Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Best practice operative per BNM RMiT
I Conformance Pack forniscono un framework di conformità generico progettato per consentire di creare controlli di governance relativi alla sicurezza, all'operatività o all'ottimizzazione dei costi utilizzando regole gestite o personalizzate e azioni correttive. AWS Config AWS Config I pacchetti di conformità, in quanto modelli di esempio, non sono pensati per garantire la piena conformità a uno specifico standard di governance o conformità. È tua responsabilità valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.
Di seguito viene fornito un esempio di mappatura tra le regole di Bank Negara Malesia (BNM) Risk Management in Technology () RMiT e Managed AWS Config. Ogni regola Config si applica a una AWS risorsa specifica e si riferisce a uno o più controlli. BNM RMiT Un BNM RMiT controllo può essere correlato a più regole di Config. Consulta la tabella seguente per maggiori dettagli e indicazioni relativi a queste mappature.
| ID controllo | Descrizione del controllo | AWS Regola di Config | Linea guida |
|---|---|---|---|
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Laddove ciò comporti il ricorso a valutazioni di terzi, l'ente finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'ente finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste non crittografate a. HTTP HTTPS Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Laddove ciò comporti il ricorso a valutazioni di terzi, l'ente finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'ente finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per la cache di API Gateway Stage. Poiché con questo API metodo è possibile acquisire dati sensibili, abilita la crittografia a riposo per proteggere tali dati. | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Laddove ciò comporti il ricorso a valutazioni di terzi, l'ente finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'ente finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Assicurati che REST API le fasi di Amazon API Gateway siano configurate con SSL certificati per consentire ai sistemi di backend di autenticare che le richieste provengono da API Gateway. | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Laddove ciò comporti il ricorso a valutazioni di terzi, l'ente finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'ente finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Assicurati che la crittografia sia abilitata per i punti AWS di ripristino del Backup. Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Laddove ciò comporti il ricorso a valutazioni di terzi, l'ente finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'ente finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Questa regola aiuta a garantire l'uso delle migliori pratiche di sicurezza AWS consigliate per AWS CloudTrail, verificando l'abilitazione di più impostazioni. Queste includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione AWS CloudTrail in più aree. | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Laddove ciò comporti il ricorso a valutazioni di terzi, l'ente finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'ente finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi Amazon CloudWatch Log Groups. | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Laddove ciò comporti il ricorso a valutazioni di terzi, l'ente finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'ente finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Abilita la rotazione delle chiavi per garantire che le chiavi vengano ruotate dopo aver raggiunto la fine del periodo crittografico. | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Laddove ciò comporti il ricorso a valutazioni di terzi, l'ente finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'ente finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Data la possibile presenza di dati sensibili a riposo in queste tabelle, abilita la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con AWS una chiave master del cliente di proprietà (). CMK | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Laddove ciò comporti il ricorso a valutazioni di terzi, l'ente finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'ente finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (AmazonEBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Laddove ciò comporti il ricorso a valutazioni di terzi, l'ente finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'ente finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Laddove ciò comporti il ricorso a valutazioni di terzi, l'ente finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'ente finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire TLS certificatiSSL/pubblici e privati con AWS servizi e risorse interne. | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Laddove ciò comporti il ricorso a valutazioni di terzi, l'ente finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'ente finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (AmazonEBS). | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Laddove ciò comporti il ricorso a valutazioni di terzi, l'ente finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'ente finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Per proteggere i dati archiviati, assicurati che le chiavi master del cliente necessarie (CMKs) non siano pianificate per l'eliminazione in AWS Key Management Service ().AWS KMS Poiché a volte l'eliminazione delle chiavi è necessaria, questa regola può aiutare a verificare tutte le chiavi per le quali è pianificata l'eliminazione, nel caso in cui una chiave sia stata pianificata in modo non intenzionale. | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Laddove ciò comporti il ricorso a valutazioni di terzi, l'ente finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'ente finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service. | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Laddove ciò comporti il ricorso a valutazioni di terzi, l'ente finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'ente finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon OpenSearch Service. | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Laddove ciò comporti il ricorso a valutazioni di terzi, l'ente finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'ente finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. Node-to-nodela crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (AmazonVPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Laddove ciò comporti il ricorso a valutazioni di terzi, l'ente finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'ente finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Assicurati che la crittografia sia abilitata per le tue istantanee di Amazon Relational Database Service (RDSAmazon). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Laddove ciò comporti il ricorso a valutazioni di terzi, l'ente finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'ente finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per le tue istanze di Amazon Relational Database Service (RDSAmazon). Poiché i dati sensibili possono esistere inattivi nelle RDS istanze Amazon, abilita la crittografia a memoria inattiva per proteggere tali dati. | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Laddove ciò comporti il ricorso a valutazioni di terzi, l'ente finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'ente finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default:TRUE) e ( loggingEnabled Config Default:). TRUE I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Laddove ciò comporti il ricorso a valutazioni di terzi, l'ente finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'ente finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo cluster Amazon Redshift. Data la possibile presenza di dati sensibili a riposo nei cluster Redshift, abilita la crittografia a riposo per proteggere tali dati. | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Laddove ciò comporti il ricorso a valutazioni di terzi, l'ente finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'ente finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Assicurati che i tuoi cluster Amazon Redshift richiedano la SSL crittografiaTLS/per connettersi ai client. SQL Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Laddove ciò comporti il ricorso a valutazioni di terzi, l'ente finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'ente finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Laddove ciò comporti il ricorso a valutazioni di terzi, l'ente finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'ente finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste di utilizzo di Secure Socket Layer (). SSL Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Laddove ciò comporti il ricorso a valutazioni di terzi, l'ente finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'ente finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati. | |
| 10,18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Laddove ciò comporti il ricorso a valutazioni di terzi, l'ente finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'ente finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Laddove ciò comporti il ricorso a valutazioni di terzi, l'ente finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'ente finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo notebook. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Laddove ciò comporti il ricorso a valutazioni di terzi, l'ente finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'ente finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per AWS i segreti di Secrets Manager. Data la possibile presenza di dati sensibili a riposo nei segreti di Secrets Manager, abilita la crittografia a riposo per proteggere tali dati. | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Laddove ciò comporti il ricorso a valutazioni di terzi, l'ente finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'ente finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Per proteggere i dati archiviati, assicurati che gli argomenti di Amazon Simple Notification Service (AmazonSNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Data la possibile presenza di dati sensibili a riposo nei messaggi pubblicati, abilita la crittografia a riposo per proteggere tali dati. | |
| 10.20 | Un istituto finanziario deve archiviare le chiavi di crittografia pubbliche in un certificato rilasciato da un'autorità di certificazione in base al livello di rischio. Tali certificati associati ai clienti devono essere rilasciati da autorità di certificazione riconosciute. L'istituto finanziario deve garantire che l'implementazione dei protocolli di autenticazione e firma che utilizzano tali certificati sia soggetta a un livello di protezione elevato per garantire che l'uso delle chiavi di crittografia private corrispondenti ai certificati dell'utente sia giuridicamente vincolante e irrefutabile. L'emissione iniziale e il successivo rinnovo di tali certificati devono essere coerenti con le best practice del settore e le specifiche legali/normative applicabili. | Garantisci che l'integrità della rete sia protetta assicurando che i certificati X509 vengano emessi da. AWS ACM Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore per daysToExpiration (valore AWS Foundational Security Best Practices: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| 10.20 | Un istituto finanziario deve archiviare le chiavi di crittografia pubbliche in un certificato rilasciato da un'autorità di certificazione in base al livello di rischio. Tali certificati associati ai clienti devono essere rilasciati da autorità di certificazione riconosciute. L'istituto finanziario deve garantire che l'implementazione dei protocolli di autenticazione e firma che utilizzano tali certificati sia soggetta a un livello di protezione elevato per garantire che l'uso delle chiavi di crittografia private corrispondenti ai certificati dell'utente sia giuridicamente vincolante e irrefutabile. L'emissione iniziale e il successivo rinnovo di tali certificati devono essere coerenti con le best practice del settore e le specifiche legali/normative applicabili. | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire TLS certificatiSSL/pubblici e privati con AWS servizi e risorse interne. | |
| 10.27 | Un istituto finanziario deve stabilire meccanismi di monitoraggio in tempo reale per tenere traccia dell'utilizzo della capacità e delle prestazioni dei processi e dei servizi principali. Questi meccanismi di monitoraggio devono essere progettati per fornire avvisi tempestivi e utilizzabili agli amministratori. | I controlli di integrità di Elastic Load Balancer (ELB) per i gruppi Amazon Elastic Compute Cloud (Amazon) Auto EC2 Scaling supportano il mantenimento di capacità e disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ping, tenta connessioni o invia richieste per testare lo stato delle EC2 istanze Amazon in un gruppo di auto-scaling. Se un'istanza non restituisce i dati, il traffico viene inviato a una nuova EC2 istanza Amazon. | |
| 10.27 | Un istituto finanziario deve stabilire meccanismi di monitoraggio in tempo reale per tenere traccia dell'utilizzo della capacità e delle prestazioni dei processi e dei servizi principali. Questi meccanismi di monitoraggio devono essere progettati per fornire avvisi tempestivi e utilizzabili agli amministratori. | AWS La reportistica avanzata sullo stato di Elastic Beanstalk consente una risposta più rapida ai cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione. Il reporting avanzato sull'integrità di Elastic Beanstalk fornisce un descrittore dello stato per valutare la gravità dei problemi identificati e per individuare le possibili cause su cui indagare. | |
| 10.27 | Un istituto finanziario deve stabilire meccanismi di monitoraggio in tempo reale per tenere traccia dell'utilizzo della capacità e delle prestazioni dei processi e dei servizi principali. Questi meccanismi di monitoraggio devono essere progettati per fornire avvisi tempestivi e utilizzabili agli amministratori. | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| 10.27 | Un istituto finanziario deve stabilire meccanismi di monitoraggio in tempo reale per tenere traccia dell'utilizzo della capacità e delle prestazioni dei processi e dei servizi principali. Questi meccanismi di monitoraggio devono essere progettati per fornire avvisi tempestivi e utilizzabili agli amministratori. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle API chiamate all'interno del tuo Account AWS. | |
| 10.27 | Un istituto finanziario deve stabilire meccanismi di monitoraggio in tempo reale per tenere traccia dell'utilizzo della capacità e delle prestazioni dei processi e dei servizi principali. Questi meccanismi di monitoraggio devono essere progettati per fornire avvisi tempestivi e utilizzabili agli amministratori. | Abilita questa regola per assicurarti che la capacità effettiva di trasmissione assegnata sia verificata nelle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura e scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando la velocità di trasmissione effettiva si avvicina al limite massimo per l'account di un cliente. Questa regola consente di impostare facoltativamente i parametri accountRCUThreshold Percentage (Config Default: 80) accountWCUThreshold e Percentage (Config Default: 80). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 10.27 | Un istituto finanziario deve stabilire meccanismi di monitoraggio in tempo reale per tenere traccia dell'utilizzo della capacità e delle prestazioni dei processi e dei servizi principali. Questi meccanismi di monitoraggio devono essere progettati per fornire avvisi tempestivi e utilizzabili agli amministratori. | Abilita questa regola per migliorare il monitoraggio delle istanze Amazon Elastic Compute Cloud (AmazonEC2) sulla EC2 console Amazon, che visualizza grafici di monitoraggio con un periodo di 1 minuto per l'istanza. | |
| 10.27 | Un istituto finanziario deve stabilire meccanismi di monitoraggio in tempo reale per tenere traccia dell'utilizzo della capacità e delle prestazioni dei processi e dei servizi principali. Questi meccanismi di monitoraggio devono essere progettati per fornire avvisi tempestivi e utilizzabili agli amministratori. | Questa regola garantisce che vengano stabiliti i limiti massimi e minimi di simultaneità di una funzione Lambda. Ciò può aiutare a stabilire il numero di richieste che la funzione serve in un dato momento. | |
| 10,27 | Un istituto finanziario deve stabilire meccanismi di monitoraggio in tempo reale per tenere traccia dell'utilizzo della capacità e delle prestazioni dei processi e dei servizi principali. Questi meccanismi di monitoraggio devono essere progettati per fornire avvisi tempestivi e utilizzabili agli amministratori. | Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| 10.27 | Un istituto finanziario deve stabilire meccanismi di monitoraggio in tempo reale per tenere traccia dell'utilizzo della capacità e delle prestazioni dei processi e dei servizi principali. Questi meccanismi di monitoraggio devono essere progettati per fornire avvisi tempestivi e utilizzabili agli amministratori. | Abilita Amazon Relational Database Service (RDSAmazon) per monitorare la disponibilità di RDS Amazon. Ciò fornisce una visibilità dettagliata sullo stato delle istanze di RDS database Amazon. Quando lo RDS storage Amazon utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ogni dispositivo. Inoltre, quando l'istanza del RDS database Amazon è in esecuzione in una distribuzione Multi-AZ, vengono raccolti i dati per ogni dispositivo sull'host secondario e le metriche dell'host secondario. | |
| 10.34 | Un istituto finanziario deve garantire che i servizi di rete per i propri sistemi critici siano affidabili e non SPOF ne dispone per proteggere i sistemi critici da potenziali guasti di rete e minacce informatiche. | Questa regola garantisce che per Elastic Load Balancing sia abilitata la protezione da eliminazione. Utilizza questa funzionalità per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| 10.34 | Un istituto finanziario deve garantire che i servizi di rete per i propri sistemi critici siano affidabili e non SPOF ne dispone per proteggere i sistemi critici da potenziali guasti di rete e minacce informatiche. | È possibile implementare Site-to-Site VPN tunnel ridondanti per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso in cui una delle connessioni non sia disponibile. Site-to-Site VPN Per proteggerti dalla perdita di connettività, nel caso in cui il gateway per i clienti non sia disponibile, puoi configurare una seconda Site-to-Site VPN connessione al tuo Amazon Virtual Private Cloud (AmazonVPC) e al gateway privato virtuale utilizzando un secondo gateway cliente. | |
| 10.35 | Un istituto finanziario deve stabilire processi di monitoraggio della larghezza di banda della rete in tempo reale e i corrispondenti parametri di resilienza dei servizi di rete per segnalare eventuali utilizzi eccessivi della larghezza di banda e interruzioni del sistema dovute a congestione della larghezza di banda e guasti di rete. Uno di questi processi è l'analisi del traffico per rilevare tendenze e anomalie. | AWS X-Ray raccoglie dati sulle richieste servite dall'applicazione e fornisce strumenti che è possibile utilizzare per visualizzare, filtrare e acquisire informazioni su tali dati per identificare problemi e opportunità di ottimizzazione. Assicurati che X-Ray sia abilitato in modo da poter visualizzare informazioni dettagliate non solo sulla richiesta e sulla risposta, ma anche sulle chiamate effettuate dall'applicazione verso AWS risorse downstream, microservizi, database e Web. HTTP APIs | |
| 10.35 | Un istituto finanziario deve stabilire processi di monitoraggio della larghezza di banda della rete in tempo reale e i corrispondenti parametri di resilienza dei servizi di rete per segnalare eventuali utilizzi eccessivi della larghezza di banda e interruzioni del sistema dovute a congestione della larghezza di banda e guasti di rete. Uno di questi processi è l'analisi del traffico per rilevare tendenze e anomalie. | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| 10.35 | Un istituto finanziario deve stabilire processi di monitoraggio della larghezza di banda della rete in tempo reale e i corrispondenti parametri di resilienza dei servizi di rete per segnalare eventuali utilizzi eccessivi della larghezza di banda e interruzioni del sistema dovute a congestione della larghezza di banda e guasti di rete. Uno di questi processi è l'analisi del traffico per rilevare tendenze e anomalie. | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la ELB registrazione sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a. ELB Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| 10.35 | Un istituto finanziario deve stabilire processi di monitoraggio della larghezza di banda della rete in tempo reale e i corrispondenti parametri di resilienza dei servizi di rete per segnalare eventuali utilizzi eccessivi della larghezza di banda e interruzioni del sistema dovute a congestione della larghezza di banda e guasti di rete. Uno di questi processi è l'analisi del traffico per rilevare tendenze e anomalie. | I log di VPC flusso forniscono registrazioni dettagliate per informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo Amazon Virtual Private Cloud (AmazonVPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| 10.36 | Un istituto finanziario deve garantire che i servizi di rete che supportano i sistemi critici siano progettati e implementati per garantire la riservatezza, l'integrità e la disponibilità dei dati. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste non crittografate a. HTTP HTTPS Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 10.36 | Un istituto finanziario deve garantire che i servizi di rete che supportano i sistemi critici siano progettati e implementati per garantire la riservatezza, l'integrità e la disponibilità dei dati. | Assicurati che REST API le fasi di Amazon API Gateway siano configurate con SSL certificati per consentire ai sistemi di backend di autenticare che le richieste provengono da API Gateway. | |
| 10.36 | Un istituto finanziario deve garantire che i servizi di rete che supportano i sistemi critici siano progettati e implementati per garantire la riservatezza, l'integrità e la disponibilità dei dati. | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire TLS certificatiSSL/pubblici e privati con AWS servizi e risorse interne. | |
| 10.36 | Un istituto finanziario deve garantire che i servizi di rete che supportano i sistemi critici siano progettati e implementati per garantire la riservatezza, l'integrità e la disponibilità dei dati. | Questa regola garantisce che per Elastic Load Balancing sia abilitata la protezione da eliminazione. Utilizza questa funzionalità per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| 10,36 | Un istituto finanziario deve garantire che i servizi di rete che supportano i sistemi critici siano progettati e implementati per garantire la riservatezza, l'integrità e la disponibilità dei dati. | Abilita il bilanciamento del carico tra zone per i tuoi Network Load Balancer (NLBs) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze. | |
| 10.38 | Un istituto finanziario deve garantire che venga mantenuto un numero sufficiente di log pertinenti ai dispositivi di rete per indagini e scopi forensi per almeno tre anni. | Assicurati che i dati dei log degli eventi vengano mantenuti per una durata minima per i gruppi di log in modo da agevolare la risoluzione dei problemi e le indagini forensi. La mancata disponibilità dei dati dei log degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Le credenziali vengono verificate per i dispositivi, gli utenti e i processi autorizzati assicurando che le chiavi di IAM accesso vengano ruotate come specificato dalla politica organizzativa. La modifica delle chiavi di accesso a intervalli regolari è una best practice di sicurezza. Riduce il periodo di attività di una chiave di accesso e l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione delle chiavi di accesso (valore di configurazione predefinito: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | La gestione centralizzata Account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. L'assenza di una governance centralizzata degli account può comportare configurazioni incoerenti di account, il che può mettere a rischio risorse e dati sensibili. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste non crittografate a. HTTP HTTPS Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per la cache di API Gateway Stage. Poiché con questo API metodo è possibile acquisire dati sensibili, abilita la crittografia a riposo per proteggere tali dati. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Assicurati che REST API le fasi di Amazon API Gateway siano configurate con SSL certificati per consentire ai sistemi di backend di autenticare che le richieste provengono da API Gateway. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. EC2le risorse non devono essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso indesiderato alle applicazioni o ai server. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Assicurati che la crittografia sia abilitata per i punti AWS di ripristino del Backup. Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Questa regola aiuta a garantire l'uso delle migliori pratiche di sicurezza AWS consigliate per AWS CloudTrail, verificando l'abilitazione di più impostazioni. Queste includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione AWS CloudTrail in più aree. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi Amazon CloudWatch Log Groups. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Abilita la rotazione delle chiavi per garantire che le chiavi vengano ruotate dopo aver raggiunto la fine del periodo crittografico. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Gestisci l'accesso al AWS cloud assicurando che le istanze di DMS replica non siano accessibili pubblicamente. DMSle istanze di replica possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Data la possibile presenza di dati sensibili a riposo in queste tabelle, abilita la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con AWS una chiave master del cliente di proprietà (). CMK | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Gestisci l'accesso al AWS cloud assicurando che le EBS istantanee non siano ripristinabili pubblicamente. EBSgli snapshot dei volumi possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (AmazonEBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (AmazonEC2) non siano accessibili pubblicamente. EC2Le istanze Amazon possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire TLS certificatiSSL/pubblici e privati con AWS servizi e risorse interne. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati secondo i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon. EMR In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno dell'ambito, un server Kerberos è noto come centro di distribuzione delle chiavi (). KDC Fornisce un mezzo per l'autenticazione dei principali. KDCSi autentica emettendo ticket per l'autenticazione. The KDC mantiene un database dei principali all'interno del suo regno, delle relative password e di altre informazioni amministrative su ciascun principale. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Gestisci l'accesso al AWS cloud assicurando che i nodi master EMR del cluster Amazon non siano accessibili pubblicamente. I nodi master EMR del cluster Amazon possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (AmazonEBS). | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi del servizio di gestione delle AWS chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle AWS migliori pratiche di sicurezza di base: kms: Decrypt,). kms: ReEncryptFrom I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Assicurati che un utente, IAM ruolo o IAM gruppo di AWS Identity and Access Management (IAM) non disponga di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una politica organizzativa IAM in materia di password. Soddisfano o superano i requisiti indicati dallo standard NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per IAMPolitica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | L'accesso ai sistemi e alle risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che IAM gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Abilita questa regola per limitare l'accesso alle risorse nel AWS Cloud. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti IAM gli utenti. MFAaggiunge un ulteriore livello di protezione oltre a nome utente e password. Riduci gli incidenti dovuti agli account compromessi MFA richiedendo agli utenti. IAM | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando IAM le password e le chiavi di accesso che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (AmazonVPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon, il VPC che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon. VPC | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Per proteggere i dati archiviati, assicurati che le chiavi master del cliente necessarie (CMKs) non siano pianificate per l'eliminazione in AWS Key Management Service ().AWS KMS Poiché a volte l'eliminazione delle chiavi è necessaria, questa regola può aiutare a verificare tutte le chiavi per le quali è pianificata l'eliminazione, nel caso in cui una chiave sia stata pianificata in modo non intenzionale. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (VPCAmazon) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon. VPC Con questa configurazione, non è necessario un gateway Internet, un NAT dispositivo o VPN una connessione. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. A causa del loro isolamento logico, i domini che risiedono all'interno di Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un. VPC | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Assicurati che le tabelle di EC2 routing di Amazon non abbiano percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPCs può ridurre gli accessi involontari all'interno del tuo ambiente. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon OpenSearch Service. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (AmazonVPC). Un dominio Amazon OpenSearch Service all'interno di Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un NAT dispositivo o una VPN connessione. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. Node-to-nodela crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (AmazonVPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (RDSAmazon) non siano pubbliche. Le istanze di RDS database Amazon possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (RDSAmazon) non siano pubbliche. Le istanze di RDS database Amazon possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Assicurati che la crittografia sia abilitata per le tue istantanee di Amazon Relational Database Service (RDSAmazon). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per le tue istanze di Amazon Relational Database Service (RDSAmazon). Poiché i dati sensibili possono esistere inattivi nelle RDS istanze Amazon, abilita la crittografia a memoria inattiva per proteggere tali dati. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default:TRUE) e ( loggingEnabled Config Default:). TRUE I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo cluster Amazon Redshift. Data la possibile presenza di dati sensibili a riposo nei cluster Redshift, abilita la crittografia a riposo per proteggere tali dati. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Il VPC routing avanzato impone a tutto COPY il UNLOAD traffico tra il cluster e gli archivi di dati di passare attraverso Amazon. VPC Puoi quindi utilizzare VPC funzionalità come i gruppi di sicurezza e gli elenchi di controllo degli accessi alla rete per proteggere il traffico di rete. È inoltre possibile utilizzare i registri di VPC flusso per monitorare il traffico di rete. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Assicurati che i tuoi cluster Amazon Redshift richiedano la SSL crittografiaTLS/per connettersi ai client. SQL Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'hardware MFA sia abilitato per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di Account AWS compromissione. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Gestisci l'accesso alle risorse nel AWS Cloud assicurandoti che MFA sia abilitato per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di Account AWS compromissione. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste di utilizzo di Secure Socket Layer (). SSL Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati. | |
| 10,51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo notebook. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Per proteggere i dati archiviati, assicurati che gli argomenti di Amazon Simple Notification Service (AmazonSNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Data la possibile presenza di dati sensibili a riposo nei messaggi pubblicati, abilita la crittografia a riposo per proteggere tali dati. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso indesiderato ai tuoi SSM documenti. Un SSM documento pubblico può esporre informazioni sull'account, sulle risorse e sui processi interni. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato alla loro interfaccia di rete principale. | |
| 10.52 | Un istituto finanziario deve attuare un'adeguata politica di controllo degli accessi per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni come fornitori di servizi terzi). La policy deve comprendere i controlli degli accessi alla tecnologia sia logici sia fisici, commisurati al livello di rischio di accessi non autorizzati a tali sistemi tecnologici. | Le credenziali vengono verificate per i dispositivi, gli utenti e i processi autorizzati assicurando che le chiavi di IAM accesso vengano ruotate come specificato dalla politica organizzativa. La modifica delle chiavi di accesso a intervalli regolari è una best practice di sicurezza. Riduce il periodo di attività di una chiave di accesso e l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione delle chiavi di accesso (valore di configurazione predefinito: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| 10.52 | Un istituto finanziario deve attuare un'adeguata politica di controllo degli accessi per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni come fornitori di servizi terzi). La policy deve comprendere i controlli degli accessi alla tecnologia sia logici sia fisici, commisurati al livello di rischio di accessi non autorizzati a tali sistemi tecnologici. | La gestione centralizzata Account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. L'assenza di una governance centralizzata degli account può comportare configurazioni incoerenti di account, il che può mettere a rischio risorse e dati sensibili. | |
| 10.52 | Un istituto finanziario deve attuare un'adeguata politica di controllo degli accessi per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni come fornitori di servizi terzi). La policy deve comprendere i controlli degli accessi alla tecnologia sia logici sia fisici, commisurati al livello di rischio di accessi non autorizzati a tali sistemi tecnologici. | EC2i profili di istanza passano un IAM ruolo a un'EC2istanza. L'associazione di un profilo dell'istanza alle istanze può facilitare la gestione delle autorizzazioni e del privilegio minimo. | |
| 10.52 | Un istituto finanziario deve attuare un'adeguata politica di controllo degli accessi per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni come fornitori di servizi terzi). La policy deve comprendere i controlli degli accessi alla tecnologia sia logici sia fisici, commisurati al livello di rischio di accessi non autorizzati a tali sistemi tecnologici. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati secondo i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon. EMR In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno dell'ambito, un server Kerberos è noto come centro di distribuzione delle chiavi (). KDC Fornisce un mezzo per l'autenticazione dei principali. KDCSi autentica emettendo ticket per l'autenticazione. The KDC mantiene un database dei principali all'interno del suo regno, delle relative password e di altre informazioni amministrative su ciascun principale. | |
| 10.52 | Un istituto finanziario deve attuare un'adeguata politica di controllo degli accessi per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni come fornitori di servizi terzi). La policy deve comprendere i controlli degli accessi alla tecnologia sia logici sia fisici, commisurati al livello di rischio di accessi non autorizzati a tali sistemi tecnologici. | AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi del servizio di gestione delle AWS chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle AWS migliori pratiche di sicurezza di base: kms: Decrypt,). kms: ReEncryptFrom I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 10.52 | Un istituto finanziario deve attuare un'adeguata politica di controllo degli accessi per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni come fornitori di servizi terzi). La policy deve comprendere i controlli degli accessi alla tecnologia sia logici sia fisici, commisurati al livello di rischio di accessi non autorizzati a tali sistemi tecnologici. | Assicurati che un utente, IAM ruolo o IAM gruppo di AWS Identity and Access Management (IAM) non disponga di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| 10.52 | Un istituto finanziario deve attuare un'adeguata politica di controllo degli accessi per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni come fornitori di servizi terzi). La policy deve comprendere i controlli degli accessi alla tecnologia sia logici sia fisici, commisurati al livello di rischio di accessi non autorizzati a tali sistemi tecnologici. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una politica organizzativa in materia di IAM password. Soddisfano o superano i requisiti indicati dallo standard NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per IAMPolitica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 10.52 | Un istituto finanziario deve attuare un'adeguata politica di controllo degli accessi per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni come fornitori di servizi terzi). La policy deve comprendere i controlli degli accessi alla tecnologia sia logici sia fisici, commisurati al livello di rischio di accessi non autorizzati a tali sistemi tecnologici. | AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 10.52 | Un istituto finanziario deve attuare un'adeguata politica di controllo degli accessi per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni come fornitori di servizi terzi). La policy deve comprendere i controlli degli accessi alla tecnologia sia logici sia fisici, commisurati al livello di rischio di accessi non autorizzati a tali sistemi tecnologici. | L'accesso ai sistemi e alle risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| 10.52 | Un istituto finanziario deve attuare un'adeguata politica di controllo degli accessi per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni come fornitori di servizi terzi). La policy deve comprendere i controlli degli accessi alla tecnologia sia logici sia fisici, commisurati al livello di rischio di accessi non autorizzati a tali sistemi tecnologici. | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che IAM gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 10.52 | Un istituto finanziario deve attuare un'adeguata politica di controllo degli accessi per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni come fornitori di servizi terzi). La policy deve comprendere i controlli degli accessi alla tecnologia sia logici sia fisici, commisurati al livello di rischio di accessi non autorizzati a tali sistemi tecnologici. | Abilita questa regola per limitare l'accesso alle risorse nel AWS cloud. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti IAM gli utenti. MFAaggiunge un ulteriore livello di protezione oltre a nome utente e password. Riduci gli incidenti dovuti agli account compromessi MFA richiedendo agli utenti. IAM | |
| 10.52 | Un istituto finanziario deve attuare un'adeguata politica di controllo degli accessi per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni come fornitori di servizi terzi). La policy deve comprendere i controlli degli accessi alla tecnologia sia logici sia fisici, commisurati al livello di rischio di accessi non autorizzati a tali sistemi tecnologici. | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| 10.52 | Un istituto finanziario deve attuare un'adeguata politica di controllo degli accessi per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni come fornitori di servizi terzi). La policy deve comprendere i controlli degli accessi alla tecnologia sia logici sia fisici, commisurati al livello di rischio di accessi non autorizzati a tali sistemi tecnologici. | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando IAM le password e le chiavi di accesso che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| 10.52 | Un istituto finanziario deve attuare un'adeguata politica di controllo degli accessi per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni come fornitori di servizi terzi). La policy deve comprendere i controlli degli accessi alla tecnologia sia logici sia fisici, commisurati al livello di rischio di accessi non autorizzati a tali sistemi tecnologici. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'hardware MFA sia abilitato per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di Account AWS compromissione. | |
| 10.52 | Un istituto finanziario deve attuare un'adeguata politica di controllo degli accessi per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni come fornitori di servizi terzi). La policy deve comprendere i controlli degli accessi alla tecnologia sia logici sia fisici, commisurati al livello di rischio di accessi non autorizzati a tali sistemi tecnologici. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che MFA sia abilitato per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di Account AWS compromissione. | |
| 10.53(b)(h)(i) | Nel rispettare il paragrafo 10.52, un istituto finanziario dovrebbe considerare i seguenti principi nella sua politica di controllo degli accessi: (b) utilizzare i diritti di accesso con «privilegio minimo» o su base «» need-to-have laddove agli utenti legittimi siano concesse solo le autorizzazioni minime sufficienti per svolgere i loro ruoli; (h) limitare e controllare la condivisione di ID utente e password tra più utenti; e (i) controllare l'uso di convenzioni generiche di denominazione degli ID utente a favore di una maggiore identificazione personale suscettibileIDs. | L'accesso ai sistemi e alle risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| 10.53(b) | Nell'osservare il paragrafo 10.52, un istituto finanziario dovrebbe considerare i seguenti principi nella sua politica di controllo degli accessi: (b) utilizzare i diritti di accesso con «privilegio minimo» o su base «» laddove agli utenti legittimi need-to-have siano concesse solo le autorizzazioni minime sufficienti per svolgere i loro ruoli; | EC2i profili di istanza passano un IAM ruolo a un'EC2istanza. L'associazione di un profilo dell'istanza alle istanze può facilitare la gestione delle autorizzazioni e del privilegio minimo. | |
| 10.53(b) | Nell'osservare il paragrafo 10.52, un istituto finanziario dovrebbe considerare i seguenti principi nella sua politica di controllo degli accessi: (b) utilizzare i diritti di accesso con «privilegio minimo» o su base «» need-to-have laddove agli utenti legittimi siano concesse solo le autorizzazioni minime sufficienti per svolgere i loro ruoli; | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati secondo i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon. EMR In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno dell'ambito, un server Kerberos è noto come centro di distribuzione delle chiavi (). KDC Fornisce un mezzo per l'autenticazione dei principali. KDCSi autentica emettendo ticket per l'autenticazione. The KDC mantiene un database dei principali all'interno del suo regno, delle relative password e di altre informazioni amministrative su ciascun principale. | |
| 10.53(b) | Nel rispettare il paragrafo 10.52, un istituto finanziario dovrebbe considerare i seguenti principi nella sua politica di controllo degli accessi: (b) utilizzare i diritti di accesso con «privilegio minimo» o su base «» laddove agli utenti legittimi siano concesse solo le autorizzazioni minime sufficienti per svolgere i loro ruoli; need-to-have | AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi del servizio di gestione delle AWS chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle AWS migliori pratiche di sicurezza di base: kms: Decrypt,). kms: ReEncryptFrom I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 10.53(b) | Nell'osservare il paragrafo 10.52, un istituto finanziario dovrebbe considerare i seguenti principi nella sua politica di controllo degli accessi: (b) utilizzare i diritti di accesso con «privilegio minimo» o su base «» laddove agli utenti legittimi siano concesse solo le autorizzazioni minime sufficienti per svolgere i loro ruoli; need-to-have | Assicurati che un utente, IAM ruolo o IAM gruppo di AWS Identity and Access Management (IAM) non disponga di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| 10.53(b) | Nell'osservare il paragrafo 10.52, un istituto finanziario dovrebbe considerare i seguenti principi nella sua politica di controllo degli accessi: (b) utilizzare i diritti di accesso con «privilegio minimo» o su base «» laddove agli utenti legittimi siano concesse solo le autorizzazioni minime sufficienti per svolgere i loro ruoli; need-to-have | AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 10.53(b) | Nel rispettare il paragrafo 10.52, un ente finanziario dovrebbe considerare i seguenti principi nella sua politica di controllo degli accessi: (b) utilizzare i diritti di accesso con «privilegio minimo» o su base «» need-to-have laddove agli utenti legittimi siano concesse solo le autorizzazioni minime sufficienti per svolgere i loro ruoli; | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che IAM gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 10.53(b) | Nell'osservare il paragrafo 10.52, un istituto finanziario dovrebbe considerare i seguenti principi nella propria politica di controllo degli accessi: (b) utilizzare i diritti di accesso con «privilegio minimo» o su base «», laddove agli utenti legittimi siano concesse solo le autorizzazioni minime sufficienti per svolgere i propri ruoli; need-to-have | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| 10.53(c)(f) | Nell'osservare il paragrafo 10.52, un istituto finanziario deve prendere in considerare i seguenti principi nella sua policy di controllo degli accessi: (c) utilizzare diritti di accesso limitati nel tempo che restringano l'accesso a un periodo specifico, compresi i diritti di accesso concessi ai fornitori di servizi; (f) adottare una modalità di autenticazione più rigorosa per le attività critiche, incluso l'accesso remoto | Le identità e le credenziali vengono emesse, gestite e verificate in base a una politica organizzativa in materia di IAM password. Soddisfano o superano i requisiti indicati dallo standard NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per IAMPolitica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 10.53(f)(h) | Nell'osservare il paragrafo 10.52, un istituto finanziario deve prendere in considerazione i seguenti principi nella sua policy di controllo degli accessi: (f) adottare un'autenticazione più rigorosa per le attività critiche, incluso l'accesso remoto; (h) limitare e controllare la condivisione di ID utente e password tra più utenti | Abilita questa regola per limitare l'accesso alle risorse nel AWS cloud. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti IAM gli utenti. MFAaggiunge un ulteriore livello di protezione oltre a nome utente e password. Riduci gli incidenti dovuti agli account compromessi MFA richiedendo agli utenti. IAM | |
| 10.53(f)(h) | Nell'osservare il paragrafo 10.54, un istituto finanziario deve prendere in considerazione i seguenti principi nella sua policy di controllo degli accessi: (f) adottare un'autenticazione più rigorosa per le attività critiche, incluso l'accesso remoto; (h) limitare e controllare la condivisione di ID utente e password tra più utenti | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'hardware MFA sia abilitato per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di Account AWS compromissione. | |
| 10.53(f)(h) | Nell'osservare il paragrafo 10.54, un istituto finanziario deve prendere in considerazione i seguenti principi nella sua policy di controllo degli accessi: (f) adottare un'autenticazione più rigorosa per le attività critiche, incluso l'accesso remoto; (h) limitare e controllare la condivisione di ID utente e password tra più utenti | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che MFA sia abilitato per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di Account AWS compromissione. | |
| 10.54 | Un istituto finanziario deve utilizzare processi di autenticazione efficaci per garantire l'autenticità delle identità in uso. I meccanismi di autenticazione devono essere commisurati alla criticità delle funzioni e adottare almeno uno o più di questi tre fattori di autenticazione di base, vale a dire qualcosa che l'utente conosce (ad esempio passwordPIN), qualcosa che l'utente possiede (ad esempio smart card, dispositivo di sicurezza) e qualcosa che l'utente è (ad esempio caratteristiche biometriche, come un'impronta digitale o uno schema retinico). | Abilita questa regola per limitare l'accesso alle risorse nel Cloud. AWS Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti IAM gli utenti. MFAaggiunge un ulteriore livello di protezione oltre a nome utente e password. Riduci gli incidenti dovuti agli account compromessi MFA richiedendo agli utenti. IAM | |
| 10.54 | Un istituto finanziario deve utilizzare processi di autenticazione efficaci per garantire l'autenticità delle identità in uso. I meccanismi di autenticazione devono essere commisurati alla criticità delle funzioni e adottare almeno uno o più di questi tre fattori di autenticazione di base, vale a dire qualcosa che l'utente conosce (ad esempio la password), qualcosa che l'utente possiede (ad esempio smart card, dispositivo di sicurezzaPIN) e qualcosa che l'utente è (ad esempio caratteristiche biometriche, come un'impronta digitale o uno schema retinico). | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'hardware MFA sia abilitato per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di Account AWS compromissione. | |
| 10.54 | Un istituto finanziario deve utilizzare processi di autenticazione efficaci per garantire l'autenticità delle identità in uso. I meccanismi di autenticazione devono essere commisurati alla criticità delle funzioni e adottare almeno uno o più di questi tre fattori di autenticazione di base, vale a dire qualcosa che l'utente conosce (ad esempio passwordPIN), qualcosa che l'utente possiede (ad esempio smart card, dispositivo di sicurezza) e qualcosa che l'utente è (ad esempio caratteristiche biometriche, come un'impronta digitale o uno schema retinico). | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che MFA sia abilitato per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di Account AWS compromissione. | |
| 10.55 | Un istituto finanziario deve rivedere e adattare periodicamente le proprie pratiche in materia di password per migliorare la resilienza contro gli attacchi in evoluzione. Ciò include la generazione efficace e sicura di password. Inoltre, l'istituto deve mettere in atto i controlli appropriati per verificare la sicurezza delle password create. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una politica organizzativa IAM in materia di password. Soddisfano o superano i requisiti indicati dallo standard NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per IAMPolitica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 10.56 | Generalmente, i metodi di autenticazione basati su più di un fattore sono più difficili da compromettere rispetto a un sistema a fattore singolo. In considerazione di ciò, gli istituti finanziari sono incoraggiati a progettare e implementare correttamente (specialmente nei sistemi ad alto rischio o «single sign-on») l'autenticazione a più fattori (MFA) che sia più affidabile e fornisca più forti deterrenti antifrode | Abilita questa regola per limitare l'accesso alle risorse nel cloud. AWS Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti IAM gli utenti. MFAaggiunge un ulteriore livello di protezione oltre a nome utente e password. Riduci gli incidenti dovuti agli account compromessi MFA richiedendo agli utenti. IAM | |
| 10.56 | Generalmente, i metodi di autenticazione basati su più di un fattore sono più difficili da compromettere rispetto a un sistema a fattore singolo. In considerazione di ciò, gli istituti finanziari sono incoraggiati a progettare e implementare correttamente (specialmente nei sistemi ad alto rischio o «single sign-on») l'autenticazione a più fattori (MFA) che sia più affidabile e fornisca più forti deterrenti antifrode | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'hardware MFA sia abilitato per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di Account AWS compromissione. | |
| 10.56 | Generalmente, i metodi di autenticazione basati su più di un fattore sono più difficili da compromettere rispetto a un sistema a fattore singolo. In considerazione di ciò, gli istituti finanziari sono incoraggiati a progettare e implementare correttamente (specialmente nei sistemi ad alto rischio o «single sign-on») l'autenticazione a più fattori (MFA) che sia più affidabile e fornisca più forti deterrenti antifrode | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che sia abilitato per l'utente root. MFA L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di Account AWS compromissione. | |
| 10.59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | Le credenziali vengono verificate per i dispositivi, gli utenti e i processi autorizzati assicurando che le chiavi di IAM accesso vengano ruotate come specificato dalla politica organizzativa. La modifica delle chiavi di accesso a intervalli regolari è una best practice di sicurezza. Riduce il periodo di attività di una chiave di accesso e l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione delle chiavi di accesso (valore di configurazione predefinito: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| 10.59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | La gestione centralizzata Account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. L'assenza di una governance centralizzata degli account può comportare configurazioni incoerenti di account, il che può mettere a rischio risorse e dati sensibili. | |
| 10.59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | APILa registrazione del gateway mostra viste dettagliate degli utenti che hanno effettuato l'accesso API e il modo in cui hanno effettuato l'accesso a. API Queste informazioni offrono visibilità sulle attività degli utenti. | |
| 10.59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono Account AWS le informazioni relative all'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| 10.59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | Questa regola aiuta a garantire l'uso delle migliori pratiche di sicurezza AWS consigliate per AWS CloudTrail, verificando l'abilitazione di più impostazioni. Queste includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione AWS CloudTrail in più aree. | |
| 10.59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle API chiamate all'interno del tuo Account AWS. | |
| 10.59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | Assicurati che i dati dei log degli eventi vengano mantenuti per una durata minima per i gruppi di log in modo da agevolare la risoluzione dei problemi e le indagini forensi. La mancata disponibilità dei dati dei log degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. | |
| 10.59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | EC2i profili di istanza passano un IAM ruolo a un'EC2istanza. L'associazione di un profilo dell'istanza alle istanze può facilitare la gestione delle autorizzazioni e del privilegio minimo. | |
| 10.59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la ELB registrazione sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a. ELB Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| 10.59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi del servizio di gestione delle AWS chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle AWS migliori pratiche di sicurezza di base: kms: Decrypt,). kms: ReEncryptFrom I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 10.59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una politica organizzativa IAM in materia di password. Soddisfano o superano i requisiti indicati dallo standard NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per IAMPolitica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 10.59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 10.59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | L'accesso ai sistemi e alle risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| 10.59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che IAM gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 10.59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| 10.59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| 10.59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (RDSAmazon) sia abilitata. Con Amazon RDS Logging, puoi registrare eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| 10,59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default:TRUE) e ( loggingEnabled Config Default:). TRUE I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 10.59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| 10,59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita AWS WAF (V2) la registrazione sul Web regionale e globale. ACLs AWS WAFla registrazione fornisce informazioni dettagliate sul traffico analizzato dal Web. ACL I registri registrano l'ora in cui è AWS WAF stata ricevuta la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| 10.60 | Nel soddisfare il requisito di cui al paragrafo 10.59, gli istituti finanziari di grandi dimensioni sono tenuti a (a) implementare un sistema di gestione degli accessi alle identità per gestire e monitorare efficacemente l'accesso degli utenti ai sistemi a livello aziendale; e (b) implementare strumenti di audit automatizzati per segnalare eventuali anomalie. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle API chiamate all'interno del tuo Account AWS. | |
| 10.60 | Nel soddisfare il requisito di cui al paragrafo 10.61, gli istituti finanziari di grandi dimensioni sono tenuti a (a) implementare un sistema di gestione degli accessi alle identità per gestire e monitorare efficacemente l'accesso degli utenti ai sistemi a livello aziendale; e (b) implementare strumenti di audit automatizzati per segnalare eventuali anomalie. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| 10.60 | Nel soddisfare il requisito di cui al paragrafo 10.61, gli istituti finanziari di grandi dimensioni sono tenuti a (a) implementare un sistema di gestione degli accessi alle identità per gestire e monitorare efficacemente l'accesso degli utenti ai sistemi a livello aziendale; e (b) implementare strumenti di audit automatizzati per segnalare eventuali anomalie. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management IAM () Access Analyzer e Firewall AWS Manager e soluzioni Partner. AWS | |
| 10.61 | Un istituto finanziario deve garantire che i sistemi critici non funzionino su sistemi obsoleti con vulnerabilità di sicurezza note o end-of-life (EOL) sistemi tecnologici. A questo proposito, un istituto finanziario deve assegnare chiaramente le responsabilità alle funzioni identificate: (a) monitorare continuamente e implementare tempestivamente le ultime versioni delle patch; e (b) identificare i sistemi tecnologici critici che stanno EOL per essere sottoposti a ulteriori azioni correttive. | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (AmazonEC2) con AWS Systems Manager. Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| 10.61 | Un istituto finanziario deve garantire che i sistemi critici non funzionino su sistemi obsoleti con vulnerabilità di sicurezza note o end-of-life (EOL) sistemi tecnologici. A questo proposito, un istituto finanziario deve assegnare chiaramente le responsabilità alle funzioni identificate: (a) monitorare continuamente e implementare tempestivamente le ultime versioni delle patch; e (b) identificare i sistemi tecnologici critici che stanno EOL per essere sottoposti a ulteriori azioni correttive. | ec2- -controlla managedinstance-association-compliance-status |
Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee di base dei livelli di patch del sistema operativo, delle installazioni software, delle configurazioni delle applicazioni e altri dettagli sull'ambiente. |
| 10.61 | Un istituto finanziario deve garantire che i sistemi critici non funzionino su sistemi obsoleti con vulnerabilità di sicurezza note o end-of-life (EOL) sistemi tecnologici. A questo proposito, un istituto finanziario deve assegnare chiaramente le responsabilità alle funzioni identificate: (a) monitorare continuamente e implementare tempestivamente le ultime versioni delle patch; e (b) identificare i sistemi tecnologici critici che stanno EOL per essere sottoposti a ulteriori azioni correttive. | Abilita questa regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (AmazonEC2). La regola verifica se le patch delle EC2 istanze Amazon sono conformi in AWS Systems Manager, come richiesto dalle politiche e dalle procedure della tua organizzazione. | |
| 10.61 | Un istituto finanziario deve garantire che i sistemi critici non funzionino su sistemi obsoleti con vulnerabilità di sicurezza note o end-of-life (EOL) sistemi tecnologici. A questo proposito, un istituto finanziario deve assegnare chiaramente le responsabilità alle funzioni identificate: (a) monitorare continuamente e implementare tempestivamente le ultime versioni delle patch; e (b) identificare i sistemi tecnologici critici che stanno EOL per essere sottoposti a ulteriori azioni correttive. | L'abilitazione degli aggiornamenti della piattaforma gestiti per un ambiente Amazon Elastic Beanstalk garantisce l'installazione degli ultimi aggiornamenti, correzioni e funzionalità disponibili per l'ambiente. Rimanere costantemente al passo con l'installazione delle patch è una delle best practice per la sicurezza dei sistemi. | |
| 10.61 | Un istituto finanziario deve garantire che i sistemi critici non funzionino su sistemi obsoleti con vulnerabilità di sicurezza note o end-of-life (EOL) sistemi tecnologici. A questo proposito, un istituto finanziario deve assegnare chiaramente le responsabilità alle funzioni identificate: (a) monitorare continuamente e implementare tempestivamente le ultime versioni delle patch; e (b) identificare i sistemi tecnologici critici che stanno EOL per essere sottoposti a ulteriori azioni correttive. | Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno finestre di manutenzione preferite e periodi di conservazione automatica degli snapshot per il database. Questa regola richiede di impostare il. allowVersionUpgrade Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sat: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste non crittografate a. HTTP HTTPS Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per la cache di API Gateway Stage. Poiché con questo API metodo è possibile acquisire dati sensibili, abilita la crittografia a riposo per proteggere tali dati. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Assicurati che REST API le fasi di Amazon API Gateway siano configurate con SSL certificati per consentire ai sistemi di backend di autenticare che le richieste provengono da API Gateway. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Assicurati che la crittografia sia abilitata per i punti AWS di ripristino del Backup. Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Questa regola aiuta a garantire l'uso delle migliori pratiche di sicurezza AWS consigliate per AWS CloudTrail, verificando l'abilitazione di più impostazioni. Queste includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione AWS CloudTrail in più aree. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi Amazon CloudWatch Log Groups. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Data la possibile presenza di dati sensibili a riposo in queste tabelle, abilita la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con AWS una chiave master del cliente di proprietà (). CMK | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (AmazonEBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire TLS certificatiSSL/pubblici e privati con AWS servizi e risorse interne. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (AmazonEBS). | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon OpenSearch Service. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. Node-to-nodela crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (AmazonVPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Assicurati che la crittografia sia abilitata per le tue istantanee di Amazon Relational Database Service (RDSAmazon). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per le tue istanze di Amazon Relational Database Service (RDSAmazon). Poiché i dati sensibili possono esistere inattivi nelle RDS istanze Amazon, abilita la crittografia a memoria inattiva per proteggere tali dati. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default:TRUE) e ( loggingEnabled Config Default:). TRUE I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo cluster Amazon Redshift. Data la possibile presenza di dati sensibili a riposo nei cluster Redshift, abilita la crittografia a riposo per proteggere tali dati. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Assicurati che i tuoi cluster Amazon Redshift richiedano la SSL crittografiaTLS/per connettersi ai client. SQL Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste di utilizzo di Secure Socket Layer (). SSL Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo notebook. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per AWS i segreti di Secrets Manager. Data la possibile presenza di dati sensibili a riposo nei segreti di Secrets Manager, abilita la crittografia a riposo per proteggere tali dati. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Per proteggere i dati archiviati, assicurati che gli argomenti di Amazon Simple Notification Service (AmazonSNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Data la possibile presenza di dati sensibili a riposo nei messaggi pubblicati, abilita la crittografia a riposo per proteggere tali dati. | |
| 10.64(b) | Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che garantiscano quanto segue: (b) affidabilità dei servizi forniti da canali e dispositivi con interruzioni minime dei servizi | La scalabilità automatica di Amazon DynamoDB utilizza il servizio Application AWS Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura e scrittura assegnata per gestire improvvisi aumenti di traffico, senza alcuna limitazione (della larghezza di banda della rete). | |
| 10.64(b) | Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che garantiscano quanto segue: (b) affidabilità dei servizi forniti da canali e dispositivi con interruzioni minime dei servizi | Abilita questa regola per facilitare la configurazione di base delle istanze Amazon Elastic Compute Cloud EC2 (Amazon) controllando se le istanze Amazon EC2 sono state interrotte per più del numero di giorni consentito, in base agli standard della tua organizzazione. | |
| 10.64(b) | Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che garantiscano quanto segue: (b) affidabilità dei servizi forniti da canali e dispositivi con interruzioni minime dei servizi | Questa regola garantisce che per Elastic Load Balancing sia abilitata la protezione da eliminazione. Utilizza questa funzionalità per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| 10.64(b) | Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologica nella fornitura di servizi digitali che garantiscano quanto segue: (b) l'affidabilità dei servizi forniti da canali e dispositivi con interruzioni minime dei servizi | Abilita il bilanciamento del carico tra zone per i tuoi NetworkLoad Balancer (NLBs) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze. | |
| 10.64(b) | Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che garantiscano quanto segue: (b) affidabilità dei servizi forniti da canali e dispositivi con interruzioni minime dei servizi | Assicurati che le istanze di Amazon Relational Database Service (RDSAmazon) abbiano la protezione da eliminazione abilitata. Usa la protezione dall'eliminazione per evitare che le tue RDS istanze Amazon vengano eliminate accidentalmente o intenzionalmente, il che può portare alla perdita di disponibilità delle tue applicazioni. | |
| 10.64(b) | Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che garantiscano quanto segue: (b) affidabilità dei servizi forniti da canali e dispositivi con interruzioni minime dei servizi | Il supporto Multi-AZ in Amazon Relational Database Service (RDSAmazon) offre disponibilità e durabilità avanzate per le istanze di database. Quando effettui il provisioning di un'istanza di database Multi-AZ, Amazon crea RDS automaticamente un'istanza di database principale e replica in modo sincrono i dati su un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico verso lo standby in modo da poter riprendere le operazioni del database non appena il failover è completo. | |
| 10.64(b) | Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che garantiscano quanto segue: (b) affidabilità dei servizi forniti da canali e dispositivi con interruzioni minime dei servizi | Il supporto Multi-AZ in Amazon Relational Database Service (RDSAmazon) offre disponibilità e durabilità avanzate per le istanze di database. Quando effettui il provisioning di un'istanza di database Multi-AZ, Amazon crea RDS automaticamente un'istanza di database principale e replica in modo sincrono i dati su un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico verso lo standby in modo da poter riprendere le operazioni del database non appena il failover è completo. | |
| 10.64(b) | Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che garantiscano quanto segue: (b) affidabilità dei servizi forniti da canali e dispositivi con interruzioni minime dei servizi | È possibile implementare Site-to-Site VPN tunnel ridondanti per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso in cui una delle connessioni non sia disponibile. Site-to-Site VPN Per proteggerti dalla perdita di connettività, nel caso in cui il gateway per i clienti non sia disponibile, puoi configurare una seconda Site-to-Site VPN connessione al tuo Amazon Virtual Private Cloud (AmazonVPC) e al gateway privato virtuale utilizzando un secondo gateway cliente. | |
| 10.64(d) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (d) sufficiente audit trail e monitoraggio delle transazioni anomale | APILa registrazione del gateway mostra viste dettagliate degli utenti che hanno effettuato l'accesso API e il modo in cui hanno effettuato l'accesso a. API Queste informazioni offrono visibilità sulle attività degli utenti. | |
| 10.64(d) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (d) sufficiente audit trail e monitoraggio delle transazioni anomale | I controlli di integrità di Elastic Load Balancer (ELB) per i gruppi Amazon Elastic Compute Cloud (Amazon) Auto EC2 Scaling supportano il mantenimento di capacità e disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ping, tenta connessioni o invia richieste per testare lo stato delle EC2 istanze Amazon in un gruppo di auto-scaling. Se un'istanza non restituisce i dati, il traffico viene inviato a una nuova EC2 istanza Amazon. | |
| 10.64(d) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (d) sufficiente audit trail e monitoraggio delle transazioni anomale | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono Account AWS le informazioni relative all'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| 10.64(d) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (d) sufficiente audit trail e monitoraggio delle transazioni anomale | Questa regola aiuta a garantire l'uso delle migliori pratiche di sicurezza AWS consigliate per AWS CloudTrail, verificando l'abilitazione di più impostazioni. Queste includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione AWS CloudTrail in più aree. | |
| 10.64(d) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (d) sufficiente audit trail e monitoraggio delle transazioni anomale | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| 10.64(d) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (d) sufficiente audit trail e monitoraggio delle transazioni anomale | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle API chiamate all'interno del tuo Account AWS. | |
| 10.64(d) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (d) sufficiente audit trail e monitoraggio delle transazioni anomale | Abilita questa regola per assicurarti che la capacità effettiva di trasmissione assegnata sia verificata nelle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura e scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando la velocità di trasmissione effettiva si avvicina al limite massimo per l'account di un cliente. Questa regola consente di impostare facoltativamente i parametri accountRCUThreshold Percentage (Config Default: 80) accountWCUThreshold e Percentage (Config Default: 80). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 10.64(d) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (d) sufficiente audit trail e monitoraggio delle transazioni anomale | Abilita questa regola per migliorare il monitoraggio delle istanze Amazon Elastic Compute Cloud (AmazonEC2) sulla EC2 console Amazon, che visualizza grafici di monitoraggio con un periodo di 1 minuto per l'istanza. | |
| 10.64(d) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (d) sufficiente audit trail e monitoraggio delle transazioni anomale | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la ELB registrazione sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a. ELB Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| 10.64(d) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (d) sufficiente audit trail e monitoraggio delle transazioni anomale | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| 10.64(d) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (d) sufficiente audit trail e monitoraggio delle transazioni anomale | Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| 10.64(d) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (d) sufficiente audit trail e monitoraggio delle transazioni anomale | Abilita Amazon Relational Database Service (RDSAmazon) per monitorare la disponibilità di RDS Amazon. Ciò fornisce una visibilità dettagliata sullo stato delle istanze di RDS database Amazon. Quando lo RDS storage Amazon utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ogni dispositivo. Inoltre, quando l'istanza del RDS database Amazon è in esecuzione in una distribuzione Multi-AZ, vengono raccolti i dati per ogni dispositivo sull'host secondario e le metriche dell'host secondario. | |
| 10.64(d) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (d) sufficiente audit trail e monitoraggio delle transazioni anomale | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (RDSAmazon) sia abilitata. Con Amazon RDS Logging, puoi registrare eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| 10.64(d) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (d) sufficiente audit trail e monitoraggio delle transazioni anomale | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default:TRUE) e ( loggingEnabled Config Default:). TRUE I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 10.64(d) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (d) sufficiente audit trail e monitoraggio delle transazioni anomale | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| 10.64(d) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (d) sufficiente audit trail e monitoraggio delle transazioni anomale | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management IAM () Access Analyzer e Firewall AWS Manager e soluzioni Partner. AWS | |
| 10.64(d) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (d) sufficiente audit trail e monitoraggio delle transazioni anomale | I log di VPC flusso forniscono registrazioni dettagliate per informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo Amazon Virtual Private Cloud (AmazonVPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| 10.64(d) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (d) sufficiente audit trail e monitoraggio delle transazioni anomale | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita AWS WAF (V2) la registrazione sul Web regionale e globale. ACLs AWS WAFla registrazione fornisce informazioni dettagliate sul traffico analizzato dal Web. ACL I registri registrano l'ora in cui è AWS WAF stata ricevuta la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| 10.64(e) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (e) la capacità di identificare e ristabilire il punto di ripristino prima dell'incidente o dell'interruzione del servizio | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon Aurora facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| 10.64(e) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (e) la capacità di identificare e ristabilire il punto di ripristino prima dell'incidente o dell'interruzione del servizio | La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon crea RDS automaticamente uno snapshot del volume di storage dell'istanza DB, eseguendo il backup dell'intera istanza DB. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| 10.64(e) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (e) la capacità di identificare e ristabilire il punto di ripristino prima dell'incidente o dell'interruzione del servizio | Abilita questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella degli ultimi 35 giorni. | |
| 10.64(e) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (e) la capacità di identificare e ristabilire il punto di ripristino prima dell'incidente o dell'interruzione del servizio | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| 10.64(e) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (e) la capacità di identificare e ristabilire il punto di ripristino prima dell'incidente o dell'interruzione del servizio | Un'istanza ottimizzata in Amazon Elastic Block Store (AmazonEBS) fornisce capacità aggiuntiva e dedicata per le operazioni di EBS I/O di Amazon. Questa ottimizzazione offre le prestazioni più efficienti per i tuoi EBS volumi riducendo al minimo i conflitti tra le operazioni di EBS I/O di Amazon e altro traffico proveniente dall'istanza. | |
| 10.64(e) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (e) la capacità di identificare e ristabilire il punto di ripristino prima dell'incidente o dell'interruzione del servizio | Per facilitare i processi di backup dei dati, assicurati che le risorse di Amazon Elastic Block Store (AmazonEBS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| 10.64(e) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (e) la capacità di identificare e ristabilire il punto di ripristino prima dell'incidente o dell'interruzione del servizio | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon Elastic Compute Cloud EC2 (Amazon) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| 10.64(e) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (e) la capacità di identificare e ristabilire il punto di ripristino prima dell'incidente o dell'interruzione del servizio | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (AmazonEFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| 10.64(e) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (e) la capacità di identificare e ristabilire il punto di ripristino prima dell'incidente o dell'interruzione del servizio | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere mantenuto per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
| 10.64(e) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (e) la capacità di identificare e ristabilire il punto di ripristino prima dell'incidente o dell'interruzione del servizio | Per facilitare i processi di backup dei dati, assicurati che le risorse di Amazon Relational Database Service (RDSAmazon) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| 10.64(e) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (e) la capacità di identificare e ristabilire il punto di ripristino prima dell'incidente o dell'interruzione del servizio | Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Amazon Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per ogni nodo di modifica dei dati o per qualsiasi evento che si verifica per primo. | |
| 10.64(e) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (e) la capacità di identificare e ristabilire il punto di ripristino prima dell'incidente o dell'interruzione del servizio | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti. | |
| 10.64(e) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (e) la capacità di identificare e ristabilire il punto di ripristino prima dell'incidente o dell'interruzione del servizio | Per facilitare i processi di backup dei dati, assicurati che i bucket Amazon Simple Storage Service (S3) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| 11.7 | Un istituto finanziario deve implementare strumenti efficaci per supportare il monitoraggio continuo e proattivo e il rilevamento tempestivo di attività anomale nella propria infrastruttura tecnologica. L'ambito del monitoraggio deve coprire tutti i sistemi critici, inclusa l'infrastruttura di supporto. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| 11.7 | Un istituto finanziario deve implementare strumenti efficaci per supportare il monitoraggio continuo e proattivo e il rilevamento tempestivo di attività anomale nella propria infrastruttura tecnologica. L'ambito del monitoraggio deve coprire tutti i sistemi critici, inclusa l'infrastruttura di supporto. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management IAM () Access Analyzer e Firewall AWS Manager e soluzioni Partner. AWS | |
| 11.8 | Un istituto finanziario deve garantire che le proprie operazioni di sicurezza informatica prevengano e rilevino in maniera continua qualsiasi potenziale compromissione dei controlli di sicurezza o indebolimento del proprio livello di sicurezza. Per gli istituti finanziari di grandi dimensioni, ciò deve includere l'esecuzione di una valutazione trimestrale della vulnerabilità dei componenti di rete esterni e interni che supportano tutti i sistemi critici. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| 11.8 | Un istituto finanziario deve garantire che le proprie operazioni di sicurezza informatica prevengano e rilevino in maniera continua qualsiasi potenziale compromissione dei controlli di sicurezza o indebolimento del proprio livello di sicurezza. Per gli istituti finanziari di grandi dimensioni, ciò deve includere l'esecuzione di una valutazione trimestrale della vulnerabilità dei componenti di rete esterni e interni che supportano tutti i sistemi critici. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management IAM () Access Analyzer e Firewall AWS Manager e soluzioni Partner. AWS | |
| 11.18(c)(f) | SOCDevono essere in grado di svolgere le seguenti funzioni: (c) gestione delle vulnerabilità; (f) fornitura di conoscenze situazionali per rilevare avversari e minacce, tra cui l'analisi e le operazioni di intelligence sulle minacce e il monitoraggio degli indicatori di compromissione (). IOC Ciò include un'analisi comportamentale avanzata per rilevare malware in assenza di firma e di file e per identificare anomalie che possono rappresentare minacce alla sicurezza, anche a livello di endpoint e di rete. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| 11.18(c)(f) | SOCDevono essere in grado di svolgere le seguenti funzioni: (c) gestione delle vulnerabilità; (f) fornitura di consapevolezza situazionale per rilevare avversari e minacce, tra cui l'analisi e le operazioni di intelligence sulle minacce e il monitoraggio degli indicatori di compromissione (). IOC Ciò include un'analisi comportamentale avanzata per rilevare malware in assenza di firma e di file e per identificare anomalie che possono rappresentare minacce alla sicurezza, anche a livello di endpoint e di rete. | Amazon ti GuardDuty aiuta a comprendere l'impatto di un incidente classificando i risultati in base alla gravità: bassa, media e alta. Puoi utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola consente di impostare facoltativamente daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) e daysHighSev (Config Default: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione. | |
| 11.18(c)(f) | SOCDevono essere in grado di svolgere le seguenti funzioni: (c) gestione delle vulnerabilità; (f) fornitura di conoscenze situazionali per rilevare avversari e minacce, tra cui l'analisi e le operazioni di intelligence sulle minacce e il monitoraggio degli indicatori di compromissione (). IOC Ciò include un'analisi comportamentale avanzata per rilevare malware in assenza di firma e di file e per identificare anomalie che possono rappresentare minacce alla sicurezza, anche a livello di endpoint e di rete. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management IAM () Access Analyzer e Firewall AWS Manager e soluzioni Partner. AWS | |
| Appendice 5.1 | Effettuare una revisione periodica della configurazione e delle impostazioni delle regole per tutti i dispositivi di sicurezza. Utilizzare strumenti automatizzati per rivedere e monitorare le modifiche alla configurazione e alle impostazioni delle regole. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| Appendice 5.1 | Effettuare una revisione periodica della configurazione e delle impostazioni delle regole per tutti i dispositivi di sicurezza. Utilizzare strumenti automatizzati per rivedere e monitorare le modifiche alla configurazione e alle impostazioni delle regole. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management IAM () Access Analyzer e Firewall AWS Manager e soluzioni Partner. AWS | |
| Appendice 5.5(b) | Assicurati che i controlli di sicurezza per le connessioni di rete server-to-server esterne includano quanto segue: (b) uso di tunnel sicuri come Transport Layer Security (TLS) e Virtual Private Network () VPN IPSec | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste non crittografate a. HTTP HTTPS Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| Appendice 5.5(b) | Assicurati che i controlli di sicurezza per le connessioni di rete server-to-server esterne includano quanto segue: (b) utilizzo di tunnel sicuri come Transport Layer Security (TLS) e Virtual Private Network () VPN IPSec | Assicurati che REST API le fasi di Amazon API Gateway siano configurate con SSL certificati per consentire ai sistemi di backend di autenticare che le richieste provengono da API Gateway. | |
| Appendice 5.5(b) | Assicurati che i controlli di sicurezza per le connessioni di rete server-to-server esterne includano quanto segue: (b) uso di tunnel sicuri come Transport Layer Security (TLS) e Virtual Private Network () VPN IPSec | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon OpenSearch Service. | |
| Appendice 5.5(b) | Assicurati che i controlli di sicurezza per le connessioni di rete server-to-server esterne includano quanto segue: (b) uso di tunnel sicuri come Transport Layer Security (TLS) e Virtual Private Network () VPN IPSec | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. Node-to-nodela crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (AmazonVPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| Appendice 5.5(b) | Assicurati che i controlli di sicurezza per le connessioni di rete server-to-server esterne includano quanto segue: (b) uso di tunnel sicuri come Transport Layer Security (TLS) e Virtual Private Network (VPN) IPSec | Assicurati che i tuoi cluster Amazon Redshift richiedano la SSL crittografiaTLS/per connettersi ai client. SQL Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| Appendice 5.5(b) | Assicurati che i controlli di sicurezza per le connessioni di rete server-to-server esterne includano quanto segue: (b) uso di tunnel sicuri come Transport Layer Security (TLS) e Virtual Private Network () VPN IPSec | Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste di utilizzo di Secure Socket Layer (). SSL Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| Appendice 5.5(c) | Assicurati che i controlli di sicurezza per le connessioni di rete server-to-server esterne includano quanto segue: (c) implementazione di server di staging con difese e protezioni perimetrali adeguate come firewall e antivirus. IPS | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| Appendice 5.5(c) | Assicurati che i controlli di sicurezza per le connessioni di rete server-to-server esterne includano quanto segue: (c) implementazione di server di staging con difese e protezioni perimetrali adeguate, come firewall e antivirus. IPS | I gruppi di sicurezza di Amazon Elastic Compute Cloud (AmazonEC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| Appendice 5.5(c) | Assicuratevi che i controlli di sicurezza per le connessioni di rete server-to-server esterne includano quanto segue: (c) implementazione di server di staging con difese e protezioni perimetrali adeguate, come firewall e antivirus. IPS | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (AmazonEC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni. | |
| Appendice 5.6 | Garantire che i controlli di sicurezza per l'accesso remoto al server includano quanto segue: (a) limitare l'accesso solo ai dispositivi endpoint rinforzati e bloccati; (b) utilizzare tunnel sicuri come TLS e VPNIPSec; (c) implementare un server «gateway» con difese e protezioni perimetrali adeguate come firewall IPS e antivirus; e (d) chiudere le porte pertinenti immediatamente dopo la scadenza dell'accesso remoto. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste non crittografate a. HTTP HTTPS Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| Appendice 5.6 | Garantire che i controlli di sicurezza per l'accesso remoto al server includano quanto segue: (a) limitare l'accesso solo ai dispositivi endpoint rinforzati e bloccati; (b) utilizzare tunnel sicuri come TLS e VPNIPSec; (c) implementare un server «gateway» con difese e protezioni perimetrali adeguate come firewall IPS e antivirus; e (d) chiudere le porte pertinenti immediatamente dopo la scadenza dell'accesso remoto. | Assicurati che REST API le fasi di Amazon API Gateway siano configurate con SSL certificati per consentire ai sistemi di backend di autenticare che le richieste provengono da API Gateway. | |
| Appendice 5.6 | Garantire che i controlli di sicurezza per l'accesso remoto al server includano quanto segue: (a) limitare l'accesso solo ai dispositivi endpoint rinforzati e bloccati; (b) utilizzare tunnel sicuri come TLS e VPNIPSec; (c) implementare un server «gateway» con difese e protezioni perimetrali adeguate come firewall IPS e antivirus; e (d) chiudere le porte pertinenti immediatamente dopo la scadenza dell'accesso remoto. | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon OpenSearch Service. | |
| Appendice 5.6 | Garantire che i controlli di sicurezza per l'accesso remoto al server includano quanto segue: (a) limitare l'accesso solo ai dispositivi endpoint rinforzati e bloccati; (b) utilizzare tunnel sicuri come TLS e VPNIPSec; (c) implementare un server «gateway» con difese e protezioni perimetrali adeguate come firewall IPS e antivirus; e (d) chiudere le porte pertinenti immediatamente dopo la scadenza dell'accesso remoto. | Assicurati che i tuoi cluster Amazon Redshift richiedano la SSL crittografiaTLS/per connettersi ai client. SQL Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| Appendice 5.6 | Garantire che i controlli di sicurezza per l'accesso remoto al server includano quanto segue: (a) limitare l'accesso solo ai dispositivi endpoint rinforzati e bloccati; (b) utilizzare tunnel sicuri come TLS e VPNIPSec; (c) implementare un server «gateway» con difese e protezioni perimetrali adeguate come firewall IPS e antivirus; e (d) chiudere le porte pertinenti immediatamente dopo la scadenza dell'accesso remoto. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (AmazonEC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| Appendice 5.6 | Garantire che i controlli di sicurezza per l'accesso remoto al server includano quanto segue: (a) limitare l'accesso solo ai dispositivi endpoint rinforzati e bloccati; (b) utilizzare tunnel sicuri come TLS e VPNIPSec; (c) implementare un server «gateway» con difese e protezioni perimetrali adeguate come firewall IPS e antivirus; e (d) chiudere le porte pertinenti immediatamente dopo la scadenza dell'accesso remoto. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (AmazonEC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni. | |
| Appendice 10 parte B - 1 (a) | Un istituto finanziario deve progettare un'architettura cloud solida e garantire che tale progettazione sia conforme agli standard internazionali pertinenti per l'applicazione prevista. | La gestione centralizzata Account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. L'assenza di una governance centralizzata degli account può comportare configurazioni incoerenti di account, il che può mettere a rischio risorse e dati sensibili. | |
| Appendice 10 parte B - 1 (b) | Un istituto finanziario è incoraggiato ad adottare i principi zero-trust per fornire un'architettura resiliente agli attacchi informatici adottando una mentalità basata sulla presunzione di violazione, sulla microsegmentazione, sui diritti di accesso con «privilegio minimo» e defense-in-depth effettuando ispezioni approfondite e convalide continue, ove applicabile. deny-by-default | Ensure AWS WAF è abilitato su Elastic Load Balancers () per aiutare a proteggere le applicazioni web. ELB A WAF aiuta a proteggere le applicazioni web o APIs dagli exploit web più comuni. Questi exploit Web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. | |
| Appendice 10 parte B - 1 (b) | Un istituto finanziario è incoraggiato ad adottare i principi zero-trust per fornire un'architettura resiliente agli attacchi informatici adottando una mentalità basata sulla «presunzione di violazione», ricorrendo alla microsegmentazione, ai diritti di accesso con deny-by-default «privilegio minimo» e effettuando ispezioni defense-in-depth approfondite e convalide continue, ove applicabile. | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato alla loro interfaccia di rete principale. | |
| Appendice 10 parte B - 1 (b) | Un istituto finanziario è incoraggiato ad adottare i principi zero-trust per fornire un'architettura resiliente agli attacchi informatici adottando una mentalità basata sulla «presunzione di violazione», defense-in-depth utilizzando la microsegmentazione, i diritti di accesso con «privilegio minimo» e conducendo ispezioni approfondite e deny-by-default convalide continue, ove applicabile. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (AmazonEC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| Appendice 10 parte B - 1 (b) | Un istituto finanziario è incoraggiato ad adottare i principi zero-trust per fornire un'architettura resiliente agli attacchi informatici adottando una mentalità basata sulla presunzione di violazione, sulla microsegmentazione, sui diritti di accesso con deny-by-default «privilegio minimo» e defense-in-depth effettuando ispezioni approfondite e convalide continue, ove applicabile. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (AmazonEC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni. | |
| Appendice 10 parte B - 1 (c) | Nella gestione della complessità dell'ambiente di rete cloud, un istituto finanziario deve utilizzare l'approccio all'architettura di rete più recente e un concetto e soluzioni di progettazione di rete appropriati per gestire e monitorare la sicurezza granulare della rete e il provisioning della rete centralizzata. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| Appendice 10 parte B - 1 (c) | Nella gestione della complessità dell'ambiente di rete cloud, un istituto finanziario deve utilizzare l'approccio all'architettura di rete più recente e un concetto e soluzioni di progettazione di rete appropriati per gestire e monitorare la sicurezza granulare della rete e il provisioning della rete centralizzata. | I log di VPC flusso forniscono registrazioni dettagliate per informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo Amazon Virtual Private Cloud (AmazonVPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| Appendice 10 parte B - 1 (d) | Un istituto finanziario deve stabilire e utilizzare canali di comunicazione sicuri e crittografati per la migrazione di server fisici, applicazioni o dati verso le piattaforme cloud. | Gestisci l'accesso al AWS cloud assicurando che le istanze di DMS replica non siano accessibili pubblicamente. DMSle istanze di replica possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| Appendice 10 parte B - 1 (d) | Un istituto finanziario deve stabilire e utilizzare canali di comunicazione sicuri e crittografati per la migrazione di server fisici, applicazioni o dati verso le piattaforme cloud. | Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste di utilizzo di Secure Socket Layer (). SSL Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| Appendice 10, parte B - 1 (f) i) | Il crescente utilizzo di interfacce di programmazione delle applicazioni (API) da parte degli istituti finanziari per l'interconnessione con fornitori di servizi applicativi esterni potrebbe aumentare l'efficienza nella fornitura di nuovi servizi. Tuttavia, ciò può aumentare la superficie degli attacchi informatici e una gestione per qualsiasi motivo errata può amplificare l'impatto di un incidente di sicurezza delle informazioni. Un ente finanziario dovrebbe garantire di essere soggetto a rigorosi meccanismi di gestione e controllo, tra cui: i) APIs dovrebbe essere progettato per garantire la resilienza del servizio per evitare il rischio di singoli punti di guasto e configurato in modo sicuro con adeguati controlli di accesso; APIs | Assicurati che la tua API route Amazon API Gateway v2 abbia un tipo di autorizzazione impostato per impedire l'accesso non autorizzato alle risorse di backend sottostanti. | |
| Appendice 10, parte B - 1 (f) ii) | Il crescente utilizzo di interfacce di programmazione delle applicazioni (API) da parte degli istituti finanziari per l'interconnessione con fornitori di servizi applicativi esterni potrebbe aumentare l'efficienza nella fornitura di nuovi servizi. Tuttavia, ciò può aumentare la superficie degli attacchi informatici e una gestione per qualsiasi motivo errata può amplificare l'impatto di un incidente di sicurezza delle informazioni. Un istituto finanziario dovrebbe garantire di essere soggetto a rigorosi meccanismi di gestione e controllo, tra cui: ii) APIs dovrebbe essere tracciato e monitorato contro gli attacchi informatici con adeguate misure di risposta agli incidenti e dovrebbe essere disattivato tempestivamente quando non è più in uso. APIs | AWS WAFconsente di configurare una serie di regole (denominate lista di controllo degli accessi Web (WebACL)) che consentono, bloccano o contano le richieste Web in base a regole e condizioni di sicurezza Web personalizzabili definite dall'utente. Assicurati che la tua fase Amazon API Gateway sia associata ACL a un WAF Web per proteggerla da attacchi dannosi | |
| Appendice 10, parte B - 1 (f) ii) | Il crescente utilizzo di interfacce di programmazione delle applicazioni (API) da parte degli istituti finanziari per l'interconnessione con fornitori di servizi applicativi esterni potrebbe aumentare l'efficienza nella fornitura di nuovi servizi. Tuttavia, ciò può aumentare la superficie degli attacchi informatici e una gestione per qualsiasi motivo errata può amplificare l'impatto di un incidente di sicurezza delle informazioni. Un istituto finanziario dovrebbe garantire di essere soggetto a rigorosi meccanismi di gestione e controllo, tra cui: ii) APIs dovrebbe essere tracciato e monitorato contro gli attacchi informatici con adeguate misure di risposta agli incidenti e dovrebbe essere disattivato tempestivamente quando non è più in uso. APIs | APILa registrazione del gateway mostra viste dettagliate degli utenti che hanno effettuato l'accesso API e il modo in cui hanno effettuato l'accesso a. API Queste informazioni offrono visibilità sulle attività degli utenti. | |
| Appendice 10 parte B - 2 (b) ii) | Un istituto finanziario deve sfruttare continuamente le funzionalità cloud avanzate per migliorare la sicurezza dei servizi cloud. Inoltre, tra le altre cose, gli istituti finanziari sono incoraggiati a: ii) utilizzare pratiche infrastrutturali immutabili per l'implementazione dei servizi e creare un nuovo ambiente con l'ultima versione stabile del software per ridurre il rischio di errori. Il monitoraggio continuo dell'ambiente cloud deve includere l'automazione del rilevamento delle modifiche all'infrastruttura immutabile per migliorare la revisione della conformità e combattere gli attacchi informatici in continua evoluzione | Per rilevare modifiche non intenzionali alle AWS risorse sottostanti, assicurati che lo CloudFormation stack sia configurato per inviare notifiche di eventi a un argomento AmazonSNS. | |
| Appendice 10 parte B - 3 (b) vi) | Un istituto finanziario deve garantire che le immagini delle macchine virtuali e dei container siano configurate, rafforzate e monitorate in modo appropriato. Ciò include quanto segue: vi) le immagini archiviate sono soggette a monitoraggio di sicurezza in caso di accessi e modifiche non autorizzati. | Questa regola aiuta a garantire l'uso delle migliori pratiche di sicurezza AWS consigliate per AWS CloudTrail, verificando l'abilitazione di più impostazioni. Queste includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione AWS CloudTrail in più aree. | |
| Appendice 10, parte B - 5 (a) i) | Nell'ambito di un'efficace capacità di ripristino, gli istituti finanziari devono garantire che le procedure di backup e ripristino esistenti siano estese ai servizi cloud, il che include quanto segue: i) definire e formalizzare la strategia di backup e ripristino nella fase di pianificazione dell'adozione del cloud; | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon Aurora facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| Appendice 10, parte B - 5 (a) i) | Nell'ambito di un'efficace capacità di ripristino, gli istituti finanziari devono garantire che le procedure di backup e ripristino esistenti siano estese ai servizi cloud, il che include quanto segue: i) definire e formalizzare la strategia di backup e ripristino nella fase di pianificazione dell'adozione del cloud; | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| Appendice 10, parte B - 5 (a) i) | Nell'ambito di un'efficace capacità di ripristino, gli istituti finanziari devono garantire che le procedure di backup e ripristino esistenti siano estese ai servizi cloud, il che include quanto segue: i) definire e formalizzare la strategia di backup e ripristino nella fase di pianificazione dell'adozione del cloud; | Per facilitare i processi di backup dei dati, assicurati che le risorse di Amazon Elastic Block Store (AmazonEBS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| Appendice 10, parte B - 5 (a) i) | Nell'ambito di un'efficace capacità di ripristino, gli istituti finanziari devono garantire che le procedure di backup e ripristino esistenti siano estese ai servizi cloud, il che include quanto segue: i) definire e formalizzare la strategia di backup e ripristino nella fase di pianificazione dell'adozione del cloud; | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (AmazonEFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| Appendice 10, parte B - 5 (a) i) | Nell'ambito di un'efficace capacità di ripristino, gli istituti finanziari devono garantire che le procedure di backup e ripristino esistenti siano estese ai servizi cloud, il che include quanto segue: i) definire e formalizzare la strategia di backup e ripristino nella fase di pianificazione dell'adozione del cloud; | Per facilitare i processi di backup dei dati, assicurati che le risorse di Amazon Relational Database Service (RDSAmazon) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| Appendice 10, parte B - 5 (a) i) | Nell'ambito di un'efficace capacità di ripristino, gli istituti finanziari devono garantire che le procedure di backup e ripristino esistenti siano estese ai servizi cloud, il che include quanto segue: i) definire e formalizzare la strategia di backup e ripristino nella fase di pianificazione dell'adozione del cloud; | Per facilitare i processi di backup dei dati, assicurati che i bucket Amazon Simple Storage Service (S3) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| Appendice 10 parte B - 5 (b) | Un istituto finanziario deve garantire che le procedure di backup e ripristino siano testate periodicamente per convalidare le capacità di ripristino. La frequenza delle procedure di backup deve essere commisurata alla criticità del sistema e all'obiettivo del punto di ripristino () del sistema. RPO L'istituto finanziario deve adottare tempestivamente le azioni correttive in caso di backup non riusciti. | Per facilitare i processi di backup dei dati, assicurati che il piano di AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Questa regola consente di impostare i parametri requiredFrequencyValue (Config default: 1), ( requiredRetentionDays Config default: 35) e ( requiredFrequencyUnit Config default: days). Il valore effettivo deve essere conforme ai requisiti dell'organizzazione. | |
| Appendice 10, parte B - 5 (c) i) | Un istituto finanziario dovrebbe garantire un backup e un ripristino sufficienti della macchina virtuale e del contenitore, comprese le impostazioni di configurazione del backup (per IaaS e PaaS, se del caso), che includono quanto segue: i) garantire la capacità di ripristinare una macchina virtuale e un contenitore secondo point-in-time quanto specificato dagli obiettivi di ripristino aziendali; | Per facilitare i processi di backup dei dati, assicurati che il piano di AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Questa regola consente di impostare i parametri requiredFrequencyValue (Config default: 1), ( requiredRetentionDays Config default: 35) e ( requiredFrequencyUnit Config default: days). Il valore effettivo deve essere conforme ai requisiti dell'organizzazione. | |
| Appendice 10, parte B - 5 (d) i) | Un istituto finanziario deve valutare i requisiti di resilienza dei servizi cloud e individuare misure appropriate commisurate alla criticità del sistema, per garantire la disponibilità del servizio in scenari estremamente avversi. Gli istituti finanziari devono prendere in considerazione un approccio basato sul rischio e adottare progressivamente controlli di mitigazione adeguati per garantire la disponibilità dei servizi e diminuire il rischio di concentrazione. Tra le opzioni praticabili vi sono: i) sfruttare le funzionalità di elevata disponibilità e ridondanza dei servizi cloud per garantire che data center di produzione abbiano capacità ridondante in diverse zone di disponibilità; | Per garantire un'elevata disponibilità, assicurati che il gruppo Auto Scaling sia configurato su più zone di disponibilità. | |
| Appendice 10, parte B - 5 (d) i) | Un istituto finanziario deve valutare i requisiti di resilienza dei servizi cloud e individuare misure appropriate commisurate alla criticità del sistema, per garantire la disponibilità del servizio in scenari estremamente avversi. Gli istituti finanziari devono prendere in considerazione un approccio basato sul rischio e adottare progressivamente controlli di mitigazione adeguati per garantire la disponibilità dei servizi e diminuire il rischio di concentrazione. Tra le opzioni praticabili vi sono: i) sfruttare le funzionalità di elevata disponibilità e ridondanza dei servizi cloud per garantire che data center di produzione abbiano capacità ridondante in diverse zone di disponibilità; | Elastic Load Balancing (ELB) distribuisce automaticamente il traffico in entrata su più destinazioni, come EC2 istanze, contenitori e indirizzi IP, in una zona di disponibilità. Per garantire un'elevata disponibilità, assicurati di aver registrato istanze ELB da più zone di disponibilità. | |
| Appendice 10, parte B - 5 (d) i) | Un istituto finanziario deve valutare i requisiti di resilienza dei servizi cloud e individuare misure appropriate commisurate alla criticità del sistema, per garantire la disponibilità del servizio in scenari estremamente avversi. Gli istituti finanziari devono prendere in considerazione un approccio basato sul rischio e adottare progressivamente controlli di mitigazione adeguati per garantire la disponibilità dei servizi e diminuire il rischio di concentrazione. Tra le opzioni praticabili vi sono: i) sfruttare le funzionalità di elevata disponibilità e ridondanza dei servizi cloud per garantire che data center di produzione abbiano capacità ridondante in diverse zone di disponibilità; | Se la tua funzione AWS Lambda è configurata per la connessione a un cloud privato virtuale (VPC) nel tuo account, implementa la funzione AWS Lambda in almeno due zone di disponibilità diverse per assicurarti che sia disponibile per elaborare gli eventi in caso di interruzione del servizio in una singola zona. | |
| Appendice 10, parte B - 5 (d) i) | Un istituto finanziario deve valutare i requisiti di resilienza dei servizi cloud e individuare misure appropriate commisurate alla criticità del sistema, per garantire la disponibilità del servizio in scenari estremamente avversi. Gli istituti finanziari devono prendere in considerazione un approccio basato sul rischio e adottare progressivamente controlli di mitigazione adeguati per garantire la disponibilità dei servizi e diminuire il rischio di concentrazione. Tra le opzioni praticabili vi sono: i) sfruttare le funzionalità di elevata disponibilità e ridondanza dei servizi cloud per garantire che data center di produzione abbiano capacità ridondante in diverse zone di disponibilità; | Abilita il bilanciamento del carico tra zone per i tuoi NetworkLoad Balancer (NLBs) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze. | |
| Appendice 10, parte B - 5 (d) i) | Un istituto finanziario deve valutare i requisiti di resilienza dei servizi cloud e individuare misure appropriate commisurate alla criticità del sistema, per garantire la disponibilità del servizio in scenari estremamente avversi. Gli istituti finanziari devono prendere in considerazione un approccio basato sul rischio e adottare progressivamente controlli di mitigazione adeguati per garantire la disponibilità dei servizi e diminuire il rischio di concentrazione. Tra le opzioni praticabili vi sono: i) sfruttare le funzionalità di elevata disponibilità e ridondanza dei servizi cloud per garantire che data center di produzione abbiano capacità ridondante in diverse zone di disponibilità; | I cluster Amazon Relational Database Service (RDSAmazon) devono avere la replica Multi-AZ abilitata per favorire la disponibilità dei dati archiviati. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico verso lo standby in modo da poter riprendere le operazioni del database non appena il failover è completo. | |
| Appendice 10, parte B - 5 (d) i) | Un istituto finanziario deve valutare i requisiti di resilienza dei servizi cloud e individuare misure appropriate commisurate alla criticità del sistema, per garantire la disponibilità del servizio in scenari estremamente avversi. Gli istituti finanziari devono prendere in considerazione un approccio basato sul rischio e adottare progressivamente controlli di mitigazione adeguati per garantire la disponibilità dei servizi e diminuire il rischio di concentrazione. Tra le opzioni praticabili vi sono: i) sfruttare le funzionalità di elevata disponibilità e ridondanza dei servizi cloud per garantire che data center di produzione abbiano capacità ridondante in diverse zone di disponibilità; | Il supporto Multi-AZ in Amazon Relational Database Service (RDSAmazon) offre disponibilità e durabilità avanzate per le istanze di database. Quando effettui il provisioning di un'istanza di database Multi-AZ, Amazon crea RDS automaticamente un'istanza di database principale e replica in modo sincrono i dati su un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico verso lo standby in modo da poter riprendere le operazioni del database non appena il failover è completo. | |
| Appendice 10 parte B - 8 (a) | Un istituto finanziario deve implementare tecniche di crittografia appropriate e pertinenti per proteggere la riservatezza e l'integrità dei dati sensibili archiviati nel cloud. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per la cache di API Gateway Stage. Poiché con questo API metodo è possibile acquisire dati sensibili, abilita la crittografia a riposo per proteggere tali dati. | |
| Appendice 10 parte B - 8 (a) | Un istituto finanziario deve implementare tecniche di crittografia appropriate e pertinenti per proteggere la riservatezza e l'integrità dei dati sensibili archiviati nel cloud. | Assicurati che la crittografia sia abilitata per i punti AWS di ripristino del Backup. Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| Appendice 10 parte B - 8 (a) | Un istituto finanziario deve implementare tecniche di crittografia appropriate e pertinenti per proteggere la riservatezza e l'integrità dei dati sensibili archiviati nel cloud. | Questa regola aiuta a garantire l'uso delle migliori pratiche di sicurezza AWS consigliate per AWS CloudTrail, verificando l'abilitazione di più impostazioni. Queste includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione AWS CloudTrail in più aree. | |
| Appendice 10 parte B - 8 (a) | Un istituto finanziario deve implementare tecniche di crittografia appropriate e pertinenti per proteggere la riservatezza e l'integrità dei dati sensibili archiviati nel cloud. | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi Amazon CloudWatch Log Groups. | |
| Appendice 10 parte B - 8 (a) | Un istituto finanziario deve implementare tecniche di crittografia appropriate e pertinenti per proteggere la riservatezza e l'integrità dei dati sensibili archiviati nel cloud. | Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Data la possibile presenza di dati sensibili a riposo in queste tabelle, abilita la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con AWS una chiave master del cliente di proprietà (). CMK | |
| Appendice 10 parte B - 8 (a) | Un istituto finanziario deve implementare tecniche di crittografia appropriate e pertinenti per proteggere la riservatezza e l'integrità dei dati sensibili archiviati nel cloud. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (AmazonEBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| Appendice 10 parte B - 8 (a) | Un istituto finanziario deve implementare tecniche di crittografia appropriate e pertinenti per proteggere la riservatezza e l'integrità dei dati sensibili archiviati nel cloud. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| Appendice 10 parte B - 8 (a) | Un istituto finanziario deve implementare tecniche di crittografia appropriate e pertinenti per proteggere la riservatezza e l'integrità dei dati sensibili archiviati nel cloud. | Per proteggere i dati archiviati, assicurati che i cluster Amazon Elastic Kubernetes Service EKS () siano configurati per crittografare i segreti Kubernetes. Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| Appendice 10 parte B - 8 (a) | Un istituto finanziario deve implementare tecniche di crittografia appropriate e pertinenti per proteggere la riservatezza e l'integrità dei dati sensibili archiviati nel cloud. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (AmazonEBS). | |
| Appendice 10 parte B - 8 (a) | Un istituto finanziario deve implementare tecniche di crittografia appropriate e pertinenti per proteggere la riservatezza e l'integrità dei dati sensibili archiviati nel cloud. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service. | |
| Appendice 10 parte B - 8 (a) | Un istituto finanziario deve implementare tecniche di crittografia appropriate e pertinenti per proteggere la riservatezza e l'integrità dei dati sensibili archiviati nel cloud. | Assicurati che la crittografia sia abilitata per le tue istantanee di Amazon Relational Database Service (RDSAmazon). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| Appendice 10 parte B - 8 (a) | Un istituto finanziario deve implementare tecniche di crittografia appropriate e pertinenti per proteggere la riservatezza e l'integrità dei dati sensibili archiviati nel cloud. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo cluster Amazon Redshift. Data la possibile presenza di dati sensibili a riposo nei cluster Redshift, abilita la crittografia a riposo per proteggere tali dati. | |
| Appendice 10 parte B - 8 (a) | Un istituto finanziario deve implementare tecniche di crittografia appropriate e pertinenti per proteggere la riservatezza e l'integrità dei dati sensibili archiviati nel cloud. | Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati. | |
| Appendice 10 parte B - 8 (a) | Un istituto finanziario deve implementare tecniche di crittografia appropriate e pertinenti per proteggere la riservatezza e l'integrità dei dati sensibili archiviati nel cloud. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per AWS i segreti di Secrets Manager. Data la possibile presenza di dati sensibili a riposo nei segreti di Secrets Manager, abilita la crittografia a riposo per proteggere tali dati. | |
| Appendice 10 parte B - 8 (a) | Un istituto finanziario deve implementare tecniche di crittografia appropriate e pertinenti per proteggere la riservatezza e l'integrità dei dati sensibili archiviati nel cloud. | Per proteggere i dati archiviati, assicurati che gli argomenti di Amazon Simple Notification Service (AmazonSNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Data la possibile presenza di dati sensibili a riposo nei messaggi pubblicati, abilita la crittografia a riposo per proteggere tali dati. | |
| Appendice 10 parte B - 8 (d) | Con la maggiore adozione del cloud, la gestione di molte chiavi di crittografia utilizzate per proteggere i dati è diventata più complessa e può porre gli istituti finanziari di fronte a nuove sfide. Un istituto finanziario deve adottare un approccio di gestione delle chiavi completo e centralizzato, che include l'uso di un sistema di gestione delle chiavi centralizzato in grado di gestire generazioni, archiviazione e distribuzione delle chiavi in modo sicuro e dimensionabile. | Abilita la rotazione delle chiavi per garantire che le chiavi vengano ruotate dopo aver raggiunto la fine del periodo crittografico. | |
| Appendice 10 parte B - 8 (d) | Con la maggiore adozione del cloud, la gestione di molte chiavi di crittografia utilizzate per proteggere i dati è diventata più complessa e può porre gli istituti finanziari di fronte a nuove sfide. Un istituto finanziario deve adottare un approccio di gestione delle chiavi completo e centralizzato, che include l'uso di un sistema di gestione delle chiavi centralizzato in grado di gestire generazioni, archiviazione e distribuzione delle chiavi in modo sicuro e dimensionabile. | Per proteggere i dati archiviati, assicurati che le chiavi master del cliente necessarie (CMKs) non siano pianificate per l'eliminazione in AWS Key Management Service ().AWS KMS Poiché a volte l'eliminazione delle chiavi è necessaria, questa regola può aiutare a verificare tutte le chiavi per le quali è pianificata l'eliminazione, nel caso in cui una chiave sia stata pianificata in modo non intenzionale. | |
| Appendice 10 parte B - 9 (a) ii) | Il piano di gestione costituisce una differenza fondamentale in termini di sicurezza tra l'infrastruttura tradizionale e il cloud computing, dove l'accesso remoto è supportato per impostazione predefinita. Questo livello di accesso potrebbe aprire la strada ad attacchi informatici e mettere così a rischio l'integrità dell'intera implementazione del cloud. In considerazione di ciò, gli istituti finanziari dovrebbero garantire l'uso di controlli rigorosi per l'accesso al piano di gestione, che possono includere quanto segue: ii) implementare il «privilegio minimo» e l'autenticazione a più fattori avanzata (MFA) ad esempio password complesse, soft token, strumento di gestione degli accessi privilegiati e funzioni maker-checker; | Le identità e le credenziali vengono emesse, gestite e verificate in base a una politica organizzativa in materia di password. IAM Soddisfano o superano i requisiti indicati dallo standard NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per IAMPolitica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| Appendice 10 parte B - 9 (a) ii) | Il piano di gestione costituisce una differenza fondamentale in termini di sicurezza tra l'infrastruttura tradizionale e il cloud computing, dove l'accesso remoto è supportato per impostazione predefinita. Questo livello di accesso potrebbe aprire la strada ad attacchi informatici e mettere così a rischio l'integrità dell'intera implementazione del cloud. In considerazione di ciò, gli istituti finanziari dovrebbero garantire l'uso di controlli rigorosi per l'accesso al piano di gestione, che possono includere quanto segue: ii) implementare il «privilegio minimo» e l'autenticazione a più fattori avanzata (MFA) ad esempio password complesse, soft token, strumento di gestione degli accessi privilegiati e funzioni maker-checker; | Abilita questa regola per limitare l'accesso alle risorse nel Cloud. AWS Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti IAM gli utenti. MFAaggiunge un ulteriore livello di protezione oltre a nome utente e password. Riduci gli incidenti dovuti agli account compromessi MFA richiedendo agli utenti. IAM | |
| Appendice 10 parte B - 9 (a) ii) | Il piano di gestione costituisce una differenza fondamentale in termini di sicurezza tra l'infrastruttura tradizionale e il cloud computing, dove l'accesso remoto è supportato per impostazione predefinita. Questo livello di accesso potrebbe aprire la strada ad attacchi informatici e mettere così a rischio l'integrità dell'intera implementazione del cloud. In considerazione di ciò, gli istituti finanziari dovrebbero garantire l'uso di controlli rigorosi per l'accesso al piano di gestione, che possono includere quanto segue: ii) implementare il «privilegio minimo» e l'autenticazione a più fattori avanzata (MFA) ad esempio password complesse, soft token, strumento di gestione degli accessi privilegiati e funzioni maker-checker; | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'hardware MFA sia abilitato per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di Account AWS compromissione. | |
| Appendice 10 parte B - 9 (a) ii) | Il piano di gestione costituisce una differenza fondamentale in termini di sicurezza tra l'infrastruttura tradizionale e il cloud computing, dove l'accesso remoto è supportato per impostazione predefinita. Questo livello di accesso potrebbe aprire la strada ad attacchi informatici e mettere così a rischio l'integrità dell'intera implementazione del cloud. In considerazione di ciò, gli istituti finanziari dovrebbero garantire l'uso di controlli rigorosi per l'accesso al piano di gestione, che possono includere quanto segue: ii) implementare il «privilegio minimo» e l'autenticazione a più fattori avanzata (MFA) ad esempio password complesse, soft token, strumenti di gestione degli accessi privilegiati e funzioni maker-checker; | Gestisci l'accesso alle risorse nel AWS Cloud assicurandoti MFA che sia abilitato per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di Account AWS compromissione. | |
| Appendice 10, parte B - 9 (a) iii) | Il piano di gestione costituisce una differenza fondamentale in termini di sicurezza tra l'infrastruttura tradizionale e il cloud computing, dove l'accesso remoto è supportato per impostazione predefinita. Questo livello di accesso potrebbe aprire la strada ad attacchi informatici e mettere così a rischio l'integrità dell'intera implementazione del cloud. In considerazione di ciò, gli istituti finanziari devono garantire l'applicazione di controlli rigorosi per l'accesso al piano di gestione, che possono includere quanto segue: iii) assegnazione granulare dei diritti per gli utenti privilegiati; | AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| Appendice 10, parte B - 9 (a) iii) | Il piano di gestione costituisce una differenza fondamentale in termini di sicurezza tra l'infrastruttura tradizionale e il cloud computing, dove l'accesso remoto è supportato per impostazione predefinita. Questo livello di accesso potrebbe aprire la strada ad attacchi informatici e mettere così a rischio l'integrità dell'intera implementazione del cloud. In considerazione di ciò, gli istituti finanziari devono garantire l'applicazione di controlli rigorosi per l'accesso al piano di gestione, che possono includere quanto segue: iii) assegnazione granulare dei diritti per gli utenti privilegiati; | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| Appendice 10, parte B - 9 (a) iv) | Il piano di gestione costituisce una differenza fondamentale in termini di sicurezza tra l'infrastruttura tradizionale e il cloud computing, dove l'accesso remoto è supportato per impostazione predefinita. Questo livello di accesso potrebbe aprire la strada ad attacchi informatici e mettere così a rischio l'integrità dell'intera implementazione del cloud. In considerazione di ciò, gli istituti finanziari devono garantire l'applicazione di controlli rigorosi per l'accesso al piano di gestione, che possono includere quanto segue: iv) monitoraggio continuo delle attività svolte dagli utenti privilegiati; | Questa regola aiuta a garantire l'uso delle migliori pratiche di sicurezza AWS consigliate per AWS CloudTrail, verificando l'abilitazione di più impostazioni. Queste includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione AWS CloudTrail in più aree. | |
| Appendice 10, parte B - 9 (a) iv) | Il piano di gestione costituisce una differenza fondamentale in termini di sicurezza tra l'infrastruttura tradizionale e il cloud computing, dove l'accesso remoto è supportato per impostazione predefinita. Questo livello di accesso potrebbe aprire la strada ad attacchi informatici e mettere così a rischio l'integrità dell'intera implementazione del cloud. In considerazione di ciò, gli istituti finanziari devono garantire l'applicazione di controlli rigorosi per l'accesso al piano di gestione, che possono includere quanto segue: iv) monitoraggio continuo delle attività svolte dagli utenti privilegiati; | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle API chiamate all'interno del tuo Account AWS. | |
| Appendice 10 parte B - 12 (a) | Un istituto finanziario deve proteggere i dati ospitati nei servizi cloud come richiesto nella sezione Prevenzione della perdita di dati (paragrafi da 11.14 a 11.16) del presente documento di policy, il che include l'espansione dell'impronta degli endpoint se l'istituto finanziario consente al personale di utilizzare i propri dispositivi per accedere ai dati sensibili. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| Appendice 10 parte B - 12 (a) | Un istituto finanziario deve proteggere i dati ospitati nei servizi cloud come richiesto nella sezione Prevenzione della perdita di dati (paragrafi da 11.14 a 11.16) del presente documento di policy, il che include l'espansione dell'impronta degli endpoint se l'istituto finanziario consente al personale di utilizzare i propri dispositivi per accedere ai dati sensibili. | Amazon Macie è un servizio di sicurezza dei dati che utilizza il machine learning (ML) e la corrispondenza di modelli per individuare e aiutare a proteggere i dati sensibili archiviati in Amazon Simple Storage Service (Amazon S3). | |
| Appendice 10, parte B - 14 (c) i) | Un istituto finanziario dovrebbe prendere in considerazione le seguenti misure aggiuntive nello sviluppo del proprio sistemaCIRP: i) potenziare la propria capacità di rilevare gli incidenti di violazione della sicurezza per ottenere una gestione efficace degli incidenti, compresa la capacità di rilevare la fuga di dati sul dark web; | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| Appendice 10, parte B - 14 (c) i) | Un istituto finanziario dovrebbe prendere in considerazione le seguenti misure aggiuntive nello sviluppo del proprio sistemaCIRP: i) potenziare la propria capacità di rilevare gli incidenti di violazione della sicurezza per ottenere una gestione efficace degli incidenti, compresa la capacità di rilevare la fuga di dati sul dark web; | Amazon ti GuardDuty aiuta a comprendere l'impatto di un incidente classificando i risultati in base alla gravità: bassa, media e alta. Puoi utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola consente di impostare facoltativamente daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) e daysHighSev (Config Default: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione. |
Modello
Il modello è disponibile su GitHub: Operational Best Practices for. BNM RMiT
