, nel caso in cui il gateway per i clienti non sia disponibile, puoi configurare una seconda Site-to-Site VPN connessione al tuo Amazon Virtual Private Cloud (AmazonVPC) e al gateway privato virtuale utilizzando un secondo gateway cliente. | |
| sezione 4 b-design-and-secure - i carichi di lavoro relativi al cloud e ai 4 materiali | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| sezione 4 - i carichi di lavoro del cloud e dei 4 materiali b-design-and-secure | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato alla loro interfaccia di rete principale. | |
| sezione b-design-and-secure 4 - i carichi di lavoro standard del cloud | Ensure AWS WAF è abilitato su Elastic Load Balancers () per aiutare a proteggere le applicazioni web. ELB A WAF aiuta a proteggere le applicazioni web o APIs dagli exploit web più comuni. Questi exploit Web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard sul cloud 4 | AWS WAFconsente di configurare una serie di regole (denominate lista di controllo degli accessi Web (WebACL)) che consentono, bloccano o contano le richieste Web in base a regole e condizioni di sicurezza Web personalizzabili definite dall'utente. Assicurati che la tua fase Amazon API Gateway sia associata ACL a un WAF Web per proteggerla da attacchi dannosi | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud 4 | Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. EC2le risorse non devono essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso indesiderato alle applicazioni o ai server. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud 4 | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (AmazonEC2) non siano accessibili pubblicamente. EC2Le istanze Amazon possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud 4 | EC2i profili di istanza passano un IAM ruolo a un'EC2istanza. L'associazione di un profilo dell'istanza alle istanze può facilitare la gestione delle autorizzazioni e del privilegio minimo. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard sul cloud 4 | Se una definizione di attività ha privilegi elevati, significa che il cliente ha scelto specificamente di accedere a tali configurazioni. Questo controllo verifica l'aumento imprevisto dei privilegi quando la rete host prevede una definizione di attività ma il cliente non ha scelto privilegi elevati. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard-the-cloud-4-standard- | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati secondo i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon. EMR In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno dell'ambito, un server Kerberos è noto come centro di distribuzione delle chiavi (). KDC Fornisce un mezzo per l'autenticazione dei principali. KDCSi autentica emettendo ticket per l'autenticazione. The KDC mantiene un database dei principali all'interno del suo regno, delle relative password e di altre informazioni amministrative su ciascun principale. | |
| b-design-and-securesezione 4 - i carichi di lavoro standard del cloud 4 | Gestisci l'accesso al AWS cloud assicurando che i nodi master EMR del cluster Amazon non siano accessibili pubblicamente. I nodi master EMR del cluster Amazon possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud 4 | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud 4 | AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi del servizio di gestione delle AWS chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle AWS migliori pratiche di sicurezza di base: kms: Decrypt,). kms: ReEncryptFrom I valori effettivi devono riflettere le policy dell'organizzazione. | |
| sezione b-design-and-secure 4 - i carichi di lavoro standard sul cloud 4 | AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che IAM i gruppi abbiano almeno un utente. Collocare gli utenti in gruppi in base ai permessi associati o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| sezione 4 - i carichi di lavoro standard del cloud 4 b-design-and-secure | Assicurati che un utente, IAM ruolo o IAM gruppo AWS Identity and Access Management (IAM) non disponga di una politica in linea per consentire azioni bloccate su tutte le chiavi del servizio di gestione delle AWS chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle AWS migliori pratiche di sicurezza di base: kms: Decrypt,). kms: ReEncryptFrom I valori effettivi devono riflettere le policy dell'organizzazione. | |
| sezione b-design-and-secure 4 - i carichi di lavoro standard sul cloud 4 | Le identità e le credenziali vengono emesse, gestite e verificate in base a una politica organizzativa in materia di password. IAM Soddisfano o superano i requisiti indicati dallo standard NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per IAMPolitica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard sul cloud 4 | AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| sezione 4 - i carichi di lavoro standard del cloud 4 b-design-and-secure | Assicurati che le IAM azioni siano limitate solo alle azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard sul cloud 4 | L'accesso ai sistemi e alle risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| sezione 4 - i carichi di lavoro standard del cloud 4 b-design-and-secure | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| sezione 4 - carichi di lavoro standard sul cloud 4 b-design-and-secure | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS . Questa regola garantisce che l'autenticazione a più fattori () sia abilitata per tutti gli utenti. MFA MFAaggiunge un ulteriore livello di protezione oltre a nome utente e password. Riduci gli incidenti dovuti agli account compromessi MFA richiedendo agli utenti. | |
| sezione 4 - i carichi di lavoro standard sul cloud 4 b-design-and-secure | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard sul cloud 4 | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando IAM le password e le chiavi di accesso che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud 4 | I gruppi di sicurezza di Amazon Elastic Compute Cloud (AmazonEC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| sezione b-design-and-secure 4 - i carichi di lavoro standard del cloud | Implementa istanze Amazon Elastic Compute Cloud (AmazonEC2) all'interno di un Amazon Virtual Private Cloud (AmazonVPC) per consentire comunicazioni sicure tra un'istanza e altri servizi all'interno di AmazonVPC, senza richiedere un gateway Internet, un NAT dispositivo o una connessione. VPN Tutto il traffico rimane sicuro all'interno del cloud. AWS A causa del loro isolamento logico, i domini che risiedono all'interno di Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Assegna EC2 istanze Amazon a un Amazon per VPC gestire correttamente l'accesso. | |
| sezione 4 - i carichi di lavoro standard sul cloud 4 b-design-and-secure | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (AmazonVPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon, il VPC che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon. VPC | |
| b-design-and-securesezione 4 - i carichi di lavoro standard del cloud 4 | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud 4 | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (VPCAmazon) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon. VPC Con questa configurazione, non è necessario un gateway Internet, un NAT dispositivo o VPN una connessione. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. A causa del loro isolamento logico, i domini che risiedono all'interno di Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un. VPC | |
| section 4 b-design-and-secure -the-cloud-4-standard-workload | Gestisci l'accesso alle risorse nel AWS Cloud assicurandoti che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFAaggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo MFA agli utenti, è possibile ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| b-design-and-securesezione 4 - i carichi di lavoro standard del cloud 4 | Assicurati che le tabelle di EC2 routing di Amazon non abbiano percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPCs può ridurre gli accessi involontari all'interno del tuo ambiente. | |
| b-design-and-securesezione 4 - i carichi di lavoro standard sul cloud 4 | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (AmazonVPC). Un dominio Amazon OpenSearch Service all'interno di Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un NAT dispositivo o una VPN connessione. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud 4 | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (RDSAmazon) non siano pubbliche. Le istanze di RDS database Amazon possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud 4 | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| sezione 4 - i carichi di lavoro standard del cloud 4 b-design-and-secure | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (AmazonEC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente da blockedPort 1 a blockedPort 5 parametri (Config Defaults: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| b-design-and-securesezione 4 - i carichi di lavoro standard del cloud 4 | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'hardware MFA sia abilitato per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| sezione 4 - i carichi di lavoro standard del cloud 4 b-design-and-secure | Gestisci l'accesso alle risorse nel Cloud assicurandoti che sia abilitato per l' AWS utente root. MFA L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per un nome utente e una password. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di Account AWS compromissione. | |
| sezione 4 - i carichi di lavoro standard del cloud 4 b-design-and-secure | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| b-design-and-securesection4 -the-cloud-4-standard-workload | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| b-design-and-securesezione 4 - i carichi di lavoro standard sul cloud 4 | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management IAM () Access Analyzer e Firewall AWS Manager e soluzioni Partner. AWS | |
| sezione 4 - i carichi di lavoro standard del cloud 4 b-design-and-secure | I gruppi di sicurezza di Amazon Elastic Compute Cloud (AmazonEC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| sezione 4 - i carichi di lavoro standard del cloud 4 b-design-and-secure | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (AmazonEC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud 4 | È possibile implementare tunnel ridondanti per soddisfare i requisiti di resilienza. Site-to-Site VPN Utilizza due tunnel per garantire la connettività nel caso in cui una delle connessioni non sia disponibile. Site-to-Site VPN Per proteggerti dalla perdita di connettività, nel caso in cui il gateway per i clienti non sia disponibile, puoi configurare una seconda Site-to-Site VPN connessione al tuo Amazon Virtual Private Cloud (AmazonVPC) e al gateway privato virtuale utilizzando un secondo gateway cliente. | |
| section4 b-design-and-secure -the-cloud-4-standard-workload | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| sezione 4 - i carichi di lavoro standard del cloud 4 b-design-and-secure | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato alla loro interfaccia di rete principale. | |
| b-design-and-securesezione 4 - i carichi di lavoro del cloud con 5 materiali | Abilita la rotazione delle chiavi per garantire che vengano ruotate una volta terminato il loro periodo di crittografia. | |
| sezione 4 b-design-and-secure - i carichi di lavoro del cloud con 5 materiali | L'accesso ai sistemi e alle risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| sezione 4 - i carichi di lavoro relativi al cloud e ai 5 materiali b-design-and-secure | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS . Questa regola garantisce che l'autenticazione a più fattori () sia abilitata per tutti gli utenti. MFA MFAaggiunge un ulteriore livello di protezione oltre a nome utente e password. Riduci gli incidenti dovuti agli account compromessi MFA richiedendo agli utenti. | |
| sezione 4 - i carichi di lavoro relativi ai 5 materiali nel cloud b-design-and-secure | Gestisci l'accesso alle risorse nel AWS Cloud assicurandoti che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFAaggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo MFA agli utenti, è possibile ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| b-design-and-securesezione 4 - i carichi di lavoro dei 5 materiali sul cloud | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'hardware MFA sia abilitato per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| sezione 4 - i carichi di lavoro standard del cloud 5 b-design-and-secure | Garantisci che l'integrità della rete sia protetta assicurando che i certificati X509 vengano emessi da. AWS ACM Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore per daysToExpiration (valore AWS Foundational Security Best Practices: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| sezione 4 b-design-and-secure - carichi di lavoro standard sul cloud 5 | Abilita la rotazione delle chiavi per garantire che vengano ruotate una volta terminato il loro periodo di crittografia. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard sul cloud 5 | AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi del servizio di gestione delle AWS chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle AWS migliori pratiche di sicurezza di base: kms: Decrypt,). kms: ReEncryptFrom I valori effettivi devono riflettere le policy dell'organizzazione. | |
| b-design-and-securesezione 4 - carichi di lavoro standard sul cloud 5 | Assicurati che un utente, IAM ruolo o IAM gruppo AWS Identity and Access Management (IAM) non disponga di una politica in linea per consentire azioni bloccate su tutte le chiavi del servizio di gestione delle AWS chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle AWS migliori pratiche di sicurezza di base: kms: Decrypt,). kms: ReEncryptFrom I valori effettivi devono riflettere le policy dell'organizzazione. | |
| b-design-and-securesezione 4 - carichi di lavoro standard sul cloud 5 | Assicurati che le IAM azioni siano limitate solo alle azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud 5 | Per proteggere i dati archiviati, assicurati che non sia pianificata l'eliminazione delle chiavi master del cliente necessarie (CMKs) in AWS Key Management Service ().AWS KMS Poiché a volte l'eliminazione delle chiavi è necessaria, questa regola può aiutare a verificare tutte le chiavi per le quali è pianificata l'eliminazione, nel caso in cui una chiave sia stata pianificata in modo non intenzionale. | |
| sezione 4 b-design-and-secure - carichi di lavoro relativi al cloud e ai 6 materiali | Abilita la rotazione delle chiavi per garantire che vengano ruotate una volta terminato il loro periodo di crittografia. | |
| sezione 4 b-design-and-secure - i carichi di lavoro relativi al cloud e ai 6 materiali | AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi del servizio di gestione delle AWS chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle AWS migliori pratiche di sicurezza di base: kms: Decrypt,). kms: ReEncryptFrom I valori effettivi devono riflettere le policy dell'organizzazione. | |
| sezione b-design-and-secure 4 - carichi di lavoro relativi al cloud, ai 6 materiali | Assicurati che un utente, IAM ruolo o IAM gruppo AWS Identity and Access Management (IAM) non disponga di una politica in linea per consentire azioni bloccate su tutte le chiavi del servizio di gestione delle AWS chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle AWS migliori pratiche di sicurezza di base: kms: Decrypt,). kms: ReEncryptFrom I valori effettivi devono riflettere le policy dell'organizzazione. | |
| sezione b-design-and-secure 4 - carichi di lavoro relativi al cloud, ai 6 materiali | AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| sezione 4 - i carichi di lavoro relativi al cloud e ai 6 materiali b-design-and-secure | Assicurati che le IAM azioni siano limitate solo alle azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| sezione 4 b-design-and-secure - i carichi di lavoro relativi al cloud e ai 6 materiali | Per proteggere i dati archiviati, assicurati che non sia pianificata l'eliminazione delle chiavi master del cliente necessarie (CMKs) in AWS Key Management Service ().AWS KMS Poiché a volte l'eliminazione delle chiavi è necessaria, questa regola può aiutare a verificare tutte le chiavi per le quali è pianificata l'eliminazione, nel caso in cui una chiave sia stata pianificata in modo non intenzionale. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud 6 | Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati per eliminare le intestazioni http. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| b-design-and-securesezione 4 - i carichi di lavoro standard del cloud 6 | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste non crittografate a. HTTP HTTPS Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| b-design-and-securesezione 4 - i carichi di lavoro standard del cloud 6 | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per la cache di API Gateway Stage. Poiché con questo API metodo è possibile acquisire dati sensibili, abilita la crittografia a riposo per proteggere tali dati. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard sul cloud 6 | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi Amazon CloudWatch Log Groups. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard sul cloud 6 | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i trail AWS CloudTrail. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard sul cloud | Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Data la possibile presenza di dati sensibili a riposo in queste tabelle, abilita la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con AWS una chiave master del cliente di proprietà (). CMK | |
| sezione 4 - i carichi di lavoro standard del cloud 6 b-design-and-secure | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (AmazonEBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard sul cloud 6 | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud 6 | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch OpenSearch Service (Service). | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud 6 | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. Node-to-nodela crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (AmazonVPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| sezione 4 b-design-and-secure - il cloud - 6 carichi di lavoro standard | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire TLS certificatiSSL/pubblici e privati con AWS servizi e risorse interne. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard sul cloud 6 | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire TLS certificatiSSL/pubblici e privati con AWS servizi e risorse interne. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard sul cloud 6 | Assicurati che i tuoi Elastic Load Balancers (ELBs) siano configurati con SSL i nostri listener. HTTPS Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| b-design-and-securesezione 4 - i carichi di lavoro standard del cloud 6 | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (AmazonEBS). | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard sul cloud 6 | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard sul cloud 6 | Assicurati che la crittografia sia abilitata per le tue istantanee di Amazon Relational Database Service (RDSAmazon). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| sezione 4 - i carichi di lavoro standard sul cloud 6 b-design-and-secure | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per le tue istanze di Amazon Relational Database Service (RDSAmazon). Poiché i dati sensibili possono esistere inattivi nelle RDS istanze Amazon, abilita la crittografia a memoria inattiva per proteggere tali dati. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard sul cloud 6 | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default:TRUE) e ( loggingEnabled Config Default:). TRUE I valori effettivi devono riflettere le policy dell'organizzazione. | |
| sezione 4 - i carichi di lavoro standard del cloud 6 b-design-and-secure | Assicurati che i tuoi cluster Amazon Redshift richiedano la SSL crittografiaTLS/per connettersi ai client. SQL Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| sezione 4 - i carichi di lavoro standard del cloud 6 b-design-and-secure | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| sezione 4 - il cloud - 6 - carichi di lavoro standard b-design-and-secure | Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste di utilizzo di Secure Socket Layer (). SSL Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| sezione 4 - i carichi di lavoro standard del cloud b-design-and-secure | Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard sul cloud 6 | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard sul cloud 6 | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo notebook. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard sul cloud 6 | Per proteggere i dati archiviati, assicurati che gli argomenti di Amazon Simple Notification Service (AmazonSNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Data la possibile presenza di dati sensibili a riposo nei messaggi pubblicati, abilita la crittografia a riposo per proteggere tali dati. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud | Assicurati che REST API le fasi di Amazon API Gateway siano configurate con SSL certificati per consentire ai sistemi di backend di autenticare che le richieste provengono da API Gateway. | |
| sezione 4 - i carichi di lavoro standard del cloud 6 b-design-and-secure | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo cluster Amazon Redshift. Data la possibile presenza di dati sensibili a riposo nei cluster Redshift, abilita la crittografia a riposo per proteggere tali dati. | |
| sezione 4 b-design-and-secure - i carichi di lavoro relativi al cloud a 8 materiali | L'accesso ai sistemi e alle risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| sezione 4 - i carichi di lavoro relativi al cloud a 8 materiali b-design-and-secure | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS . Questa regola garantisce che l'autenticazione a più fattori () sia abilitata per tutti gli utenti. MFA MFAaggiunge un ulteriore livello di protezione oltre a nome utente e password. Riduci gli incidenti dovuti agli account compromessi MFA richiedendo agli utenti. | |
| sezione 4 - i carichi di lavoro relativi ai materiali nel cloud a 8 b-design-and-secure | Gestisci l'accesso alle risorse nel AWS Cloud assicurandoti che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFAaggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo MFA agli utenti, è possibile ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| b-design-and-securesezione 4 - carichi di lavoro relativi ai materiali nel cloud a 8 | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'hardware MFA sia abilitato per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| sezione 4 - i carichi di lavoro relativi al cloud a 8 materiali b-design-and-secure | Gestisci l'accesso alle risorse nel Cloud assicurandoti che sia abilitato per l' AWS utente root. MFA L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per un nome utente e una password. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di Account AWS compromissione. | |
| sezione 4 - i carichi di lavoro standard del cloud 8 b-design-and-secure | Le credenziali vengono verificate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso vengano ruotate come specificato dalla politica organizzativa. IAM La modifica delle chiavi di accesso a intervalli regolari è una best practice di sicurezza. Riduce il periodo di attività di una chiave di accesso e l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione delle chiavi di accesso (valore di configurazione predefinito: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| b-design-and-securesezione 4 - carichi di lavoro standard sul cloud 8 | La gestione centralizzata Account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. L'assenza di una governance centralizzata degli account può comportare configurazioni incoerenti di account, il che può mettere a rischio risorse e dati sensibili. | |
| sezione b-design-and-secure 4 - carichi di lavoro standard sul cloud 8 | Questa regola aiuta a garantire l'uso delle migliori pratiche di sicurezza AWS consigliate per AWS CloudTrail, verificando l'abilitazione di più impostazioni. Queste includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione AWS CloudTrail in più aree. | |
| sezione 4 b-design-and-secure - carichi di lavoro standard sul cloud 8 | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati secondo i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon. EMR In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno dell'ambito, un server Kerberos è noto come centro di distribuzione delle chiavi (). KDC Fornisce un mezzo per l'autenticazione dei principali. KDCSi autentica emettendo ticket per l'autenticazione. The KDC mantiene un database dei principali all'interno del suo regno, delle relative password e di altre informazioni amministrative su ciascun principale. | |
| b-design-and-securesezione 4 - i carichi di lavoro standard del cloud 8 | AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi del servizio di gestione delle AWS chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle AWS migliori pratiche di sicurezza di base: kms: Decrypt,). kms: ReEncryptFrom I valori effettivi devono riflettere le policy dell'organizzazione. | |
| b-design-and-securesezione 4 - carichi di lavoro standard sul cloud 8 | AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che IAM i gruppi abbiano almeno un utente. Collocare gli utenti in gruppi in base ai permessi associati o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| sezione 4 - carichi di lavoro standard sul cloud 8 b-design-and-secure | Assicurati che un utente, IAM ruolo o IAM gruppo AWS Identity and Access Management (IAM) non disponga di una politica in linea per consentire azioni bloccate su tutte le chiavi del servizio di gestione delle AWS chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle AWS migliori pratiche di sicurezza di base: kms: Decrypt,). kms: ReEncryptFrom I valori effettivi devono riflettere le policy dell'organizzazione. | |
| b-design-and-securesezione 4 - carichi di lavoro standard sul cloud 8 | Assicurati che un utente, IAM ruolo o IAM gruppo di AWS Identity and Access Management (IAM) non disponga di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| sezione 4 b-design-and-secure - carichi di lavoro standard sul cloud 8 | Le identità e le credenziali vengono emesse, gestite e verificate in base a una politica organizzativa in materia di password. IAM Soddisfano o superano i requisiti indicati dallo standard NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per IAMPolitica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| sezione 4 b-design-and-secure - carichi di lavoro standard sul cloud 8 | AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| sezione 4 - i carichi di lavoro standard del cloud 8 b-design-and-secure | Assicurati che le IAM azioni siano limitate solo alle azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard sul cloud 8 | L'accesso ai sistemi e alle risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| sezione 4 - carichi di lavoro standard sul cloud 8 b-design-and-secure | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| sezione 4 - carichi di lavoro standard sul cloud 8 b-design-and-secure | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS . Questa regola garantisce che l'autenticazione a più fattori () sia abilitata per tutti gli utenti. MFA MFAaggiunge un ulteriore livello di protezione oltre a nome utente e password. Riduci gli incidenti dovuti agli account compromessi MFA richiedendo agli utenti. | |
| sezione 4 - carichi di lavoro standard sul cloud 8 b-design-and-secure | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| sezione 4 b-design-and-secure - carichi di lavoro standard sul cloud 8 | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando IAM le password e le chiavi di accesso che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| sezione 4 b-design-and-secure - carichi di lavoro standard sul cloud 8 | Gestisci l'accesso alle risorse nel AWS Cloud assicurandoti che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFAaggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo MFA agli utenti, è possibile ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| sezione 4 - carichi di lavoro standard sul cloud 8 b-design-and-secure | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'hardware MFA sia abilitato per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| sezione 4 - i carichi di lavoro standard del cloud 8 b-design-and-secure | Gestisci l'accesso alle risorse nel Cloud assicurandoti che sia abilitato per l' AWS utente root. MFA L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per un nome utente e una password. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di Account AWS compromissione. | |
| sezione 4 - i carichi di lavoro relativi ai materiali e al cloud b-design-and-secure | Questa regola aiuta a garantire l'uso delle migliori pratiche di sicurezza AWS consigliate per AWS CloudTrail, verificando l'abilitazione di più impostazioni. Queste includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione AWS CloudTrail in più aree. | |
| sezione 4 b-design-and-secure - i carichi di lavoro relativi ai materiali nel cloud | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| sezione 4 b-design-and-secure - i carichi di lavoro dei 9 materiali sul cloud | L'accesso ai sistemi e alle risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| sezione 4 - i carichi di lavoro relativi ai materiali nel cloud b-design-and-secure | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS . Questa regola garantisce che l'autenticazione a più fattori () sia abilitata per tutti gli utenti. MFA MFAaggiunge un ulteriore livello di protezione oltre a nome utente e password. Riduci gli incidenti dovuti agli account compromessi MFA richiedendo agli utenti. | |
| sezione 4 - i carichi di lavoro relativi ai 9 materiali nel cloud b-design-and-secure | Gestisci l'accesso alle risorse nel AWS Cloud assicurandoti che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFAaggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo MFA agli utenti, è possibile ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| b-design-and-securesezione 4 - i carichi di lavoro relativi ai materiali nel cloud | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'hardware MFA sia abilitato per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| sezione 4 - i carichi di lavoro relativi ai materiali e al cloud b-design-and-secure | Gestisci l'accesso alle risorse nel Cloud assicurandoti che sia abilitato per l' AWS utente root. MFA L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per un nome utente e una password. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di Account AWS compromissione. | |
| sezione 4 - i carichi di lavoro standard del cloud 9 b-design-and-secure | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni e le chiamate della Console di gestione. AWS API È possibile identificare gli utenti e chi Account AWS ha chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| sezione 4 b-design-and-secure - carichi di lavoro standard sul cloud 9 | AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che IAM i gruppi abbiano almeno un utente. Collocare gli utenti in gruppi in base ai permessi associati o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| sezione 4 - i carichi di lavoro standard del cloud 9 b-design-and-secure | Assicurati che un utente, IAM ruolo o IAM gruppo di AWS Identity and Access Management (IAM) non disponga di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| sezione 4 b-design-and-secure - carichi di lavoro standard sul cloud 9 | AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| sezione 4 - i carichi di lavoro standard del cloud 9 b-design-and-secure | Assicurati che le IAM azioni siano limitate solo alle azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard sul cloud 9 | L'accesso ai sistemi e alle risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| sezione 4 - i carichi di lavoro standard del cloud 9 b-design-and-secure | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| sezione 4 - carichi di lavoro standard sul cloud 9 b-design-and-secure | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS . Questa regola garantisce che l'autenticazione a più fattori () sia abilitata per tutti gli utenti. MFA MFAaggiunge un ulteriore livello di protezione oltre a nome utente e password. Riduci gli incidenti dovuti agli account compromessi MFA richiedendo agli utenti. | |
| sezione 4 - i carichi di lavoro standard del cloud 9 b-design-and-secure | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| sezione 4 b-design-and-secure - carichi di lavoro standard sul cloud 9 | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando IAM le password e le chiavi di accesso che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud 9 | Gestisci l'accesso alle risorse nel AWS Cloud assicurandoti che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFAaggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo MFA agli utenti, è possibile ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| b-design-and-securesezione 4 - i carichi di lavoro standard del cloud 9 | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'hardware MFA sia abilitato per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| sezione 4 - i carichi di lavoro standard del cloud 9 b-design-and-secure | Gestisci l'accesso alle risorse nel Cloud assicurandoti che sia abilitato per l' AWS utente root. MFA L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per un nome utente e una password. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di Account AWS compromissione. | |
| sezione 4 - i carichi di lavoro standard del cloud 9 b-design-and-secure | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management IAM () Access Analyzer e Firewall AWS Manager e soluzioni Partner. AWS | |
| sezione 4 - i carichi di lavoro del cloud con 10 materiali b-design-and-secure | Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. EC2le risorse non devono essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso indesiderato alle applicazioni o ai server. | |
| sezione 4 b-design-and-secure - i carichi di lavoro relativi ai 10 materiali nel cloud | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| b-design-and-securesezione 4 - i carichi di lavoro del cloud con 10 materiali | Gestisci l'accesso al cloud assicurando che le istanze di replica non siano accessibili AWS pubblicamente. DMS DMSle istanze di replica possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| sezione 4 - carichi di lavoro relativi al cloud con 10 materiali b-design-and-secure | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (AmazonEC2) con AWS Systems Manager. Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| sezione 4 b-design-and-secure - i carichi di lavoro del cloud con 10 materiali | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (AmazonEC2) non siano accessibili pubblicamente. EC2Le istanze Amazon possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| sezione 4 b-design-and-secure - i carichi di lavoro del cloud con 10 materiali | Gestisci l'accesso al AWS cloud assicurando che i nodi master EMR del cluster Amazon non siano accessibili pubblicamente. I nodi master EMR del cluster Amazon possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account. | |
| sezione 4 b-design-and-secure - i carichi di lavoro del cloud con 10 materiali | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| sezione 4 b-design-and-secure - i carichi di lavoro del cloud con 10 materiali | Le identità e le credenziali vengono emesse, gestite e verificate in base a una politica organizzativa in materia di password. IAM Soddisfano o superano i requisiti indicati dallo standard NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per IAMPolitica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| sezione 4 b-design-and-secure - i carichi di lavoro del cloud con 10 materiali | L'accesso ai sistemi e alle risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| sezione 4 - i carichi di lavoro del cloud con 10 materiali b-design-and-secure | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS . Questa regola garantisce che l'autenticazione a più fattori () sia abilitata per tutti gli utenti. MFA MFAaggiunge un ulteriore livello di protezione oltre a nome utente e password. Riduci gli incidenti dovuti agli account compromessi MFA richiedendo agli utenti. | |
| sezione 4 - i carichi di lavoro relativi ai 10 materiali nel cloud b-design-and-secure | I gruppi di sicurezza di Amazon Elastic Compute Cloud (AmazonEC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| b-design-and-securesezione 4 - carichi di lavoro basati su 10 materiali nel cloud | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (AmazonVPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon, il VPC che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon. VPC | |
| b-design-and-securesezione 4 - i carichi di lavoro dei 10 materiali sul cloud | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| sezione 4 b-design-and-secure - i carichi di lavoro del cloud con 10 materiali | Gestisci l'accesso alle risorse nel AWS Cloud assicurandoti che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFAaggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo MFA agli utenti, è possibile ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| b-design-and-securesezione 4 - i carichi di lavoro relativi ai 10 materiali nel cloud | Assicurati che le tabelle di EC2 routing di Amazon non abbiano percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPCs può ridurre gli accessi involontari all'interno del tuo ambiente. | |
| b-design-and-securesezione 4 - i carichi di lavoro relativi ai 10 materiali nel cloud | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (AmazonVPC). Un dominio Amazon OpenSearch Service all'interno di Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un NAT dispositivo o una VPN connessione. | |
| sezione 4 - carichi di lavoro basati su 10 materiali b-design-and-secure nel cloud | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (RDSAmazon) non siano pubbliche. Le istanze di RDS database Amazon possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi. | |
| sezione 4 b-design-and-secure - i carichi di lavoro relativi ai 10 materiali nel cloud | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| sezione 4 - carichi di lavoro su 10 materiali nel cloud b-design-and-secure | Il VPC routing avanzato impone a tutto COPY il UNLOAD traffico tra il cluster e gli archivi di dati di passare attraverso Amazon. VPC Puoi quindi utilizzare VPC funzionalità come i gruppi di sicurezza e gli elenchi di controllo degli accessi alla rete per proteggere il traffico di rete. È inoltre possibile utilizzare i registri di VPC flusso per monitorare il traffico di rete. | |
| sezione 4 b-design-and-secure - il cloud - 10 carichi di lavoro materiali | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (AmazonEC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente da blockedPort 1 a blockedPort 5 parametri (Config Defaults: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| b-design-and-securesezione 4 - i carichi di lavoro del cloud con 10 materiali | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'hardware MFA sia abilitato per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| sezione 4 - i carichi di lavoro relativi ai 10 materiali nel cloud b-design-and-secure | Gestisci l'accesso alle risorse nel Cloud assicurandoti che sia abilitato per l' AWS utente root. MFA L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per un nome utente e una password. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di Account AWS compromissione. | |
| sezione 4 - i carichi di lavoro relativi ai 10 materiali nel cloud b-design-and-secure | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| b-design-and-securesezione 4 -i carichi di lavoro del cloud con 10 materiali | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| b-design-and-securesezione 4 - i carichi di lavoro del cloud con 10 materiali | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso indesiderato ai tuoi SSM documenti. Un SSM documento pubblico può esporre informazioni sull'account, sulle risorse e sui processi interni. | |
| sezione 4 b-design-and-secure - i carichi di lavoro del cloud con 10 materiali | I gruppi di sicurezza di Amazon Elastic Compute Cloud (AmazonEC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| sezione 4 - i carichi di lavoro relativi ai 10 materiali nel cloud b-design-and-secure | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (AmazonEC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni. | |
| sezione 4 b-design-and-secure - i carichi di lavoro relativi ai 10 materiali nel cloud | È possibile implementare tunnel ridondanti per soddisfare i requisiti di resilienza. Site-to-Site VPN Utilizza due tunnel per garantire la connettività nel caso in cui una delle connessioni non sia disponibile. Site-to-Site VPN Per proteggerti dalla perdita di connettività, nel caso in cui il gateway per i clienti non sia disponibile, puoi configurare una seconda Site-to-Site VPN connessione al tuo Amazon Virtual Private Cloud (AmazonVPC) e al gateway privato virtuale utilizzando un secondo gateway cliente. | |
| sezione 4 - carichi di lavoro basati su 10 materiali b-design-and-secure nel cloud | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| sezione 4 - i carichi di lavoro del cloud con 10 materiali b-design-and-secure | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato alla loro interfaccia di rete principale. | |
| sezione b-design-and-secure 4 - i carichi di lavoro standard del cloud | Le credenziali vengono verificate per i dispositivi, gli utenti e i processi autorizzati assicurando che le chiavi di accesso vengano ruotate come specificato dalla politica organizzativa. IAM La modifica delle chiavi di accesso a intervalli regolari è una best practice di sicurezza. Riduce il periodo di attività di una chiave di accesso e l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione delle chiavi di accesso (valore di configurazione predefinito: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| b-design-and-securesezione 4 - carichi di lavoro standard sul cloud 10 | Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. EC2le risorse non devono essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso indesiderato alle applicazioni o ai server. | |
| sezione 4 b-design-and-secure - carichi di lavoro standard sul cloud 10 | Gestisci l'accesso al AWS cloud assicurando che i nodi master EMR del cluster Amazon non siano accessibili pubblicamente. I nodi master EMR del cluster Amazon possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud 10 | Assicurati che un utente, IAM ruolo o IAM gruppo di AWS Identity and Access Management (IAM) non disponga di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| sezione 4 b-design-and-secure - i 10 carichi di lavoro standard del cloud | AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| sezione 4 - i carichi di lavoro standard del cloud 10 b-design-and-secure | L'accesso ai sistemi e alle risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| sezione 4 - i carichi di lavoro standard del cloud 10 b-design-and-secure | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS . Questa regola garantisce che l'autenticazione a più fattori () sia abilitata per tutti gli utenti. MFA MFAaggiunge un ulteriore livello di protezione oltre a nome utente e password. Riduci gli incidenti dovuti agli account compromessi MFA richiedendo agli utenti. | |
| sezione 4 - i 10 carichi di lavoro standard del cloud b-design-and-secure | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| sezione 4 b-design-and-secure - carichi di lavoro standard sul cloud 10 | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando IAM le password e le chiavi di accesso che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud 10 | I gruppi di sicurezza di Amazon Elastic Compute Cloud (AmazonEC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| b-design-and-securesezione 4 - i carichi di lavoro standard sul cloud e i 10 | Implementa istanze Amazon Elastic Compute Cloud (AmazonEC2) all'interno di un Amazon Virtual Private Cloud (AmazonVPC) per consentire comunicazioni sicure tra un'istanza e altri servizi all'interno di AmazonVPC, senza richiedere un gateway Internet, un NAT dispositivo o una connessione. VPN Tutto il traffico rimane sicuro all'interno del cloud. AWS A causa del loro isolamento logico, i domini che risiedono all'interno di Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Assegna EC2 istanze Amazon a un Amazon per VPC gestire correttamente l'accesso. | |
| sezione 4 - i 10 carichi di lavoro standard del cloud b-design-and-secure | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (AmazonVPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon, il VPC che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon. VPC | |
| b-design-and-securesezione 4 - i carichi di lavoro standard del cloud | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (VPCAmazon) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon. VPC Con questa configurazione, non è necessario un gateway Internet, un NAT dispositivo o VPN una connessione. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. A causa del loro isolamento logico, i domini che risiedono all'interno di Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un. VPC | |
| sezione 4 b-design-and-secure - i 10 carichi di lavoro standard del cloud | Gestisci l'accesso alle risorse nel AWS Cloud assicurandoti che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFAaggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo MFA agli utenti, è possibile ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| b-design-and-securesezione 4 - i carichi di lavoro standard del cloud 10 | Assicurati che le tabelle di EC2 routing di Amazon non abbiano percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPCs può ridurre gli accessi involontari all'interno del tuo ambiente. | |
| b-design-and-securesezione 4 - i 10 carichi di lavoro standard sul cloud | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (AmazonVPC). Un dominio Amazon OpenSearch Service all'interno di Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un NAT dispositivo o una VPN connessione. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud 10 | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (RDSAmazon) non siano pubbliche. Le istanze di RDS database Amazon possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi. | |
| sezione 4 b-design-and-secure - carichi di lavoro standard sul cloud 10 | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| sezione 4 - i carichi di lavoro standard del cloud 10 b-design-and-secure | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (AmazonEC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente da blockedPort 1 a blockedPort 5 parametri (Config Defaults: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| b-design-and-securesezione 4 - carichi di lavoro standard sul cloud 10 | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'hardware MFA sia abilitato per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| sezione 4 - i carichi di lavoro standard del cloud 10 b-design-and-secure | Gestisci l'accesso alle risorse nel Cloud assicurandoti che sia abilitato per l' AWS utente root. MFA L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per un nome utente e una password. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di Account AWS compromissione. | |
| sezione 4 - i carichi di lavoro standard del cloud 10 b-design-and-secure | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| b-design-and-securesection4 -the-cloud-10-standard-workload | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| b-design-and-securesezione 4 - i carichi di lavoro standard sul cloud e i 10 | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso indesiderato ai tuoi SSM documenti. Un SSM documento pubblico può esporre informazioni sull'account, sulle risorse e sui processi interni. | |
| sezione 4 b-design-and-secure - i 10 carichi di lavoro standard del cloud | I gruppi di sicurezza di Amazon Elastic Compute Cloud (AmazonEC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| sezione 4 - carichi di lavoro standard sul cloud 10 b-design-and-secure | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (AmazonEC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni. | |
| sezione 4 b-design-and-secure - i 10 carichi di lavoro standard sul cloud | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| sezione 4 - i 10 carichi di lavoro standard del cloud b-design-and-secure | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato alla loro interfaccia di rete principale. | |
| b-design-and-securesezione 4 - i carichi di lavoro relativi ai materiali nel cloud | APILa registrazione del gateway mostra viste dettagliate degli utenti che hanno effettuato l'accesso API e il modo in cui hanno effettuato l'accesso a. API Queste informazioni offrono visibilità sulle attività degli utenti. | |
| sezione 4 b-design-and-secure - i carichi di lavoro dei materiali sul cloud 11 | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| sezione 4 b-design-and-secure - i carichi di lavoro relativi ai materiali nel cloud | Questa regola aiuta a garantire l'uso delle migliori pratiche di sicurezza AWS consigliate per, verificando l'abilitazione di più impostazioni. AWS CloudTrail Queste includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione AWS CloudTrail in più aree. | |
| sezione 4 b-design-and-secure - i carichi di lavoro dei materiali sul cloud 11 | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| b-design-and-securesezione 4 - i carichi di lavoro dei materiali nel cloud 11 | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle API chiamate all'interno del tuo Account AWS. | |
| sezione 4 b-design-and-secure - i carichi di lavoro dei materiali sul cloud 11 | Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e per diagnosticare i problemi di disponibilità. | |
| b-design-and-securesezione 4 - i carichi di lavoro relativi ai materiali nel cloud | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la ELB registrazione sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a. ELB Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| sezione 4 b-design-and-secure - i carichi di lavoro dei materiali sul cloud 11 | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| sezione 4 b-design-and-secure - i carichi di lavoro dei materiali sul cloud 11 | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando IAM le password e le chiavi di accesso che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| sezione 4 b-design-and-secure - i carichi di lavoro dei materiali sul cloud 11 | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (RDSAmazon) sia abilitata. Con Amazon RDS Logging, puoi registrare eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| b-design-and-securesezione 4 - i carichi di lavoro dei materiali sul cloud 11 | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default:TRUE) e ( loggingEnabled Config Default:). TRUE I valori effettivi devono riflettere le policy dell'organizzazione. | |
| sezione 4 - i carichi di lavoro dei materiali nel cloud 11 b-design-and-secure | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| sezione 4 b-design-and-secure - i carichi di lavoro relativi ai materiali nel cloud 11 | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management IAM () Access Analyzer e Firewall AWS Manager e soluzioni Partner. AWS | |
| sezione 4 - i carichi di lavoro dei materiali sul cloud 11 b-design-and-secure | I log di VPC flusso forniscono registrazioni dettagliate per informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo Amazon Virtual Private Cloud (AmazonVPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| sezione 4 - i carichi di lavoro dei materiali sul cloud b-design-and-secure | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita (V2) la registrazione sul Web regionale e globale. AWS WAF ACLs AWS WAFla registrazione fornisce informazioni dettagliate sul traffico analizzato dal Web. ACL I registri registrano l'ora in cui è AWS WAF stata ricevuta la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| sezione 4 - i carichi di lavoro standard del cloud 12 b-design-and-secure | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per la cache di API Gateway Stage. Poiché con questo API metodo è possibile acquisire dati sensibili, abilita la crittografia a riposo per proteggere tali dati. | |
| sezione 4 b-design-and-secure - carichi di lavoro standard del cloud 12 | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi Amazon CloudWatch Log Groups. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud 12 | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i trail AWS CloudTrail. | |
| sezione 4 b-design-and-secure -the-cloud-12 - carichi di lavoro standard | Garantisce che le credenziali AWS_ACCESS_KEY_ID di autenticazione AWS_SECRET_ACCESS_KEY non esistano negli ambienti del progetto AWS Codebuild. Non archiviare queste variabili con testo in chiaro. L'archiviazione di queste variabili con testo in chiaro porta all'esposizione involontaria dei dati e all'accesso non autorizzato. | |
| sezione 4 - i carichi di lavoro standard del cloud 12 b-design-and-secure | Assicurati che il repository sorgente GitHub o Bitbucket URL non contenga token di accesso personali e credenziali di accesso all'interno degli ambienti del progetto Codebuild. AWS Utilizza OAuth invece dei token di accesso personali o delle credenziali di accesso per concedere l'autorizzazione all'accesso ai repository Bitbucket. GitHub | |
| b-design-and-securesezione 4 -the-cloud-12 - carichi di lavoro standard | Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Data la possibile presenza di dati sensibili a riposo in queste tabelle, abilita la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con AWS una chiave master del cliente di proprietà (). CMK | |
| sezione 4 - i carichi di lavoro standard del cloud 12 b-design-and-secure | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (AmazonEBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud 12 | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| sezione 4 b-design-and-secure -the-cloud-12 - carichi di lavoro standard | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch OpenSearch Service (Service). | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud 12 | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (AmazonEBS). | |
| sezione 4 b-design-and-secure - carichi di lavoro standard del cloud 12 | Assicurati che un utente, IAM ruolo o IAM gruppo di AWS Identity and Access Management (IAM) non disponga di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud 12 | AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| sezione 4 - i carichi di lavoro standard del cloud 12 b-design-and-secure | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| sezione 4 - carichi di lavoro standard del cloud 12 b-design-and-secure | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| sezione 4 b-design-and-secure -the-cloud-12 - carichi di lavoro standard | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud 12 | Assicurati che la crittografia sia abilitata per le tue istantanee di Amazon Relational Database Service (RDSAmazon). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| sezione 4 - i carichi di lavoro standard del cloud 12 b-design-and-secure | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per le tue istanze di Amazon Relational Database Service (RDSAmazon). Poiché i dati sensibili possono esistere inattivi nelle RDS istanze Amazon, abilita la crittografia a memoria inattiva per proteggere tali dati. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud 12 | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default:TRUE) e ( loggingEnabled Config Default:). TRUE I valori effettivi devono riflettere le policy dell'organizzazione. | |
| sezione 4 -the-cloud-12 - carichi di lavoro standard b-design-and-secure | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| sezione 4 -the-cloud-12 - carichi di lavoro standard b-design-and-secure | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| sezione 4 b-design-and-secure - carichi di lavoro standard del cloud 12 | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo notebook. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| sezione 4 b-design-and-secure - carichi di lavoro standard del cloud 12 | Per proteggere i dati archiviati, assicurati che gli argomenti di Amazon Simple Notification Service (AmazonSNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Data la possibile presenza di dati sensibili a riposo nei messaggi pubblicati, abilita la crittografia a riposo per proteggere tali dati. | |
| sezione 4 b-design-and-secure - il cloud - 14 carichi di lavoro materiali | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| sezione 4 b-design-and-secure - il cloud - 14 carichi di lavoro relativi ai materiali | Questa regola aiuta a garantire l'uso delle migliori pratiche di sicurezza AWS consigliate per, verificando l'abilitazione di più impostazioni. AWS CloudTrail Queste includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione AWS CloudTrail in più aree. | |
| sezione 4 b-design-and-secure - il cloud - 14 carichi di lavoro materiali | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| b-design-and-securesezione 4 -the-cloud-14-material-workload | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle API chiamate all'interno del tuo Account AWS. | |
| sezione 4 b-design-and-secure - il cloud - 14 carichi di lavoro materiali | Assicurati che i dati dei log degli eventi vengano mantenuti per una durata minima per i gruppi di log in modo da agevolare la risoluzione dei problemi e le indagini forensi. La mancata disponibilità dei dati dei log degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. | |
| sezione 4 b-design-and-secure - il cloud - 14 carichi di lavoro materiali | La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon crea RDS automaticamente uno snapshot del volume di storage dell'istanza DB, eseguendo il backup dell'intera istanza DB. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| sezione 4 - il cloud - 14 carichi di lavoro materiali b-design-and-secure | Per facilitare i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| sezione 4 - il cloud - 14 carichi di lavoro materiali b-design-and-secure | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| sezione 4 b-design-and-secure - il cloud - 14 carichi di lavoro materiali | Per facilitare i processi di backup dei dati, assicurati che le istanze di Amazon Relational Database Service (RDSAmazon) facciano parte di un AWS piano di backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| sezione 4 - il cloud - 14 carichi di lavoro materiali b-design-and-secure | Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Amazon Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per ogni nodo di modifica dei dati o per qualsiasi evento che si verifica per primo. | |
| sezione 4 - il cloud - 14 carichi di lavoro materiali b-design-and-secure | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management IAM () Access Analyzer e Firewall AWS Manager e soluzioni Partner. AWS | |
| sezione 4 - il cloud - 14 carichi di lavoro standard b-design-and-secure | APILa registrazione del gateway mostra viste dettagliate degli utenti che hanno effettuato l'accesso API e il modo in cui hanno effettuato l'accesso a. API Queste informazioni offrono visibilità sulle attività degli utenti. | |
| sezione 4 b-design-and-secure - i carichi di lavoro standard del cloud - 14 | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| sezione 4 b-design-and-secure - il cloud - 14 carichi di lavoro standard | Questa regola aiuta a garantire l'uso delle migliori pratiche di sicurezza AWS consigliate per, verificando l'abilitazione di più impostazioni. AWS CloudTrail Queste includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione AWS CloudTrail in più aree. | |
| sezione 4 b-design-and-secure -the-cloud-14 - carichi di lavoro standard | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi Amazon CloudWatch Log Groups. | |
| sezione 4 b-design-and-secure - il cloud - 14 carichi di lavoro standard | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle API chiamate all'interno del tuo Account AWS. | |
| sezione 4 b-design-and-secure - il cloud - 14 carichi di lavoro standard | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i trail AWS CloudTrail. | |
| sezione 4 b-design-and-secure - il cloud - 14 carichi di lavoro standard | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei log. CloudTrail La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa funzionalità è creata utilizzando algoritmi standard del settore: SHA -256 per l'hashing e SHA -256 per la firma digitale. RSA Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| b-design-and-securesezione 4 - il cloud - 14 carichi di lavoro standard | Assicurati che i dati dei log degli eventi vengano mantenuti per una durata minima per i gruppi di log in modo da agevolare la risoluzione dei problemi e le indagini forensi. La mancata disponibilità dei dati dei log degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. | |
| sezione 4 b-design-and-secure - il cloud - 14 carichi di lavoro standard | Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e per diagnosticare i problemi di disponibilità. | |
| b-design-and-securesezione 4 - il cloud - 14 carichi di lavoro standard | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la ELB registrazione sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a. ELB Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| sezione 4 b-design-and-secure - il cloud - 14 carichi di lavoro standard | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| sezione 4 b-design-and-secure - il cloud - 14 carichi di lavoro standard | Assicurati che un utente, IAM ruolo o IAM gruppo di AWS Identity and Access Management (IAM) non disponga di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| sezione 4 b-design-and-secure - il cloud - 14 carichi di lavoro standard | AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| sezione 4 -the-cloud-14-standard-workload b-design-and-secure | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| sezione 4 b-design-and-secure - il cloud - 14 carichi di lavoro standard | AWS CloudTrail registra le azioni e AWS le chiamate della console di gestione. API È possibile identificare quali utenti e account hanno effettuato le chiamate AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di log da tutte le AWS regioni al tuo bucket S3 se MULTI _ _ _ _ REGION CLOUD TRAIL _ ENABLED è abilitato. Inoltre, all' AWS avvio di una nuova regione, CloudTrail creerà lo stesso percorso nella nuova regione. Di conseguenza, riceverai file di registro contenenti le API attività per la nuova regione senza intraprendere alcuna azione. | |
| sezione 4 b-design-and-secure -the-cloud-14 - carichi di lavoro standard | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (RDSAmazon) sia abilitata. Con Amazon RDS Logging, puoi registrare eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| b-design-and-securesezione 4 - il cloud - 14 carichi di lavoro standard | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default:TRUE) e ( loggingEnabled Config Default:). TRUE I valori effettivi devono riflettere le policy dell'organizzazione. | |
| sezione 4 -the-cloud-14-standard-workload b-design-and-secure | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| b-design-and-securesection4 -the-cloud-14-standard-workload | Assicurati che il blocco sia abilitato, per impostazione predefinita, per il bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket S3, applica i blocchi degli oggetti a riposo per proteggere tali dati. | |
| sezione 4 b-design-and-secure - il cloud - 14 carichi di lavoro standard | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| sezione 4 b-design-and-secure - il cloud - 14 carichi di lavoro standard | Gestisci l'accesso al AWS cloud abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 sia limitato da uno qualsiasi dei AWS principali, utenti federati, responsabili del servizio, indirizzi IP o Amazon Virtual Private Cloud (Amazon) che fornisci. VPC IDs | |
| sezione 4 - il cloud - 14 carichi di lavoro standard b-design-and-secure | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| sezione 4 - il cloud - 14 carichi di lavoro standard b-design-and-secure | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti. | |
| sezione 4 b-design-and-secure - il cloud - 14 carichi di lavoro standard | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management IAM () Access Analyzer e Firewall AWS Manager e soluzioni Partner. AWS | |
| sezione 4 - il cloud - 14 carichi di lavoro standard b-design-and-secure | I log di VPC flusso forniscono registrazioni dettagliate per informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo Amazon Virtual Private Cloud (AmazonVPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| sezione 4 - carichi di lavoro standard sul cloud - 14 b-design-and-secure | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita (V2) la registrazione sul Web regionale e globale. AWS WAF ACLs AWS WAFla registrazione fornisce informazioni dettagliate sul traffico analizzato dal Web. ACL I registri registrano l'ora in cui è AWS WAF stata ricevuta la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| sezione 4 - i carichi di lavoro dei 15 materiali sul cloud b-design-and-secure | La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon crea RDS automaticamente uno snapshot del volume di storage dell'istanza DB, eseguendo il backup dell'intera istanza DB. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| sezione 4 -the-cloud-15-material-workload b-design-and-secure | Per facilitare i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| sezione 4 - il cloud - 15 carichi di lavoro relativi ai materiali b-design-and-secure | Per facilitare i processi di backup dei dati, assicurati che le istanze di Amazon Relational Database Service (RDSAmazon) facciano parte di un AWS piano di backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| sezione 4 - il cloud - 15 carichi di lavoro relativi ai materiali b-design-and-secure | Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Amazon Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per ogni nodo di modifica dei dati o per qualsiasi evento che si verifica per primo. | |
| sezione 4 -the-cloud-15 - carichi di lavoro b-design-and-secure standard | Abilita la rotazione delle chiavi per garantire che vengano ruotate una volta terminato il loro periodo di crittografia. | |
| sezione 4 b-design-and-secure -the-cloud-15 carichi di lavoro standard | Gestisci l'accesso al cloud assicurando che le istanze di replica non siano accessibili pubblicamente. AWS DMS DMSle istanze di replica possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| sezione 4 -the-cloud-15 - carichi di lavoro standard b-design-and-secure | Gestisci l'accesso al AWS cloud assicurando che le EBS istantanee non siano ripristinabili pubblicamente. EBSgli snapshot dei volumi possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| sezione 4 b-design-and-secure -the-cloud-15 - carichi di lavoro standard | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (AmazonEBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| sezione 4 b-design-and-secure -the-cloud-15 - carichi di lavoro standard | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| sezione 4 b-design-and-secure -the-cloud-15 - carichi di lavoro standard | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (AmazonEBS). | |
| sezione 4 b-design-and-secure -the-cloud-15 - carichi di lavoro standard | Per proteggere i dati archiviati, assicurati che non sia pianificata l'eliminazione delle chiavi master del cliente necessarie (CMKs) in AWS Key Management Service ().AWS KMS Poiché a volte l'eliminazione delle chiavi è necessaria, questa regola può aiutare a verificare tutte le chiavi per le quali è pianificata l'eliminazione, nel caso in cui una chiave sia stata pianificata in modo non intenzionale. | |
| sezione 4 b-design-and-secure -the-cloud-15 - carichi di lavoro standard | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (AmazonVPC). Un dominio Amazon OpenSearch Service all'interno di Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un NAT dispositivo o una VPN connessione. | |
| sezione 4 b-design-and-secure -the-cloud-15 - carichi di lavoro standard | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (RDSAmazon) non siano pubbliche. Le istanze di RDS database Amazon possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| sezione 4 b-design-and-secure -the-cloud-15 - carichi di lavoro standard | Assicurati che la crittografia sia abilitata per le tue istantanee di Amazon Relational Database Service (RDSAmazon). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| sezione 4 -the-cloud-15 - carichi di lavoro standard b-design-and-secure | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| b-design-and-securesection4 -the-cloud-15 - carichi di lavoro standard | Assicurati che il blocco sia abilitato, per impostazione predefinita, per il bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket S3, applica i blocchi degli oggetti a riposo per proteggere tali dati. | |
| sezione 4 b-design-and-secure -the-cloud-15 - carichi di lavoro standard | Gestisci l'accesso al AWS cloud abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 sia limitato da uno qualsiasi dei AWS principali, utenti federati, responsabili del servizio, indirizzi IP o Amazon Virtual Private Cloud (Amazon) che fornisci. VPC IDs | |
| sezione 4 -the-cloud-15 carichi di lavoro standard b-design-and-secure | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| sezione 4 -the-cloud-15 - carichi di lavoro standard b-design-and-secure | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| sezione 4 -the-cloud-15 - carichi di lavoro standard b-design-and-secure | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| sezione 4 -the-cloud-15 - carichi di lavoro standard b-design-and-secure | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti. | |
| sezione 4 b-design-and-secure -the-cloud-15 - carichi di lavoro standard | Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati. | |
| sezione 4 c-run-the-cloud - 1 - carichi di lavoro standard | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni e le chiamate della Console di gestione. AWS API È possibile identificare gli utenti e chi Account AWS ha chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| sezione 4 c-run-the-cloud - 2 - carichi di lavoro relativi ai materiali | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (AmazonEC2) con AWS Systems Manager. Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| sezione 4 c-run-the-cloud - 2 carichi di lavoro materiali | ec2- -controlla managedinstance-association-compliance-status |
Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee guida per livelli di patch del sistema operativo, installazioni software, configurazioni delle applicazioni e altri dettagli sull'ambiente. |
| sezione 4 c-run-the-cloud - 2 carichi di lavoro standard | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| sezione 4 -2 - carichi di lavoro standard c-run-the-cloud | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| sezione 4 c-run-the-cloud - 2 carichi di lavoro standard | AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che IAM i gruppi abbiano almeno un utente. Collocare gli utenti in gruppi in base ai permessi associati o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| sezione 4 - 2 carichi di lavoro standard c-run-the-cloud | Assicurati che un utente, IAM ruolo o IAM gruppo di AWS Identity and Access Management (IAM) non disponga di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| sezione 4 c-run-the-cloud - 2 carichi di lavoro standard | AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| sezione 4 - 2 carichi di lavoro standard c-run-the-cloud | Assicurati che IAM le azioni siano limitate solo alle azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| sezione 4 -2 c-run-the-cloud - carichi di lavoro standard | L'accesso ai sistemi e alle risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| sezione 4 - 2 - carichi di lavoro standard c-run-the-cloud | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| sezione 4 -2 - carichi di lavoro standard c-run-the-cloud | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| sezione 4 c-run-the-cloud - 2 carichi di lavoro standard | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management IAM () Access Analyzer e Firewall AWS Manager e soluzioni Partner. AWS | |
| sezione 4 - 3 carichi di lavoro standard c-run-the-cloud | APILa registrazione del gateway mostra viste dettagliate degli utenti che hanno effettuato l'accesso API e il modo in cui hanno effettuato l'accesso a. API Queste informazioni offrono visibilità sulle attività degli utenti. | |
| sezione 4 c-run-the-cloud - 3 carichi di lavoro standard | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| sezione 4 c-run-the-cloud - 3 carichi di lavoro standard | Questa regola aiuta a garantire l'uso delle migliori pratiche di sicurezza AWS consigliate per AWS CloudTrail, verificando l'abilitazione di più impostazioni. Queste includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione AWS CloudTrail in più aree. | |
| sezione 4 c-run-the-cloud - 3 carichi di lavoro standard | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| sezione 4 - 3 carichi di lavoro standard c-run-the-cloud | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle API chiamate all'interno del tuo Account AWS. | |
| sezione 4 c-run-the-cloud - 3 carichi di lavoro standard | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni e le chiamate della Console di gestione. AWS API È possibile identificare gli utenti e chi Account AWS ha chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| sezione 4 c-run-the-cloud - 3 carichi di lavoro standard | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i trail AWS CloudTrail. | |
| sezione 4 c-run-the-cloud - 3 carichi di lavoro standard | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei log. CloudTrail La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa funzionalità è creata utilizzando algoritmi standard del settore: SHA -256 per l'hashing e SHA -256 per la firma digitale. RSA Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| c-run-the-cloudsezione 4 - 3 - carichi di lavoro standard | Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e per diagnosticare i problemi di disponibilità. | |
| c-run-the-cloudsezione 4 - 3 carichi di lavoro standard | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la ELB registrazione sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a. ELB Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| sezione 4 c-run-the-cloud - 3 carichi di lavoro standard | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| sezione 4 c-run-the-cloud - 3 carichi di lavoro standard | AWS CloudTrail registra le azioni e le chiamate della console di gestione. AWS API È possibile identificare quali utenti e account hanno effettuato le chiamate AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di log da tutte le AWS regioni al tuo bucket S3 se MULTI _ _ _ _ REGION CLOUD TRAIL _ ENABLED è abilitato. Inoltre, all' AWS avvio di una nuova regione, CloudTrail creerà lo stesso percorso nella nuova regione. Di conseguenza, riceverai file di registro contenenti le API attività per la nuova regione senza intraprendere alcuna azione. | |
| sezione 4 c-run-the-cloud - 3 carichi di lavoro standard | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (RDSAmazon) sia abilitata. Con Amazon RDS Logging, puoi registrare eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| c-run-the-cloudsezione 4 - 3 carichi di lavoro standard | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default:TRUE) e ( loggingEnabled Config Default:). TRUE I valori effettivi devono riflettere le policy dell'organizzazione. | |
| sezione 4 - 3 carichi di lavoro standard c-run-the-cloud | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| sezione 4 -3 carichi c-run-the-cloud di lavoro standard | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management IAM () Access Analyzer e Firewall AWS Manager e soluzioni Partner. AWS | |
| sezione 4 - 3 carichi di lavoro standard c-run-the-cloud | I log di VPC flusso forniscono registrazioni dettagliate per informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo Amazon Virtual Private Cloud (AmazonVPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| sezione 4 - 3 carichi di lavoro standard c-run-the-cloud | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita AWS WAF (V2) la registrazione sul Web regionale e globale. ACLs AWS WAFla registrazione fornisce informazioni dettagliate sul traffico analizzato dal Web. ACL I registri registrano l'ora in cui è AWS WAF stata ricevuta la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| sezione 4 - 4 - carichi di lavoro standard c-run-the-cloud | response-plan-exists-maintained (controllo del processo) | Garanzia della definizione, del mantenimento e della distribuzione al personale responsabile di piani di risposta agli incidenti. |
| sezione 4 c-run-the-cloud - 4 - carichi di lavoro relativi ai materiali | Ensure AWS WAF è abilitato su Elastic Load Balancers () per aiutare a proteggere le applicazioni web. ELB A WAF aiuta a proteggere le applicazioni Web o da APIs exploit Web comuni. Questi exploit Web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. | |
| sezione 4 c-run-the-cloud - 4 - carichi di lavoro materiali | AWS WAFconsente di configurare una serie di regole (denominate lista di controllo degli accessi Web (WebACL)) che consentono, bloccano o contano le richieste Web in base a regole e condizioni di sicurezza Web personalizzabili definite dall'utente. Assicurati che la tua fase Amazon API Gateway sia associata ACL a un WAF Web per proteggerla da attacchi dannosi | |
| sezione 4 c-run-the-cloud - 4 - carichi di lavoro materiali | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| sezione 4 c-run-the-cloud - 4 - carichi di lavoro materiali | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management IAM () Access Analyzer e Firewall AWS Manager e soluzioni Partner. AWS | |
| sezione 4 - 5 carichi di lavoro standard c-run-the-cloud | I controlli di integrità di Elastic Load Balancer (ELB) per i gruppi Amazon Elastic Compute Cloud (Amazon) Auto EC2 Scaling supportano il mantenimento di capacità e disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ping, tenta connessioni o invia richieste per testare lo stato delle EC2 istanze Amazon in un gruppo di auto-scaling. Se un'istanza non restituisce i dati, il traffico viene inviato a una nuova EC2 istanza Amazon. | |
| sezione 4 c-run-the-cloud - 5 carichi di lavoro standard | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle API chiamate all'interno del tuo Account AWS. | |
| sezione 4 c-run-the-cloud - 5 carichi di lavoro standard | La scalabilità automatica di Amazon DynamoDB utilizza il servizio Application AWS Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura e scrittura assegnata per gestire improvvisi aumenti di traffico, senza alcuna limitazione (della larghezza di banda della rete). | |
| c-run-the-cloudsezione 4 - 5 - carichi di lavoro standard | Abilita questa regola per assicurarti che la capacità effettiva di trasmissione assegnata sia verificata nelle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura e scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando la velocità di trasmissione effettiva si avvicina al limite massimo per l'account di un cliente. Questa regola consente di impostare facoltativamente i parametri accountRCUThreshold Percentage (Config Default: 80) accountWCUThreshold e Percentage (Config Default: 80). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| c-run-the-cloudsezione 4 - 5 - carichi di lavoro standard | Abilita questa regola per migliorare il monitoraggio delle istanze Amazon Elastic Compute Cloud (AmazonEC2) sulla EC2 console Amazon, che visualizza grafici di monitoraggio con un periodo di 1 minuto per l'istanza. | |
| sezione 4 - 5 carichi di lavoro standard c-run-the-cloud | Questa regola garantisce che vengano stabiliti i limiti massimi e minimi di simultaneità di una funzione Lambda. Ciò può aiutare a stabilire il numero di richieste che la funzione serve in un dato momento. | |
| sezione 4 c-run-the-cloud -5 carichi di lavoro standard | Abilita Amazon Relational Database Service (RDSAmazon) per monitorare la disponibilità di RDS Amazon. Ciò fornisce una visibilità dettagliata sullo stato delle istanze di RDS database Amazon. Quando lo RDS storage Amazon utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ogni dispositivo. Inoltre, quando l'istanza del RDS database Amazon è in esecuzione in una distribuzione Multi-AZ, vengono raccolti i dati per ogni dispositivo sull'host secondario e le metriche dell'host secondario. | |
| sezione 4 - 5 carichi di lavoro standard c-run-the-cloud | AWS La reportistica avanzata sullo stato di Elastic Beanstalk consente una risposta più rapida ai cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione. Il reporting avanzato sull'integrità di Elastic Beanstalk fornisce un descrittore dello stato per valutare la gravità dei problemi identificati e per individuare le possibili cause su cui indagare. | |
| c-run-the-cloudsezione 4 - 6 - carichi di lavoro relativi ai materiali | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (AmazonEC2) con AWS Systems Manager. Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| sezione 4 c-run-the-cloud - 6 - carichi di lavoro materiali | ec2- -controlla managedinstance-association-compliance-status |
Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee guida per livelli di patch del sistema operativo, installazioni software, configurazioni delle applicazioni e altri dettagli sull'ambiente. |
| sezione 4 c-run-the-cloud - 6 - carichi di lavoro relativi ai materiali | Abilita questa regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (AmazonEC2). La regola verifica se le patch delle EC2 istanze Amazon sono conformi in AWS Systems Manager, come richiesto dalle politiche e dalle procedure della tua organizzazione. | |
| sezione 4 c-run-the-cloud - 6 - carichi di lavoro materiali | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| sezione 4 c-run-the-cloud - 6 - carichi di lavoro materiali | Amazon ti GuardDuty aiuta a comprendere l'impatto di un incidente classificando i risultati in base alla gravità: bassa, media e alta. Puoi utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola consente di impostare facoltativamente daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) e daysHighSev (Config Default: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione. | |
| sezione 4 - 6 - carichi di lavoro standard c-run-the-cloud | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (AmazonEC2) con AWS Systems Manager. Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| sezione 4 c-run-the-cloud - 6 - carichi di lavoro standard | Abilita questa regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (AmazonEC2). La regola verifica se le patch delle EC2 istanze Amazon sono conformi in AWS Systems Manager, come richiesto dalle politiche e dalle procedure della tua organizzazione. | |
| sezione 4 c-run-the-cloud - 6 - carichi di lavoro standard | Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno finestre di manutenzione preferite e periodi di conservazione automatica degli snapshot per il database. Questa regola richiede l'impostazione di. allowVersionUpgrade Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sab: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| sezione 4 - 6 - carichi di lavoro standard c-run-the-cloud | L'abilitazione degli aggiornamenti della piattaforma gestiti per un ambiente Amazon Elastic Beanstalk garantisce l'installazione degli ultimi aggiornamenti, correzioni e funzionalità disponibili per l'ambiente. Rimanere costantemente al passo con l'installazione delle patch è una delle best practice per la sicurezza dei sistemi. |
Modello
Il modello è disponibile su GitHub: Operational Best Practices for ABS CCIG 2.0 Material Workload
