Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Best practice operative per il Canadian Centre for Cyber Security (CCCS) Medium Cloud Control Profile
I Conformance Pack forniscono un framework di conformità generico progettato per consentire di creare controlli di governance relativi alla sicurezza, all'operatività o all'ottimizzazione dei costi utilizzando regole gestite o personalizzate e azioni correttive. AWS Config AWS Config I pacchetti di conformità, in quanto modelli di esempio, non sono pensati per garantire la piena conformità a uno specifico standard di governance o conformità. È tua responsabilità valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.
Di seguito viene fornito un esempio di mappatura tra il Medium Cloud Control Profile del Canadian Centre for Cyber Security (CCCS) e le regole AWS Config gestite. Ogni regola Config si applica a una AWS risorsa specifica e si riferisce a uno o più controlli CCCS Medium Cloud Control Profile. Un controllo del profilo CCCS Medium Cloud Control può fare riferimento a più regole Config. Consulta la tabella seguente per maggiori dettagli e indicazioni relativi a queste mappature.
| ID controllo | Descrizione del controllo | AWS Regola di Config | Linea guida |
|---|---|---|---|
| CCCS-fPBMM-AC-2(1) | AC-2(1) Gestione degli account | Gestione automatizzata degli account di sistema | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-AC-2(1) | AC-2(1) Gestione degli account | Gestione automatizzata degli account di sistema | Assicurati che il metodo del servizio di metadati di istanza versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, puoi implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| CCCS-fPBMM-AC-2(1) | AC-2(1) Gestione degli account | Gestione automatizzata degli account di sistema | Se una definizione di attività ha privilegi elevati, significa che il cliente ha scelto specificamente di accedere a tali configurazioni. Questo controllo verifica l'aumento imprevisto dei privilegi quando la rete host prevede una definizione di attività ma il cliente non ha scelto privilegi elevati. | |
| CCCS-fPBMM-AC-2(1) | AC-2(1) Gestione degli account | Gestione automatizzata degli account di sistema | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| CCCS-fPBMM-AC-2(1) | AC-2(1) Gestione degli account | Gestione automatizzata degli account di sistema | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2(1) | AC-2(1) Gestione degli account | Gestione automatizzata degli account di sistema | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base ai permessi associati o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| CCCS-fPBMM-AC-2(1) | AC-2(1) Gestione degli account | Gestione automatizzata degli account di sistema | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2(1) | AC-2(1) Gestione degli account | Gestione automatizzata degli account di sistema | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| CCCS-fPBMM-AC-2(1) | AC-2(1) Gestione degli account | Gestione automatizzata degli account di sistema | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-2(1) | AC-2(1) Gestione degli account | Gestione automatizzata degli account di sistema | Assicurati che le azioni IAM siano limitate alle sole azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-2(1) | AC-2(1) Gestione degli account | Gestione automatizzata degli account di sistema | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| CCCS-fPBMM-AC-2(1) | AC-2(1) Gestione degli account | Gestione automatizzata degli account di sistema | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-2(1) | AC-2(1) Gestione degli account | Gestione automatizzata degli account di sistema | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| CCCS-fPBMM-AC-2(1) | AC-2(1) Gestione degli account | Gestione automatizzata degli account di sistema | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2(1) | AC-2(1) Gestione degli account | Gestione automatizzata degli account di sistema | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-AC-2(3) | AC-2(3) Gestione dell'account | Disabilitazione degli account inattivi | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti indicati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2(3) | AC-2(3) Gestione dell'account | Disabilitazione degli account inattivi | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2(4) | AC-2(4) Gestione degli account | Azioni di audit automatizzate | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| CCCS-fPBMM-AC-2(4) | AC-2(4) Gestione degli account | Azioni di audit automatizzate | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| CCCS-fPBMM-AC-2(4) | AC-2(4) Gestione degli account | Azioni di audit automatizzate | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-AC-2(4) | AC-2(4) Gestione degli account | Azioni di audit automatizzate | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-AC-2(4) | AC-2(4) Gestione degli account | Azioni di audit automatizzate | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| CCCS-fPBMM-AC-2(4) | AC-2(4) Gestione degli account | Azioni di audit automatizzate | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2(4) | AC-2(4) Gestione degli account | Azioni di audit automatizzate | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| CCCS-fPBMM-AC-2.A | AC-2.A Gestione degli account | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione e le chiamate API. AWS È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-AC-2.A | AC-2.A Gestione degli account | Assicurati che il metodo del servizio di metadati di istanza versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, puoi implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| CCCS-fPBMM-AC-2.A | AC-2.A Gestione degli account | Se una definizione di attività ha privilegi elevati, significa che il cliente ha scelto specificamente di accedere a tali configurazioni. Questo controllo verifica l'aumento imprevisto dei privilegi quando la rete host prevede una definizione di attività ma il cliente non ha scelto privilegi elevati. | |
| CCCS-fPBMM-AC-2.A | AC-2.A Gestione degli account | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| CCCS-fPBMM-AC-2.A | AC-2.A Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2.A | AC-2.A Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base ai permessi associati o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| CCCS-fPBMM-AC-2.A | AC-2.A Gestione degli account | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2.A | AC-2.A Gestione degli account | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| CCCS-fPBMM-AC-2.A | AC-2.A Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-2.A | AC-2.A Gestione degli account | Assicurati che le azioni IAM siano limitate alle sole azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-2.A | AC-2.A Gestione degli account | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| CCCS-fPBMM-AC-2.A | AC-2.A Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-2.A | AC-2.A Gestione degli account | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| CCCS-fPBMM-AC-2.A | AC-2.A Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2.A | AC-2.A Gestione degli account | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-AC-2.B | AC-2.B Gestione degli account | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-AC-2.B | AC-2.B Gestione degli account | Assicurati che il metodo del servizio di metadati di istanza versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, puoi implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| CCCS-fPBMM-AC-2.B | AC-2.B Gestione degli account | Se una definizione di attività ha privilegi elevati, significa che il cliente ha scelto specificamente di accedere a tali configurazioni. Questo controllo verifica l'aumento imprevisto dei privilegi quando la rete host prevede una definizione di attività ma il cliente non ha scelto privilegi elevati. | |
| CCCS-fPBMM-AC-2.B | AC-2.B Gestione degli account | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| CCCS-fPBMM-AC-2.B | AC-2.B Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2.B | AC-2.B Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base ai permessi associati o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| CCCS-fPBMM-AC-2.B | AC-2.B Gestione degli account | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2.B | AC-2.B Gestione degli account | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| CCCS-fPBMM-AC-2.B | AC-2.B Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-2.B | AC-2.B Gestione degli account | Assicurati che le azioni IAM siano limitate alle sole azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-2.B | AC-2.B Gestione degli account | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| CCCS-fPBMM-AC-2.B | AC-2.B Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-2.B | AC-2.B Gestione degli account | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| CCCS-fPBMM-AC-2.B | AC-2.B Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2.B | AC-2.B Gestione degli account | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-AC-2.C | AC-2.C Gestione degli account | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-AC-2.C | AC-2.C Gestione degli account | Assicurati che il metodo del servizio di metadati di istanza versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, puoi implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| CCCS-fPBMM-AC-2.C | AC-2.C Gestione degli account | Se una definizione di attività ha privilegi elevati, significa che il cliente ha scelto specificamente di accedere a tali configurazioni. Questo controllo verifica l'aumento imprevisto dei privilegi quando la rete host prevede una definizione di attività ma il cliente non ha scelto privilegi elevati. | |
| CCCS-fPBMM-AC-2.C | AC-2.C Gestione degli account | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| CCCS-fPBMM-AC-2.C | AC-2.C Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2.C | AC-2.C Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base ai permessi associati o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| CCCS-fPBMM-AC-2.C | AC-2.C Gestione degli account | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2.C | AC-2.C Gestione degli account | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| CCCS-fPBMM-AC-2.C | AC-2.C Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-2.C | AC-2.C Gestione degli account | Assicurati che le azioni IAM siano limitate alle sole azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-2.C | AC-2.C Gestione degli account | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| CCCS-fPBMM-AC-2.C | AC-2.C Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-2.C | AC-2.C Gestione degli account | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| CCCS-fPBMM-AC-2.C | AC-2.C Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2.C | AC-2.C Gestione degli account | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-AC-2.D | AC-2.D Gestione degli account | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-AC-2.D | AC-2.D Gestione degli account | Assicurati che il metodo del servizio di metadati di istanza versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, puoi implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| CCCS-fPBMM-AC-2.D | AC-2.D Gestione degli account | Se una definizione di attività ha privilegi elevati, significa che il cliente ha scelto specificamente di accedere a tali configurazioni. Questo controllo verifica l'aumento imprevisto dei privilegi quando la rete host prevede una definizione di attività ma il cliente non ha scelto privilegi elevati. | |
| CCCS-fPBMM-AC-2.D | AC-2.D Gestione degli account | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| CCCS-fPBMM-AC-2.D | AC-2.D Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2.D | AC-2.D Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base ai permessi associati o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| CCCS-fPBMM-AC-2.D | AC-2.D Gestione degli account | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2.D | AC-2.D Gestione degli account | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| CCCS-fPBMM-AC-2.D | AC-2.D Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-2.D | AC-2.D Gestione degli account | Assicurati che le azioni IAM siano limitate alle sole azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-2.D | AC-2.D Gestione degli account | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| CCCS-fPBMM-AC-2.D | AC-2.D Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-2.D | AC-2.D Gestione degli account | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| CCCS-fPBMM-AC-2.D | AC-2.D Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2.D | AC-2.D Gestione degli account | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-AC-2.E | AC-2.E Gestione degli account | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-AC-2.E | AC-2.E Gestione degli account | Assicurati che il metodo del servizio di metadati di istanza versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, puoi implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| CCCS-fPBMM-AC-2.E | AC-2.E Gestione degli account | Se una definizione di attività ha privilegi elevati, significa che il cliente ha scelto specificamente di accedere a tali configurazioni. Questo controllo verifica l'aumento imprevisto dei privilegi quando la rete host prevede una definizione di attività ma il cliente non ha scelto privilegi elevati. | |
| CCCS-fPBMM-AC-2.E | AC-2.E Gestione degli account | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| CCCS-fPBMM-AC-2.E | AC-2.E Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2.E | AC-2.E Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base ai permessi associati o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| CCCS-fPBMM-AC-2.E | AC-2.E Gestione degli account | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2.E | AC-2.E Gestione degli account | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| CCCS-fPBMM-AC-2.E | AC-2.E Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-2.E | AC-2.E Gestione degli account | Assicurati che le azioni IAM siano limitate alle sole azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-2.E | AC-2.E Gestione degli account | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| CCCS-fPBMM-AC-2.E | AC-2.E Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-2.E | AC-2.E Gestione degli account | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| CCCS-fPBMM-AC-2.E | AC-2.E Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2.E | AC-2.E Gestione degli account | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-AC-2.F | AC-2.F Gestione degli account | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-AC-2.F | AC-2.F Gestione degli account | Assicurati che il metodo del servizio di metadati di istanza versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, puoi implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| CCCS-fPBMM-AC-2.F | AC-2.F Gestione degli account | Se una definizione di attività ha privilegi elevati, significa che il cliente ha scelto specificamente di accedere a tali configurazioni. Questo controllo verifica l'aumento imprevisto dei privilegi quando la rete host prevede una definizione di attività ma il cliente non ha scelto privilegi elevati. | |
| CCCS-fPBMM-AC-2.F | AC-2.F Gestione degli account | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| CCCS-fPBMM-AC-2.F | AC-2.F Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2.F | AC-2.F Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base ai permessi associati o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| CCCS-fPBMM-AC-2.F | AC-2.F Gestione degli account | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2.F | AC-2.F Gestione degli account | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| CCCS-fPBMM-AC-2.F | AC-2.F Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-2.F | AC-2.F Gestione degli account | Assicurati che le azioni IAM siano limitate alle sole azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-2.F | AC-2.F Gestione degli account | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| CCCS-fPBMM-AC-2.F | AC-2.F Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-2.F | AC-2.F Gestione degli account | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| CCCS-fPBMM-AC-2.F | AC-2.F Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2.F | AC-2.F Gestione degli account | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-AC-2.G | AC-2.G Gestione degli account | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-AC-2.G | AC-2.G Gestione degli account | Assicurati che il metodo del servizio di metadati di istanza versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, puoi implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| CCCS-fPBMM-AC-2.G | AC-2.G Gestione degli account | Se una definizione di attività ha privilegi elevati, significa che il cliente ha scelto specificamente di accedere a tali configurazioni. Questo controllo verifica l'aumento imprevisto dei privilegi quando la rete host prevede una definizione di attività ma il cliente non ha scelto privilegi elevati. | |
| CCCS-fPBMM-AC-2.G | AC-2.G Gestione degli account | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| CCCS-fPBMM-AC-2.G | AC-2.G Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2.G | AC-2.G Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base ai permessi associati o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| CCCS-fPBMM-AC-2.G | AC-2.G Gestione degli account | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2.G | AC-2.G Gestione degli account | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| CCCS-fPBMM-AC-2.G | AC-2.G Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-2.G | AC-2.G Gestione degli account | Assicurati che le azioni IAM siano limitate alle sole azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-2.G | AC-2.G Gestione degli account | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| CCCS-fPBMM-AC-2.G | AC-2.G Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-2.G | AC-2.G Gestione degli account | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| CCCS-fPBMM-AC-2.G | AC-2.G Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2.G | AC-2.G Gestione degli account | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-AC-2.H | AC-2.H Gestione degli account | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-AC-2.H | AC-2.H Gestione degli account | Assicurati che il metodo del servizio di metadati di istanza versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, puoi implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| CCCS-fPBMM-AC-2.H | AC-2.H Gestione degli account | Se una definizione di attività ha privilegi elevati, significa che il cliente ha scelto specificamente di accedere a tali configurazioni. Questo controllo verifica l'aumento imprevisto dei privilegi quando la rete host prevede una definizione di attività ma il cliente non ha scelto privilegi elevati. | |
| CCCS-fPBMM-AC-2.H | AC-2.H Gestione degli account | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| CCCS-fPBMM-AC-2.H | AC-2.H Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2.H | AC-2.H Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base ai permessi associati o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| CCCS-fPBMM-AC-2.H | AC-2.H Gestione degli account | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2.H | AC-2.H Gestione degli account | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| CCCS-fPBMM-AC-2.H | AC-2.H Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-2.H | AC-2.H Gestione degli account | Assicurati che le azioni IAM siano limitate alle sole azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-2.H | AC-2.H Gestione degli account | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| CCCS-fPBMM-AC-2.H | AC-2.H Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-2.H | AC-2.H Gestione degli account | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| CCCS-fPBMM-AC-2.H | AC-2.H Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2.H | AC-2.H Gestione degli account | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-AC-2.I | AC-2.I Gestione degli account | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-AC-2.I | AC-2.I Gestione degli account | Assicurati che il metodo del servizio di metadati di istanza versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, puoi implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| CCCS-fPBMM-AC-2.I | AC-2.I Gestione degli account | Se una definizione di attività ha privilegi elevati, significa che il cliente ha scelto specificamente di accedere a tali configurazioni. Questo controllo verifica l'aumento imprevisto dei privilegi quando la rete host prevede una definizione di attività ma il cliente non ha scelto privilegi elevati. | |
| CCCS-fPBMM-AC-2.I | AC-2.I Gestione degli account | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| CCCS-fPBMM-AC-2.I | AC-2.I Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2.I | AC-2.I Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base ai permessi associati o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| CCCS-fPBMM-AC-2.I | AC-2.I Gestione degli account | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2.I | AC-2.I Gestione degli account | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| CCCS-fPBMM-AC-2.I | AC-2.I Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-2.I | AC-2.I Gestione degli account | Assicurati che le azioni IAM siano limitate alle sole azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-2.I | AC-2.I Gestione degli account | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| CCCS-fPBMM-AC-2.I | AC-2.I Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-2.I | AC-2.I Gestione degli account | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| CCCS-fPBMM-AC-2.I | AC-2.I Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2.I | AC-2.I Gestione degli account | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-AC-2.J | AC-2.J Gestione degli account | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-AC-2.J | AC-2.J Gestione degli account | Assicurati che il metodo del servizio di metadati di istanza versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, puoi implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| CCCS-fPBMM-AC-2.J | AC-2.J Gestione degli account | Se una definizione di attività ha privilegi elevati, significa che il cliente ha scelto specificamente di accedere a tali configurazioni. Questo controllo verifica l'aumento imprevisto dei privilegi quando la rete host prevede una definizione di attività ma il cliente non ha scelto privilegi elevati. | |
| CCCS-fPBMM-AC-2.J | AC-2.J Gestione degli account | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| CCCS-fPBMM-AC-2.J | AC-2.J Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2.J | AC-2.J Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base ai permessi associati o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| CCCS-fPBMM-AC-2.J | AC-2.J Gestione degli account | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2.J | AC-2.J Gestione degli account | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| CCCS-fPBMM-AC-2.J | AC-2.J Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-2.J | AC-2.J Gestione degli account | Assicurati che le azioni IAM siano limitate alle sole azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-2.J | AC-2.J Gestione degli account | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| CCCS-fPBMM-AC-2.J | AC-2.J Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-2.J | AC-2.J Gestione degli account | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| CCCS-fPBMM-AC-2.J | AC-2.J Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2.J | AC-2.J Gestione degli account | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-AC-2.K | AC-2.K Gestione degli account | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-AC-2.K | AC-2.K Gestione degli account | Assicurati che il metodo del servizio di metadati di istanza versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, puoi implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| CCCS-fPBMM-AC-2.K | AC-2.K Gestione degli account | Se una definizione di attività ha privilegi elevati, significa che il cliente ha scelto specificamente di accedere a tali configurazioni. Questo controllo verifica l'aumento imprevisto dei privilegi quando la rete host prevede una definizione di attività ma il cliente non ha scelto privilegi elevati. | |
| CCCS-fPBMM-AC-2.K | AC-2.K Gestione degli account | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| CCCS-fPBMM-AC-2.K | AC-2.K Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2.K | AC-2.K Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base ai permessi associati o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| CCCS-fPBMM-AC-2.K | AC-2.K Gestione degli account | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2.K | AC-2.K Gestione degli account | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| CCCS-fPBMM-AC-2.K | AC-2.K Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-2.K | AC-2.K Gestione degli account | Assicurati che le azioni IAM siano limitate alle sole azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-2.K | AC-2.K Gestione degli account | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| CCCS-fPBMM-AC-2.K | AC-2.K Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-2.K | AC-2.K Gestione degli account | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| CCCS-fPBMM-AC-2.K | AC-2.K Gestione degli account | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-AC-2.K | AC-2.K Gestione degli account | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-AC-3.A | AC-3.A Applicazione degli accessi | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-3.A | AC-3.A Applicazione degli accessi | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-3.A | AC-3.A Applicazione degli accessi | Assicurati che il metodo del servizio di metadati di istanza versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, puoi implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| CCCS-fPBMM-AC-3.A | AC-3.A Applicazione degli accessi | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-3.A | AC-3.A Applicazione degli accessi | Se una definizione di attività ha privilegi elevati, significa che il cliente ha scelto specificamente di accedere a tali configurazioni. Questo controllo verifica l'aumento imprevisto dei privilegi quando la rete host prevede una definizione di attività ma il cliente non ha scelto privilegi elevati. | |
| CCCS-fPBMM-AC-3.A | AC-3.A Applicazione degli accessi | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| CCCS-fPBMM-AC-3.A | AC-3.A Applicazione degli accessi | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| CCCS-fPBMM-AC-3.A | AC-3.A Applicazione degli accessi | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-3.A | AC-3.A Applicazione degli accessi | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-3.A | AC-3.A Applicazione degli accessi | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base ai permessi associati o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| CCCS-fPBMM-AC-3.A | AC-3.A Applicazione degli accessi | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-3.A | AC-3.A Applicazione degli accessi | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| CCCS-fPBMM-AC-3.A | AC-3.A Applicazione degli accessi | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-3.A | AC-3.A Applicazione degli accessi | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-3.A | AC-3.A Applicazione degli accessi | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS . Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti dovuti alla compromissione degli account richiedendo l'autenticazione a più fattori per gli utenti. | |
| CCCS-fPBMM-AC-3.A | AC-3.A Applicazione degli accessi | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| CCCS-fPBMM-AC-3.A | AC-3.A Applicazione degli accessi | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-AC-3.A | AC-3.A Applicazione degli accessi | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| CCCS-fPBMM-AC-3.A | AC-3.A Applicazione degli accessi | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| CCCS-fPBMM-AC-3.A | AC-3.A Applicazione degli accessi | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Questa configurazione non richiede un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| CCCS-fPBMM-AC-3.A | AC-3.A Applicazione degli accessi | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| CCCS-fPBMM-AC-3.A | AC-3.A Applicazione degli accessi | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| CCCS-fPBMM-AC-3.A | AC-3.A Applicazione degli accessi | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-3.A | AC-3.A Applicazione degli accessi | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-3.A | AC-3.A Applicazione degli accessi | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-3.A | AC-3.A Applicazione degli accessi | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| CCCS-fPBMM-AC-3.A | AC-3.A Applicazione degli accessi | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-3.A | AC-3.A Applicazione degli accessi | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| CCCS-fPBMM-AC-3.A | AC-3.A Applicazione degli accessi | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-AC-3.A | AC-3.A Applicazione degli accessi | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-AC-3.A | AC-3.A Applicazione degli accessi | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| CCCS-fPBMM-AC-3.A | AC-3.A Applicazione degli accessi | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| CCCS-fPBMM-AC-4(21) | AC-4(21) Applicazione del flusso di informazioni | Separazione fisica o logica dei flussi di informazioni | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-AC-4(21) | AC-4(21) Applicazione del flusso di informazioni | Separazione fisica o logica dei flussi di informazioni | Assicurati che le fasi REST API del Gateway Amazon API siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare la provenienza delle richieste dal Gateway API. | |
| CCCS-fPBMM-AC-4(21) | AC-4(21) Applicazione del flusso di informazioni | Separazione fisica o logica dei flussi di informazioni | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-AC-4(21) | AC-4(21) Applicazione del flusso di informazioni | Separazione fisica o logica dei flussi di informazioni | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| CCCS-fPBMM-AC-4(21) | AC-4(21) Applicazione del flusso di informazioni | Separazione fisica o logica dei flussi di informazioni | Per proteggere i dati in transito, assicurati che gli ascoltatori SSL Classic Elastic Load Balancing utilizzino una policy di sicurezza predefinita. Elastic Load Balancing fornisce configurazioni di negoziazione SSL predefinite, che vengono utilizzate per la negoziazione SSL quando viene stabilita una connessione tra un client e il load balancer. Le configurazioni di negoziazione SSL garantiscono la compatibilità con un'ampia gamma di client e utilizzano algoritmi di crittografia altamente sicuri. Questa regola richiede l'impostazione di una policy di sicurezza predefinita per gli ascoltatori SSL. La politica di sicurezza predefinita è: ELB -TLS-1-2-2017-0. SecurityPolicy Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-AC-4(21) | AC-4(21) Applicazione del flusso di informazioni | Separazione fisica o logica dei flussi di informazioni | Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-AC-4(21) | AC-4(21) Applicazione del flusso di informazioni | Separazione fisica o logica dei flussi di informazioni | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-AC-4(21) | AC-4(21) Applicazione del flusso di informazioni | Separazione fisica o logica dei flussi di informazioni | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-AC-4(21) | AC-4(21) Applicazione del flusso di informazioni | Separazione fisica o logica dei flussi di informazioni | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-AC-4.A | AC-4.A Applicazione del flusso di informazioni | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-AC-4.A | AC-4.A Applicazione del flusso di informazioni | Assicurati che le fasi REST API del Gateway Amazon API siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare la provenienza delle richieste dal Gateway API. | |
| CCCS-fPBMM-AC-4.A | AC-4.A Applicazione del flusso di informazioni | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-4.A | AC-4.A Applicazione del flusso di informazioni | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-4.A | AC-4.A Applicazione del flusso di informazioni | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-4.A | AC-4.A Applicazione del flusso di informazioni | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| CCCS-fPBMM-AC-4.A | AC-4.A Applicazione del flusso di informazioni | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-AC-4.A | AC-4.A Applicazione del flusso di informazioni | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| CCCS-fPBMM-AC-4.A | AC-4.A Applicazione del flusso di informazioni | Per proteggere i dati in transito, assicurati che gli ascoltatori SSL Classic Elastic Load Balancing utilizzino una policy di sicurezza predefinita. Elastic Load Balancing fornisce configurazioni di negoziazione SSL predefinite, che vengono utilizzate per la negoziazione SSL quando viene stabilita una connessione tra un client e il load balancer. Le configurazioni di negoziazione SSL garantiscono la compatibilità con un'ampia gamma di client e utilizzano algoritmi di crittografia altamente sicuri. Questa regola richiede l'impostazione di una policy di sicurezza predefinita per gli ascoltatori SSL. La politica di sicurezza predefinita è: ELB -TLS-1-2-2017-0. SecurityPolicy Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-AC-4.A | AC-4.A Applicazione del flusso di informazioni | Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-AC-4.A | AC-4.A Applicazione del flusso di informazioni | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-4.A | AC-4.A Applicazione del flusso di informazioni | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| CCCS-fPBMM-AC-4.A | AC-4.A Applicazione del flusso di informazioni | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) in un Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| CCCS-fPBMM-AC-4.A | AC-4.A Applicazione del flusso di informazioni | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| CCCS-fPBMM-AC-4.A | AC-4.A Applicazione del flusso di informazioni | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| CCCS-fPBMM-AC-4.A | AC-4.A Applicazione del flusso di informazioni | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Questa configurazione non richiede un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| CCCS-fPBMM-AC-4.A | AC-4.A Applicazione del flusso di informazioni | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-AC-4.A | AC-4.A Applicazione del flusso di informazioni | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-4.A | AC-4.A Applicazione del flusso di informazioni | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-4.A | AC-4.A Applicazione del flusso di informazioni | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-4.A | AC-4.A Applicazione del flusso di informazioni | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-AC-4.A | AC-4.A Applicazione del flusso di informazioni | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-4.A | AC-4.A Applicazione del flusso di informazioni | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-4.A | AC-4.A Applicazione del flusso di informazioni | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| CCCS-fPBMM-AC-4.A | AC-4.A Applicazione del flusso di informazioni | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-AC-4.A | AC-4.A Applicazione del flusso di informazioni | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-AC-4.A | AC-4.A Applicazione del flusso di informazioni | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-AC-4.A | AC-4.A Applicazione del flusso di informazioni | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| CCCS-fPBMM-AC-4.A | AC-4.A Applicazione del flusso di informazioni | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| CCCS-fPBMM-AC-4.A | AC-4.A Applicazione del flusso di informazioni | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| CCCS-fPBMM-AC-4.A | AC-4.A Applicazione del flusso di informazioni | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni. | |
| CCCS-fPBMM-AC-5.A | AC-5.A Separazione dei compiti | Se una definizione di attività ha privilegi elevati, significa che il cliente ha scelto specificamente di accedere a tali configurazioni. Questo controllo verifica l'aumento imprevisto dei privilegi quando la rete host prevede una definizione di attività ma il cliente non ha scelto privilegi elevati. | |
| CCCS-fPBMM-AC-5.A | AC-5.A Separazione dei compiti | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| CCCS-fPBMM-AC-5.A | AC-5.A Separazione dei compiti | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-5.A | AC-5.A Separazione dei compiti | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-5.A | AC-5.A Separazione dei compiti | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-6(1) | AC-6(1) Privilegio minimo | Autorizzazione dell'accesso alle funzioni di sicurezza | Se una definizione di attività ha privilegi elevati, significa che il cliente ha scelto specificamente di accedere a tali configurazioni. Questo controllo verifica l'aumento imprevisto dei privilegi quando la rete host prevede una definizione di attività ma il cliente non ha scelto privilegi elevati. | |
| CCCS-fPBMM-AC-6(1) | AC-6(1) Privilegio minimo | Autorizzazione dell'accesso alle funzioni di sicurezza | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-6(1) | AC-6(1) Privilegio minimo | Autorizzazione dell'accesso alle funzioni di sicurezza | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS . Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti dovuti alla compromissione degli account richiedendo l'autenticazione a più fattori per gli utenti. | |
| CCCS-fPBMM-AC-6(1) | AC-6(1) Privilegio minimo | Autorizzazione dell'accesso alle funzioni di sicurezza | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| CCCS-fPBMM-AC-6(1) | AC-6(1) Privilegio minimo | Autorizzazione dell'accesso alle funzioni di sicurezza | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| CCCS-fPBMM-AC-6(2) | AC-6(2) Privilegio minimo | Accesso senza privilegi per funzioni non legate alla sicurezza | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-6(2) | AC-6(2) Privilegio minimo | Accesso senza privilegi per funzioni non legate alla sicurezza | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| CCCS-fPBMM-AC-6(2) | AC-6(2) Privilegio minimo | Accesso senza privilegi per funzioni non legate alla sicurezza | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS . Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti dovuti alla compromissione degli account richiedendo l'autenticazione a più fattori per gli utenti. | |
| CCCS-fPBMM-AC-6(2) | AC-6(2) Privilegio minimo | Accesso senza privilegi per funzioni non legate alla sicurezza | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| CCCS-fPBMM-AC-6(2) | AC-6(2) Privilegio minimo | Accesso senza privilegi per funzioni non legate alla sicurezza | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| CCCS-fPBMM-AC-6(5) | AC-6(5) Privilegio minimo | Account con privilegi | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-6(5) | AC-6(5) Privilegio minimo | Account con privilegi | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS . Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti dovuti alla compromissione degli account richiedendo l'autenticazione a più fattori per gli utenti. | |
| CCCS-fPBMM-AC-6(5) | AC-6(5) Privilegio minimo | Account con privilegi | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| CCCS-fPBMM-AC-6(5) | AC-6(5) Privilegio minimo | Account con privilegi | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| CCCS-fPBMM-AC-6(9) | AC-6(9) Privilegio minimo | Audit dell'utilizzo delle funzioni con privilegi | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| CCCS-fPBMM-AC-6(9) | AC-6(9) Privilegio minimo | Audit dell'utilizzo delle funzioni con privilegi | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| CCCS-fPBMM-AC-6(9) | AC-6(9) Privilegio minimo | Audit dell'utilizzo delle funzioni con privilegi | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-AC-6(9) | AC-6(9) Privilegio minimo | Audit dell'utilizzo delle funzioni con privilegi | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-AC-6(9) | AC-6(9) Privilegio minimo | Audit dell'utilizzo delle funzioni con privilegi | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| CCCS-fPBMM-AC-6(9) | AC-6(9) Privilegio minimo | Audit dell'utilizzo delle funzioni con privilegi | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-6(9) | AC-6(9) Privilegio minimo | Audit dell'utilizzo delle funzioni con privilegi | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| CCCS-fPBMM-AC-6(10) | AC-6(10) Privilegio minimo | Divieto per gli utenti senza privilegi di eseguire funzioni con privilegi | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-6(10) | AC-6(10) Privilegio minimo | Divieto per gli utenti senza privilegi di eseguire funzioni con privilegi | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| CCCS-fPBMM-AC-6(10) | AC-6(10) Privilegio minimo | Divieto per gli utenti senza privilegi di eseguire funzioni con privilegi | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS . Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti dovuti alla compromissione degli account richiedendo l'autenticazione a più fattori per gli utenti. | |
| CCCS-fPBMM-AC-6(10) | AC-6(10) Privilegio minimo | Divieto per gli utenti senza privilegi di eseguire funzioni con privilegi | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| CCCS-fPBMM-AC-6(10) | AC-6(10) Privilegio minimo | Divieto per gli utenti senza privilegi di eseguire funzioni con privilegi | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| CCCS-fPBMM-AC-6.A | AC-6.A Privilegio minimo | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-6.A | AC-6.A Privilegio minimo | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-6.A | AC-6.A Privilegio minimo | Assicurati che il metodo del servizio di metadati di istanza versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, puoi implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| CCCS-fPBMM-AC-6.A | AC-6.A Privilegio minimo | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-6.A | AC-6.A Privilegio minimo | Se una definizione di attività ha privilegi elevati, significa che il cliente ha scelto specificamente di accedere a tali configurazioni. Questo controllo verifica l'aumento imprevisto dei privilegi quando la rete host prevede una definizione di attività ma il cliente non ha scelto privilegi elevati. | |
| CCCS-fPBMM-AC-6.A | AC-6.A Privilegio minimo | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| CCCS-fPBMM-AC-6.A | AC-6.A Privilegio minimo | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| CCCS-fPBMM-AC-6.A | AC-6.A Privilegio minimo | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-6.A | AC-6.A Privilegio minimo | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-6.A | AC-6.A Privilegio minimo | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base ai permessi associati o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| CCCS-fPBMM-AC-6.A | AC-6.A Privilegio minimo | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-6.A | AC-6.A Privilegio minimo | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| CCCS-fPBMM-AC-6.A | AC-6.A Privilegio minimo | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-6.A | AC-6.A Privilegio minimo | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| CCCS-fPBMM-AC-6.A | AC-6.A Privilegio minimo | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-AC-6.A | AC-6.A Privilegio minimo | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| CCCS-fPBMM-AC-6.A | AC-6.A Privilegio minimo | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-AC-6.A | AC-6.A Privilegio minimo | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) in un Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| CCCS-fPBMM-AC-6.A | AC-6.A Privilegio minimo | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| CCCS-fPBMM-AC-6.A | AC-6.A Privilegio minimo | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| CCCS-fPBMM-AC-6.A | AC-6.A Privilegio minimo | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Questa configurazione non richiede un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| CCCS-fPBMM-AC-6.A | AC-6.A Privilegio minimo | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| CCCS-fPBMM-AC-6.A | AC-6.A Privilegio minimo | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-6.A | AC-6.A Privilegio minimo | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-6.A | AC-6.A Privilegio minimo | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-6.A | AC-6.A Privilegio minimo | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-6.A | AC-6.A Privilegio minimo | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| CCCS-fPBMM-AC-6.A | AC-6.A Privilegio minimo | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-AC-6.A | AC-6.A Privilegio minimo | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-AC-6.A | AC-6.A Privilegio minimo | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| CCCS-fPBMM-AC-6.A | AC-6.A Privilegio minimo | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| CCCS-fPBMM-AC-17(1) | AC-17(1) Accesso remoto | Monitoraggio/controllo automatizzati | Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. | |
| CCCS-fPBMM-AC-17(1) | AC-17(1) Accesso remoto | Monitoraggio/controllo automatizzati | La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti. | |
| CCCS-fPBMM-AC-17(1) | AC-17(1) Accesso remoto | Monitoraggio/controllo automatizzati | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| CCCS-fPBMM-AC-17(1) | AC-17(1) Accesso remoto | Monitoraggio/controllo automatizzati | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-AC-17(1) | AC-17(1) Accesso remoto | Monitoraggio/controllo automatizzati | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-17(1) | AC-17(1) Accesso remoto | Monitoraggio/controllo automatizzati | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-17(1) | AC-17(1) Accesso remoto | Monitoraggio/controllo automatizzati | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-17(1) | AC-17(1) Accesso remoto | Monitoraggio/controllo automatizzati | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| CCCS-fPBMM-AC-17(1) | AC-17(1) Accesso remoto | Monitoraggio/controllo automatizzati | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| CCCS-fPBMM-AC-17(1) | AC-17(1) Accesso remoto | Monitoraggio/controllo automatizzati | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-17(1) | AC-17(1) Accesso remoto | Monitoraggio/controllo automatizzati | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-AC-17(1) | AC-17(1) Accesso remoto | Monitoraggio/controllo automatizzati | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| CCCS-fPBMM-AC-17(1) | AC-17(1) Accesso remoto | Monitoraggio/controllo automatizzati | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) in un Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| CCCS-fPBMM-AC-17(1) | AC-17(1) Accesso remoto | Monitoraggio/controllo automatizzati | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| CCCS-fPBMM-AC-17(1) | AC-17(1) Accesso remoto | Monitoraggio/controllo automatizzati | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| CCCS-fPBMM-AC-17(1) | AC-17(1) Accesso remoto | Monitoraggio/controllo automatizzati | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Questa configurazione non richiede un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| CCCS-fPBMM-AC-17(1) | AC-17(1) Accesso remoto | Monitoraggio/controllo automatizzati | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| CCCS-fPBMM-AC-17(1) | AC-17(1) Accesso remoto | Monitoraggio/controllo automatizzati | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-17(1) | AC-17(1) Accesso remoto | Monitoraggio/controllo automatizzati | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-17(1) | AC-17(1) Accesso remoto | Monitoraggio/controllo automatizzati | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-17(1) | AC-17(1) Accesso remoto | Monitoraggio/controllo automatizzati | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-17(1) | AC-17(1) Accesso remoto | Monitoraggio/controllo automatizzati | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-17(1) | AC-17(1) Accesso remoto | Monitoraggio/controllo automatizzati | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| CCCS-fPBMM-AC-17(1) | AC-17(1) Accesso remoto | Monitoraggio/controllo automatizzati | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-AC-17(1) | AC-17(1) Accesso remoto | Monitoraggio/controllo automatizzati | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-AC-17(1) | AC-17(1) Accesso remoto | Monitoraggio/controllo automatizzati | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| CCCS-fPBMM-AC-17(1) | AC-17(1) Accesso remoto | Monitoraggio/controllo automatizzati | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| CCCS-fPBMM-AC-17(1) | AC-17(1) Accesso remoto | Monitoraggio/controllo automatizzati | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| CCCS-fPBMM-AC-17(1) | AC-17(1) Accesso remoto | Monitoraggio/controllo automatizzati | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| CCCS-fPBMM-AC-17(1) | AC-17(1) Accesso remoto | Monitoraggio/controllo automatizzati | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni. | |
| CCCS-fPBMM-AC-17(1) | AC-17(1) Accesso remoto | Monitoraggio/controllo automatizzati | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) su ACL Web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| CCCS-fPBMM-AC-17(2) | AC-17(2) Accesso remoto | Protezione della riservatezza e dell'integrità mediante crittografia | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-AC-17(2) | AC-17(2) Accesso remoto | Protezione della riservatezza e dell'integrità mediante crittografia | Assicurati che le fasi REST API del Gateway Amazon API siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare la provenienza delle richieste dal Gateway API. | |
| CCCS-fPBMM-AC-17(2) | AC-17(2) Accesso remoto | Protezione della riservatezza e dell'integrità mediante crittografia | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| CCCS-fPBMM-AC-17(2) | AC-17(2) Accesso remoto | Protezione della riservatezza e dell'integrità mediante crittografia | Per proteggere i dati in transito, assicurati che gli ascoltatori SSL Classic Elastic Load Balancing utilizzino una policy di sicurezza predefinita. Elastic Load Balancing fornisce configurazioni di negoziazione SSL predefinite, che vengono utilizzate per la negoziazione SSL quando viene stabilita una connessione tra un client e il load balancer. Le configurazioni di negoziazione SSL garantiscono la compatibilità con un'ampia gamma di client e utilizzano algoritmi di crittografia altamente sicuri. Questa regola richiede l'impostazione di una policy di sicurezza predefinita per gli ascoltatori SSL. La politica di sicurezza predefinita è: ELB -TLS-1-2-2017-0. SecurityPolicy Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-AC-17(2) | AC-17(2) Accesso remoto | Protezione della riservatezza e dell'integrità mediante crittografia | Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-AC-17(2) | AC-17(2) Accesso remoto | Protezione della riservatezza e dell'integrità mediante crittografia | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-AC-17(3) | AC-17(3) Accesso remoto | Punti di controllo degli accessi gestiti | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| CCCS-fPBMM-AC-17(4) | AC-17(4) Accesso remoto | Comandi/accesso con privilegi | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS . Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti dovuti alla compromissione degli account richiedendo l'autenticazione a più fattori per gli utenti. | |
| CCCS-fPBMM-AC-17(4) | AC-17(4) Accesso remoto | Comandi/accesso con privilegi | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| CCCS-fPBMM-AC-17(4) | AC-17(4) Accesso remoto | Comandi/accesso con privilegi | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| CCCS-fPBMM-AC-17.A | AC-17.A Accesso remoto | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-17.A | AC-17.A Accesso remoto | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-17.A | AC-17.A Accesso remoto | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-17.A | AC-17.A Accesso remoto | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| CCCS-fPBMM-AC-17.A | AC-17.A Accesso remoto | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-17.A | AC-17.A Accesso remoto | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| CCCS-fPBMM-AC-17.A | AC-17.A Accesso remoto | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) in un Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| CCCS-fPBMM-AC-17.A | AC-17.A Accesso remoto | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| CCCS-fPBMM-AC-17.A | AC-17.A Accesso remoto | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| CCCS-fPBMM-AC-17.A | AC-17.A Accesso remoto | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Questa configurazione non richiede un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| CCCS-fPBMM-AC-17.A | AC-17.A Accesso remoto | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| CCCS-fPBMM-AC-17.A | AC-17.A Accesso remoto | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-17.A | AC-17.A Accesso remoto | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-17.A | AC-17.A Accesso remoto | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-17.A | AC-17.A Accesso remoto | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-17.A | AC-17.A Accesso remoto | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-17.A | AC-17.A Accesso remoto | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| CCCS-fPBMM-AC-17.A | AC-17.A Accesso remoto | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-AC-17.A | AC-17.A Accesso remoto | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-AC-17.A | AC-17.A Accesso remoto | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| CCCS-fPBMM-AC-17.A | AC-17.A Accesso remoto | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| CCCS-fPBMM-AC-17.A | AC-17.A Accesso remoto | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| CCCS-fPBMM-AC-17.A | AC-17.A Accesso remoto | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni. | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA Accesso remoto | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA Accesso remoto | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA Accesso remoto | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA Accesso remoto | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA Accesso remoto | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA Accesso remoto | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA Accesso remoto | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) in un Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA Accesso remoto | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA Accesso remoto | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA Accesso remoto | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Questa configurazione non richiede un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA Accesso remoto | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA Accesso remoto | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA Accesso remoto | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA Accesso remoto | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA Accesso remoto | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA Accesso remoto | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA Accesso remoto | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA Accesso remoto | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA Accesso remoto | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA Accesso remoto | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA Accesso remoto | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA Accesso remoto | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA Accesso remoto | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni. | |
| CCCS-fPBMM-AC-17.B | AC-17.B Accesso remoto | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-17.B | AC-17.B Accesso remoto | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-17.B | AC-17.B Accesso remoto | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-17.B | AC-17.B Accesso remoto | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| CCCS-fPBMM-AC-17.B | AC-17.B Accesso remoto | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-17.B | AC-17.B Accesso remoto | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| CCCS-fPBMM-AC-17.B | AC-17.B Accesso remoto | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) in un Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| CCCS-fPBMM-AC-17.B | AC-17.B Accesso remoto | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| CCCS-fPBMM-AC-17.B | AC-17.B Accesso remoto | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| CCCS-fPBMM-AC-17.B | AC-17.B Accesso remoto | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Questa configurazione non richiede un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| CCCS-fPBMM-AC-17.B | AC-17.B Accesso remoto | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| CCCS-fPBMM-AC-17.B | AC-17.B Accesso remoto | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-17.B | AC-17.B Accesso remoto | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-17.B | AC-17.B Accesso remoto | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-AC-17.B | AC-17.B Accesso remoto | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-17.B | AC-17.B Accesso remoto | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AC-17.B | AC-17.B Accesso remoto | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| CCCS-fPBMM-AC-17.B | AC-17.B Accesso remoto | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-AC-17.B | AC-17.B Accesso remoto | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-AC-17.B | AC-17.B Accesso remoto | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| CCCS-fPBMM-AC-17.B | AC-17.B Accesso remoto | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| CCCS-fPBMM-AC-17.B | AC-17.B Accesso remoto | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| CCCS-fPBMM-AC-17.B | AC-17.B Accesso remoto | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni. | |
| CCCS-fPBMM-AU-2.A | AU-2.A eventi di audit | La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti. | |
| CCCS-fPBMM-AU-2.A | AU-2.A eventi di audit | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| CCCS-fPBMM-AU-2.A | AU-2.A eventi di audit | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| CCCS-fPBMM-AU-2.A | AU-2.A eventi di audit | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-AU-2.A | AU-2.A eventi di audit | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| CCCS-fPBMM-AU-2.A | AU-2.A eventi di audit | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-AU-2.A | AU-2.A eventi di audit | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| CCCS-fPBMM-AU-2.A | AU-2.A eventi di audit | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AU-2.A | AU-2.A eventi di audit | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| CCCS-fPBMM-AU-2.A | AU-2.A eventi di audit | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| CCCS-fPBMM-AU-2.A | AU-2.A eventi di audit | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sugli ACL Web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| CCCS-fPBMM-AU-2.B | AU-2.B Eventi di audit | La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti. | |
| CCCS-fPBMM-AU-2.B | AU-2.B Eventi di audit | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| CCCS-fPBMM-AU-2.B | AU-2.B Eventi di audit | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| CCCS-fPBMM-AU-2.B | AU-2.B Eventi di audit | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-AU-2.B | AU-2.B Eventi di audit | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| CCCS-fPBMM-AU-2.B | AU-2.B Eventi di audit | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-AU-2.B | AU-2.B Eventi di audit | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| CCCS-fPBMM-AU-2.B | AU-2.B Eventi di audit | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AU-2.B | AU-2.B Eventi di audit | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| CCCS-fPBMM-AU-2.B | AU-2.B Eventi di audit | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| CCCS-fPBMM-AU-2.B | AU-2.B Eventi di audit | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sugli ACL Web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| CCCS-fPBMM-AU-2.C | AU-2.C Eventi di audit | La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti. | |
| CCCS-fPBMM-AU-2.C | AU-2.C Eventi di audit | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| CCCS-fPBMM-AU-2.C | AU-2.C Eventi di audit | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| CCCS-fPBMM-AU-2.C | AU-2.C Eventi di audit | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-AU-2.C | AU-2.C Eventi di audit | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| CCCS-fPBMM-AU-2.C | AU-2.C Eventi di audit | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-AU-2.C | AU-2.C Eventi di audit | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| CCCS-fPBMM-AU-2.C | AU-2.C Eventi di audit | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AU-2.C | AU-2.C Eventi di audit | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| CCCS-fPBMM-AU-2.C | AU-2.C Eventi di audit | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| CCCS-fPBMM-AU-2.C | AU-2.C Eventi di audit | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sugli ACL Web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| CCCS-fPBMM-AU-2.D | AU-2.D Eventi di audit | La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti. | |
| CCCS-fPBMM-AU-2.D | AU-2.D Eventi di audit | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| CCCS-fPBMM-AU-2.D | AU-2.D Eventi di audit | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| CCCS-fPBMM-AU-2.D | AU-2.D Eventi di audit | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-AU-2.D | AU-2.D Eventi di audit | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| CCCS-fPBMM-AU-2.D | AU-2.D Eventi di audit | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-AU-2.D | AU-2.D Eventi di audit | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| CCCS-fPBMM-AU-2.D | AU-2.D Eventi di audit | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AU-2.D | AU-2.D Eventi di audit | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| CCCS-fPBMM-AU-2.D | AU-2.D Eventi di audit | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| CCCS-fPBMM-AU-2.D | AU-2.D Eventi di audit | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sugli ACL Web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| CCCS-fPBMM-AU-3(1) | AU-3(1) Contenuto dei record di audit | Informazioni di audit aggiuntive | La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti. | |
| CCCS-fPBMM-AU-3(1) | AU-3(1) Contenuto dei record di audit | Informazioni di audit aggiuntive | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| CCCS-fPBMM-AU-3(1) | AU-3(1) Contenuto dei record di audit | Informazioni di audit aggiuntive | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| CCCS-fPBMM-AU-3(1) | AU-3(1) Contenuto dei record di audit | Informazioni di audit aggiuntive | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-AU-3(1) | AU-3(1) Contenuto dei record di audit | Informazioni di audit aggiuntive | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| CCCS-fPBMM-AU-3(1) | AU-3(1) Contenuto dei record di audit | Informazioni di audit aggiuntive | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| CCCS-fPBMM-AU-3(1) | AU-3(1) Contenuto dei record di audit | Informazioni di audit aggiuntive | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AU-3(1) | AU-3(1) Contenuto dei record di audit | Informazioni di audit aggiuntive | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| CCCS-fPBMM-AU-3.A | AU-3.A Contenuto dei record di audit | La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti. | |
| CCCS-fPBMM-AU-3.A | AU-3.A Contenuto dei record di audit | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| CCCS-fPBMM-AU-3.A | AU-3.A Contenuto dei record di audit | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| CCCS-fPBMM-AU-3.A | AU-3.A Contenuto dei record di audit | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-AU-3.A | AU-3.A Contenuto dei record di audit | Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e per diagnosticare i problemi di disponibilità. | |
| CCCS-fPBMM-AU-3.A | AU-3.A Contenuto dei record di audit | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| CCCS-fPBMM-AU-3.A | AU-3.A Contenuto dei record di audit | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-AU-3.A | AU-3.A Contenuto dei record di audit | Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| CCCS-fPBMM-AU-3.A | AU-3.A Contenuto dei record di audit | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| CCCS-fPBMM-AU-3.A | AU-3.A Contenuto dei record di audit | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AU-3.A | AU-3.A Contenuto dei record di audit | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| CCCS-fPBMM-AU-3.A | AU-3.A Contenuto dei record di audit | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| CCCS-fPBMM-AU-3.A | AU-3.A Contenuto dei record di audit | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sugli ACL Web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| CCCS-fPBMM-AU-5.A | AU-5.A Risposta agli errori di elaborazione degli audit | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| CCCS-fPBMM-AU-5.B | AU-5.B Risposta agli errori di elaborazione degli audit | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| CCCS-fPBMM-AU-6(1) | AU-6(1) Revisione, analisi e reporting degli audit | Integrazione dei processi | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| CCCS-fPBMM-AU-6(1) | AU-6(1) Revisione, analisi e reporting degli audit | Integrazione dei processi | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| CCCS-fPBMM-AU-6(1) | AU-6(1) Revisione, analisi e reporting degli audit | Integrazione dei processi | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-AU-6(1) | AU-6(1) Revisione, analisi e reporting degli audit | Integrazione dei processi | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-AU-6(1) | AU-6(1) Revisione, analisi e reporting degli audit | Integrazione dei processi | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-AU-6(1) | AU-6(1) Revisione, analisi e reporting degli audit | Integrazione dei processi | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| CCCS-fPBMM-AU-6(3) | AU-6(3) Revisione, analisi e reporting degli audit | Correlazione dei repository di audit | La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti. | |
| CCCS-fPBMM-AU-6(3) | AU-6(3) Revisione, analisi e reporting degli audit | Correlazione dei repository di audit | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| CCCS-fPBMM-AU-6(3) | AU-6(3) Revisione, analisi e reporting degli audit | Correlazione dei repository di audit | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| CCCS-fPBMM-AU-6(3) | AU-6(3) Revisione, analisi e reporting degli audit | Correlazione dei repository di audit | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-AU-6(3) | AU-6(3) Revisione, analisi e reporting degli audit | Correlazione dei repository di audit | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei CloudTrail log. La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| CCCS-fPBMM-AU-6(3) | AU-6(3) Revisione, analisi e reporting degli audit | Correlazione dei repository di audit | Assicurati che i dati dei log degli eventi vengano mantenuti per una durata minima per i gruppi di log in modo da agevolare la risoluzione dei problemi e le indagini forensi. La mancata disponibilità dei dati dei log degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. | |
| CCCS-fPBMM-AU-6(3) | AU-6(3) Revisione, analisi e reporting degli audit | Correlazione dei repository di audit | Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e per diagnosticare i problemi di disponibilità. | |
| CCCS-fPBMM-AU-6(3) | AU-6(3) Revisione, analisi e reporting degli audit | Correlazione dei repository di audit | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| CCCS-fPBMM-AU-6(3) | AU-6(3) Revisione, analisi e reporting degli audit | Correlazione dei repository di audit | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-AU-6(3) | AU-6(3) Revisione, analisi e reporting degli audit | Correlazione dei repository di audit | Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| CCCS-fPBMM-AU-6(3) | AU-6(3) Revisione, analisi e reporting degli audit | Correlazione dei repository di audit | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| CCCS-fPBMM-AU-6(3) | AU-6(3) Revisione, analisi e reporting degli audit | Correlazione dei repository di audit | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AU-6(3) | AU-6(3) Revisione, analisi e reporting degli audit | Correlazione dei repository di audit | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| CCCS-fPBMM-AU-6(3) | AU-6(3) Revisione, analisi e reporting degli audit | Correlazione dei repository di audit | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| CCCS-fPBMM-AU-6(3) | AU-6(3) Revisione, analisi e reporting degli audit | Correlazione dei repository di audit | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sugli ACL Web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| CCCS-fPBMM-AU-7(1) | AU-7(1) Riduzione dei record di audit e generazione di report | Elaborazione automatica | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| CCCS-fPBMM-AU-8.B | AU-8.B Timestamp | La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti. | |
| CCCS-fPBMM-AU-8.B | AU-8.B Timestamp | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| CCCS-fPBMM-AU-8.B | AU-8.B Timestamp | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| CCCS-fPBMM-AU-8.B | AU-8.B Timestamp | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-AU-8.B | AU-8.B Timestamp | Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e per diagnosticare i problemi di disponibilità. | |
| CCCS-fPBMM-AU-8.B | AU-8.B Timestamp | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| CCCS-fPBMM-AU-8.B | AU-8.B Timestamp | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-AU-8.B | AU-8.B Timestamp | Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| CCCS-fPBMM-AU-8.B | AU-8.B Timestamp | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| CCCS-fPBMM-AU-8.B | AU-8.B Timestamp | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AU-8.B | AU-8.B Timestamp | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| CCCS-fPBMM-AU-8.B | AU-8.B Timestamp | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| CCCS-fPBMM-AU-8.B | AU-8.B Timestamp | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sugli ACL Web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| CCCS-fPBMM-AU-9(2) | AU-9(2) Protezione delle informazioni di audit | Backup degli audit su sistemi o componenti fisici separati | Per facilitare i processi di backup dei dati, assicurati che il piano di AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Questa regola consente di impostare i parametri requiredFrequencyValue (Config default: 1), ( requiredRetentionDaysConfig default: 35) e ( requiredFrequencyUnit Config default: days). Il valore effettivo deve essere conforme ai requisiti dell'organizzazione. | |
| CCCS-fPBMM-AU-9(2) | AU-9(2) Protezione delle informazioni di audit | Backup degli audit su sistemi o componenti fisici separati | La replica tra regioni (CRR) di Amazon Simple Storage Service (Amazon S3) supporta il mantenimento di capacità e disponibilità adeguate. La replica tra regioni (CRR) consente la copia asincrona e automatica di oggetti tra bucket Amazon S3 per assicurare il mantenimento della disponibilità dei dati. | |
| CCCS-fPBMM-AU-9(2) | AU-9(2) Protezione delle informazioni di audit | Backup degli audit su sistemi o componenti fisici separati | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti. | |
| CCCS-fPBMM-AU-9.A | AU-9.A Protezione delle informazioni di audit | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi percorsi. AWS CloudTrail | |
| CCCS-fPBMM-AU-9.A | AU-9.A Protezione delle informazioni di audit | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei CloudTrail registri. La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| CCCS-fPBMM-AU-9.A | AU-9.A Protezione delle informazioni di audit | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| CCCS-fPBMM-AU-11.A | AU-11.A Conservazione dei record di audit | Assicurati che i dati dei log degli eventi vengano mantenuti per una durata minima per i gruppi di log in modo da agevolare la risoluzione dei problemi e le indagini forensi. La mancata disponibilità dei dati dei log degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. | |
| CCCS-fPBMM-AU-11.B | AU-11.B Conservazione dei record di audit | Assicurati che i dati dei log degli eventi vengano mantenuti per una durata minima per i gruppi di log in modo da agevolare la risoluzione dei problemi e le indagini forensi. La mancata disponibilità dei dati dei log degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. | |
| CCCS-fPBMM-AU-11.C | AU-11.C Conservazione dei record di audit | Assicurati che i dati dei log degli eventi vengano mantenuti per una durata minima per i gruppi di log in modo da agevolare la risoluzione dei problemi e le indagini forensi. La mancata disponibilità dei dati dei log degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. | |
| CCCS-fPBMM-AU-12.A | AU-12.A Generazione di audit | La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti. | |
| CCCS-fPBMM-AU-12.A | AU-12.A Generazione di audit | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| CCCS-fPBMM-AU-12.A | AU-12.A Generazione di audit | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| CCCS-fPBMM-AU-12.A | AU-12.A Generazione di audit | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-AU-12.A | AU-12.A Generazione di audit | Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e per diagnosticare i problemi di disponibilità. | |
| CCCS-fPBMM-AU-12.A | AU-12.A Generazione di audit | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| CCCS-fPBMM-AU-12.A | AU-12.A Generazione di audit | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-AU-12.A | AU-12.A Generazione di audit | Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| CCCS-fPBMM-AU-12.A | AU-12.A Generazione di audit | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| CCCS-fPBMM-AU-12.A | AU-12.A Generazione di audit | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AU-12.A | AU-12.A Generazione di audit | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| CCCS-fPBMM-AU-12.A | AU-12.A Generazione di audit | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| CCCS-fPBMM-AU-12.A | AU-12.A Generazione di audit | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sugli ACL Web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| CCCS-fPBMM-AU-12.C | AU-12.C Generazione di audit | La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti. | |
| CCCS-fPBMM-AU-12.C | AU-12.C Generazione di audit | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| CCCS-fPBMM-AU-12.C | AU-12.C Generazione di audit | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| CCCS-fPBMM-AU-12.C | AU-12.C Generazione di audit | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-AU-12.C | AU-12.C Generazione di audit | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| CCCS-fPBMM-AU-12.C | AU-12.C Generazione di audit | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-AU-12.C | AU-12.C Generazione di audit | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| CCCS-fPBMM-AU-12.C | AU-12.C Generazione di audit | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-AU-12.C | AU-12.C Generazione di audit | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| CCCS-fPBMM-AU-12.C | AU-12.C Generazione di audit | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| CCCS-fPBMM-AU-12.C | AU-12.C Generazione di audit | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sugli ACL Web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| CCCS-fPBMM-CA-3(5) | CA-3(5) Interconnessioni di sistemi | Limitazioni per connessioni di rete esterne | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-CA-3(5) | CA-3(5) Interconnessioni di sistemi | Limitazioni per connessioni di rete esterne | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-CA-3(5) | CA-3(5) Interconnessioni di sistemi | Limitazioni per connessioni di rete esterne | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-CA-3(5) | CA-3(5) Interconnessioni di sistemi | Limitazioni per connessioni di rete esterne | Questa regola garantisce che gli IP elastici allocati a un Amazon Virtual Private Cloud (Amazon VPC) siano collegati a istanze Amazon Elastic Compute Cloud (Amazon EC2) o a interfacce di rete elastiche in uso. Questa regola aiuta a monitorare gli EIP non utilizzati nel tuo ambiente. | |
| CCCS-fPBMM-CA-3(5) | CA-3(5) Interconnessioni di sistemi | Limitazioni per connessioni di rete esterne | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| CCCS-fPBMM-CA-3(5) | CA-3(5) Interconnessioni di sistemi | Limitazioni per connessioni di rete esterne | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-CA-3(5) | CA-3(5) Interconnessioni di sistemi | Limitazioni per connessioni di rete esterne | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| CCCS-fPBMM-CA-3(5) | CA-3(5) Interconnessioni di sistemi | Limitazioni per connessioni di rete esterne | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) in un Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| CCCS-fPBMM-CA-3(5) | CA-3(5) Interconnessioni di sistemi | Limitazioni per connessioni di rete esterne | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| CCCS-fPBMM-CA-3(5) | CA-3(5) Interconnessioni di sistemi | Limitazioni per connessioni di rete esterne | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| CCCS-fPBMM-CA-3(5) | CA-3(5) Interconnessioni di sistemi | Limitazioni per connessioni di rete esterne | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Questa configurazione non richiede un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| CCCS-fPBMM-CA-3(5) | CA-3(5) Interconnessioni di sistemi | Limitazioni per connessioni di rete esterne | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| CCCS-fPBMM-CA-3(5) | CA-3(5) Interconnessioni di sistemi | Limitazioni per connessioni di rete esterne | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-CA-3(5) | CA-3(5) Interconnessioni di sistemi | Limitazioni per connessioni di rete esterne | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-CA-3(5) | CA-3(5) Interconnessioni di sistemi | Limitazioni per connessioni di rete esterne | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-CA-3(5) | CA-3(5) Interconnessioni di sistemi | Limitazioni per connessioni di rete esterne | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CA-3(5) | CA-3(5) Interconnessioni di sistemi | Limitazioni per connessioni di rete esterne | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CA-3(5) | CA-3(5) Interconnessioni di sistemi | Limitazioni per connessioni di rete esterne | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| CCCS-fPBMM-CA-3(5) | CA-3(5) Interconnessioni di sistemi | Limitazioni per connessioni di rete esterne | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-CA-3(5) | CA-3(5) Interconnessioni di sistemi | Limitazioni per connessioni di rete esterne | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-CA-3(5) | CA-3(5) Interconnessioni di sistemi | Limitazioni per connessioni di rete esterne | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| CCCS-fPBMM-CA-3(5) | CA-3(5) Interconnessioni di sistemi | Limitazioni per connessioni di rete esterne | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| CCCS-fPBMM-CA-3(5) | CA-3(5) Interconnessioni di sistemi | Limitazioni per connessioni di rete esterne | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| CCCS-fPBMM-CA-3(5) | CA-3(5) Interconnessioni di sistemi | Limitazioni per connessioni di rete esterne | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni. | |
| CCCS-fPBMM-CA-7.A | CA-7.A Monitoraggio continuo | La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti. | |
| CCCS-fPBMM-CA-7.A | CA-7.A Monitoraggio continuo | AWS X-Ray raccoglie dati sulle richieste servite dall'applicazione e fornisce strumenti che è possibile utilizzare per visualizzare, filtrare e acquisire informazioni su tali dati per identificare problemi e opportunità di ottimizzazione. Assicurati che X-Ray sia abilitato in modo da poter visualizzare informazioni dettagliate non solo sulla richiesta e sulla risposta, ma anche sulle chiamate effettuate dall'applicazione a AWS risorse downstream, microservizi, database e API Web HTTP. | |
| CCCS-fPBMM-CA-7.A | CA-7.A Monitoraggio continuo | I controlli dell'integrità Elastic Load Balancer (ELB) per i gruppi con dimensionamento automatico Amazon Elastic Compute Cloud (Amazon EC2) supportano il mantenimento di capacità e disponibilità adeguate. Periodicamente, il sistema di bilanciamento del carico invia ping, effettua tentativi di connessione o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo con dimensionamento automatico. Se un'istanza non risponde, il traffico viene inviato a una nuova istanza Amazon EC2. | |
| CCCS-fPBMM-CA-7.A | CA-7.A Monitoraggio continuo | AWS La reportistica avanzata sullo stato di Elastic Beanstalk consente una risposta più rapida ai cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione. Il reporting avanzato sull'integrità di Elastic Beanstalk fornisce un descrittore dello stato per valutare la gravità dei problemi identificati e per individuare le possibili cause su cui indagare. | |
| CCCS-fPBMM-CA-7.A | CA-7.A Monitoraggio continuo | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| CCCS-fPBMM-CA-7.A | CA-7.A Monitoraggio continuo | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| CCCS-fPBMM-CA-7.A | CA-7.A Monitoraggio continuo | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| CCCS-fPBMM-CA-7.A | CA-7.A Monitoraggio continuo | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-CA-7.A | CA-7.A Monitoraggio continuo | Assicurati che i dati dei log degli eventi vengano mantenuti per una durata minima per i gruppi di log in modo da agevolare la risoluzione dei problemi e le indagini forensi. La mancata disponibilità dei dati dei log degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. | |
| CCCS-fPBMM-CA-7.A | CA-7.A Monitoraggio continuo | Abilita questa regola per assicurarti che la capacità effettiva di trasmissione assegnata sia verificata nelle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura e scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando la velocità di trasmissione effettiva si avvicina al limite massimo per l'account di un cliente. Questa regola consente di impostare facoltativamente i parametri AccountRCU ThresholdPercentage (Config Default: 80) e AccountWCU ThresholdPercentage (Config Default: 80). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CA-7.A | CA-7.A Monitoraggio continuo | Assicurati che il metodo del servizio di metadati di istanza versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, puoi implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| CCCS-fPBMM-CA-7.A | CA-7.A Monitoraggio continuo | Abilita questa regola per migliorare il monitoraggio delle istanze Amazon Elastic Compute Cloud (Amazon EC2) sulla console Amazon EC2, che visualizza grafici di monitoraggio relativi all'istanza a intervalli di 1 minuto. | |
| CCCS-fPBMM-CA-7.A | CA-7.A Monitoraggio continuo | Se una definizione di attività ha privilegi elevati, significa che il cliente ha scelto specificamente di accedere a tali configurazioni. Questo controllo verifica l'aumento imprevisto dei privilegi quando la rete host prevede una definizione di attività ma il cliente non ha scelto privilegi elevati. | |
| CCCS-fPBMM-CA-7.A | CA-7.A Monitoraggio continuo | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| CCCS-fPBMM-CA-7.A | CA-7.A Monitoraggio continuo | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-CA-7.A | CA-7.A Monitoraggio continuo | Amazon ti GuardDuty aiuta a comprendere l'impatto di un incidente classificando i risultati in base alla gravità: bassa, media e alta. Puoi utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola consente di impostare facoltativamente daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) e daysHighSev (Config Default: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione. | |
| CCCS-fPBMM-CA-7.A | CA-7.A Monitoraggio continuo | Abilita questa regola per avvisare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione restituisce un errore. | |
| CCCS-fPBMM-CA-7.A | CA-7.A Monitoraggio continuo | AWS CloudTrail registra le azioni della console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-CA-7.A | CA-7.A Monitoraggio continuo | Abilita Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità di Amazon RDS. Ciò fornisce una visibilità dettagliata sullo stato delle istanze database Amazon RDS. Quando l'archiviazione di Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ogni dispositivo. Inoltre, quando l'istanza database Amazon RDS è in esecuzione in una implementazione multi-AZ, vengono raccolti i dati per ogni dispositivo sull'host secondario e le metriche dell'host secondario. | |
| CCCS-fPBMM-CA-7.A | CA-7.A Monitoraggio continuo | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| CCCS-fPBMM-CA-7.A | CA-7.A Monitoraggio continuo | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CA-7.A | CA-7.A Monitoraggio continuo | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| CCCS-fPBMM-CA-7.A | CA-7.A Monitoraggio continuo | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| CCCS-fPBMM-CA-7.A | CA-7.A Monitoraggio continuo | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| CCCS-fPBMM-CA-7.A | CA-7.A Monitoraggio continuo | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) su ACL Web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| CCCS-fPBMM-CA-7.B | CA-7.B Monitoraggio continuo | La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti. | |
| CCCS-fPBMM-CA-7.B | CA-7.B Monitoraggio continuo | AWS X-Ray raccoglie dati sulle richieste servite dall'applicazione e fornisce strumenti che è possibile utilizzare per visualizzare, filtrare e acquisire informazioni su tali dati per identificare problemi e opportunità di ottimizzazione. Assicurati che X-Ray sia abilitato in modo da poter visualizzare informazioni dettagliate non solo sulla richiesta e sulla risposta, ma anche sulle chiamate effettuate dall'applicazione a AWS risorse downstream, microservizi, database e API Web HTTP. | |
| CCCS-fPBMM-CA-7.B | CA-7.B Monitoraggio continuo | I controlli dell'integrità Elastic Load Balancer (ELB) per i gruppi con dimensionamento automatico Amazon Elastic Compute Cloud (Amazon EC2) supportano il mantenimento di capacità e disponibilità adeguate. Periodicamente, il sistema di bilanciamento del carico invia ping, effettua tentativi di connessione o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo con dimensionamento automatico. Se un'istanza non risponde, il traffico viene inviato a una nuova istanza Amazon EC2. | |
| CCCS-fPBMM-CA-7.B | CA-7.B Monitoraggio continuo | AWS La reportistica avanzata sullo stato di Elastic Beanstalk consente una risposta più rapida ai cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione. Il reporting avanzato sull'integrità di Elastic Beanstalk fornisce un descrittore dello stato per valutare la gravità dei problemi identificati e per individuare le possibili cause su cui indagare. | |
| CCCS-fPBMM-CA-7.B | CA-7.B Monitoraggio continuo | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| CCCS-fPBMM-CA-7.B | CA-7.B Monitoraggio continuo | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| CCCS-fPBMM-CA-7.B | CA-7.B Monitoraggio continuo | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| CCCS-fPBMM-CA-7.B | CA-7.B Monitoraggio continuo | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-CA-7.B | CA-7.B Monitoraggio continuo | Assicurati che i dati dei log degli eventi vengano mantenuti per una durata minima per i gruppi di log in modo da agevolare la risoluzione dei problemi e le indagini forensi. La mancata disponibilità dei dati dei log degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. | |
| CCCS-fPBMM-CA-7.B | CA-7.B Monitoraggio continuo | Abilita questa regola per assicurarti che la capacità effettiva di trasmissione assegnata sia verificata nelle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura e scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando la velocità di trasmissione effettiva si avvicina al limite massimo per l'account di un cliente. Questa regola consente di impostare facoltativamente i parametri AccountRCU ThresholdPercentage (Config Default: 80) e AccountWCU ThresholdPercentage (Config Default: 80). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CA-7.B | CA-7.B Monitoraggio continuo | Abilita questa regola per migliorare il monitoraggio delle istanze Amazon Elastic Compute Cloud (Amazon EC2) sulla console Amazon EC2, che visualizza grafici di monitoraggio relativi all'istanza a intervalli di 1 minuto. | |
| CCCS-fPBMM-CA-7.B | CA-7.B Monitoraggio continuo | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-CA-7.B | CA-7.B Monitoraggio continuo | Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee guida per livelli di patch del sistema operativo, installazioni software, configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-CA-7.B | CA-7.B Monitoraggio continuo | L'abilitazione di questa regola facilita l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| CCCS-fPBMM-CA-7.B | CA-7.B Monitoraggio continuo | Questa regola garantisce che gli IP elastici allocati a un Amazon Virtual Private Cloud (Amazon VPC) siano collegati a istanze Amazon Elastic Compute Cloud (Amazon EC2) o a interfacce di rete elastiche in uso. Questa regola aiuta a monitorare gli EIP non utilizzati nel tuo ambiente. | |
| CCCS-fPBMM-CA-7.B | CA-7.B Monitoraggio continuo | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| CCCS-fPBMM-CA-7.B | CA-7.B Monitoraggio continuo | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-CA-7.B | CA-7.B Monitoraggio continuo | Amazon ti GuardDuty aiuta a comprendere l'impatto di un incidente classificando i risultati in base alla gravità: bassa, media e alta. Puoi utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola consente di impostare facoltativamente daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) e daysHighSev (Config Default: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione. | |
| CCCS-fPBMM-CA-7.B | CA-7.B Monitoraggio continuo | Abilita questa regola per avvisare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione restituisce un errore. | |
| CCCS-fPBMM-CA-7.B | CA-7.B Monitoraggio continuo | AWS CloudTrail registra le azioni della console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-CA-7.B | CA-7.B Monitoraggio continuo | Abilita Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità di Amazon RDS. Ciò fornisce una visibilità dettagliata sullo stato delle istanze database Amazon RDS. Quando l'archiviazione di Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ogni dispositivo. Inoltre, quando l'istanza database Amazon RDS è in esecuzione in una implementazione multi-AZ, vengono raccolti i dati per ogni dispositivo sull'host secondario e le metriche dell'host secondario. | |
| CCCS-fPBMM-CA-7.B | CA-7.B Monitoraggio continuo | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| CCCS-fPBMM-CA-7.B | CA-7.B Monitoraggio continuo | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CA-7.B | CA-7.B Monitoraggio continuo | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| CCCS-fPBMM-CA-7.B | CA-7.B Monitoraggio continuo | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| CCCS-fPBMM-CA-7.B | CA-7.B Monitoraggio continuo | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| CCCS-fPBMM-CA-7.B | CA-7.B Monitoraggio continuo | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) su ACL Web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| CCCS-fPBMM-CA-7.C | CA-7.C Monitoraggio continuo | La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti. | |
| CCCS-fPBMM-CA-7.C | CA-7.C Monitoraggio continuo | AWS X-Ray raccoglie dati sulle richieste servite dall'applicazione e fornisce strumenti che è possibile utilizzare per visualizzare, filtrare e acquisire informazioni su tali dati per identificare problemi e opportunità di ottimizzazione. Assicurati che X-Ray sia abilitato in modo da poter visualizzare informazioni dettagliate non solo sulla richiesta e sulla risposta, ma anche sulle chiamate effettuate dall'applicazione a AWS risorse downstream, microservizi, database e API Web HTTP. | |
| CCCS-fPBMM-CA-7.C | CA-7.C Monitoraggio continuo | I controlli dell'integrità Elastic Load Balancer (ELB) per i gruppi con dimensionamento automatico Amazon Elastic Compute Cloud (Amazon EC2) supportano il mantenimento di capacità e disponibilità adeguate. Periodicamente, il sistema di bilanciamento del carico invia ping, effettua tentativi di connessione o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo con dimensionamento automatico. Se un'istanza non risponde, il traffico viene inviato a una nuova istanza Amazon EC2. | |
| CCCS-fPBMM-CA-7.C | CA-7.C Monitoraggio continuo | AWS La reportistica avanzata sullo stato di Elastic Beanstalk consente una risposta più rapida ai cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione. Il reporting avanzato sull'integrità di Elastic Beanstalk fornisce un descrittore dello stato per valutare la gravità dei problemi identificati e per individuare le possibili cause su cui indagare. | |
| CCCS-fPBMM-CA-7.C | CA-7.C Monitoraggio continuo | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| CCCS-fPBMM-CA-7.C | CA-7.C Monitoraggio continuo | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| CCCS-fPBMM-CA-7.C | CA-7.C Monitoraggio continuo | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| CCCS-fPBMM-CA-7.C | CA-7.C Monitoraggio continuo | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-CA-7.C | CA-7.C Monitoraggio continuo | Assicurati che i dati dei log degli eventi vengano mantenuti per una durata minima per i gruppi di log in modo da agevolare la risoluzione dei problemi e le indagini forensi. La mancata disponibilità dei dati dei log degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. | |
| CCCS-fPBMM-CA-7.C | CA-7.C Monitoraggio continuo | Abilita questa regola per assicurarti che la capacità effettiva di trasmissione assegnata sia verificata nelle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura e scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando la velocità di trasmissione effettiva si avvicina al limite massimo per l'account di un cliente. Questa regola consente di impostare facoltativamente i parametri AccountRCU ThresholdPercentage (Config Default: 80) e AccountWCU ThresholdPercentage (Config Default: 80). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CA-7.C | CA-7.C Monitoraggio continuo | Abilita questa regola per migliorare il monitoraggio delle istanze Amazon Elastic Compute Cloud (Amazon EC2) sulla console Amazon EC2, che visualizza grafici di monitoraggio relativi all'istanza a intervalli di 1 minuto. | |
| CCCS-fPBMM-CA-7.C | CA-7.C Monitoraggio continuo | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-CA-7.C | CA-7.C Monitoraggio continuo | Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee guida per livelli di patch del sistema operativo, installazioni software, configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-CA-7.C | CA-7.C Monitoraggio continuo | L'abilitazione di questa regola facilita l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| CCCS-fPBMM-CA-7.C | CA-7.C Monitoraggio continuo | Questa regola garantisce che gli IP elastici allocati a un Amazon Virtual Private Cloud (Amazon VPC) siano collegati a istanze Amazon Elastic Compute Cloud (Amazon EC2) o a interfacce di rete elastiche in uso. Questa regola aiuta a monitorare gli EIP non utilizzati nel tuo ambiente. | |
| CCCS-fPBMM-CA-7.C | CA-7.C Monitoraggio continuo | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| CCCS-fPBMM-CA-7.C | CA-7.C Monitoraggio continuo | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-CA-7.C | CA-7.C Monitoraggio continuo | Amazon ti GuardDuty aiuta a comprendere l'impatto di un incidente classificando i risultati in base alla gravità: bassa, media e alta. Puoi utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola consente di impostare facoltativamente daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) e daysHighSev (Config Default: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione. | |
| CCCS-fPBMM-CA-7.C | CA-7.C Monitoraggio continuo | Abilita questa regola per avvisare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione restituisce un errore. | |
| CCCS-fPBMM-CA-7.C | CA-7.C Monitoraggio continuo | AWS CloudTrail registra le azioni della console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-CA-7.C | CA-7.C Monitoraggio continuo | Abilita Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità di Amazon RDS. Ciò fornisce una visibilità dettagliata sullo stato delle istanze database Amazon RDS. Quando l'archiviazione di Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ogni dispositivo. Inoltre, quando l'istanza database Amazon RDS è in esecuzione in una implementazione multi-AZ, vengono raccolti i dati per ogni dispositivo sull'host secondario e le metriche dell'host secondario. | |
| CCCS-fPBMM-CA-7.C | CA-7.C Monitoraggio continuo | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| CCCS-fPBMM-CA-7.C | CA-7.C Monitoraggio continuo | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CA-7.C | CA-7.C Monitoraggio continuo | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| CCCS-fPBMM-CA-7.C | CA-7.C Monitoraggio continuo | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| CCCS-fPBMM-CA-7.C | CA-7.C Monitoraggio continuo | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| CCCS-fPBMM-CA-7.C | CA-7.C Monitoraggio continuo | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) su ACL Web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| CCCS-fPBMM-CA-7.D | CA-7.D Monitoraggio continuo | La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti. | |
| CCCS-fPBMM-CA-7.D | CA-7.D Monitoraggio continuo | AWS X-Ray raccoglie dati sulle richieste servite dall'applicazione e fornisce strumenti che è possibile utilizzare per visualizzare, filtrare e acquisire informazioni su tali dati per identificare problemi e opportunità di ottimizzazione. Assicurati che X-Ray sia abilitato in modo da poter visualizzare informazioni dettagliate non solo sulla richiesta e sulla risposta, ma anche sulle chiamate effettuate dall'applicazione a AWS risorse downstream, microservizi, database e API Web HTTP. | |
| CCCS-fPBMM-CA-7.D | CA-7.D Monitoraggio continuo | I controlli dell'integrità Elastic Load Balancer (ELB) per i gruppi con dimensionamento automatico Amazon Elastic Compute Cloud (Amazon EC2) supportano il mantenimento di capacità e disponibilità adeguate. Periodicamente, il sistema di bilanciamento del carico invia ping, effettua tentativi di connessione o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo con dimensionamento automatico. Se un'istanza non risponde, il traffico viene inviato a una nuova istanza Amazon EC2. | |
| CCCS-fPBMM-CA-7.D | CA-7.D Monitoraggio continuo | AWS La reportistica avanzata sullo stato di Elastic Beanstalk consente una risposta più rapida ai cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione. Il reporting avanzato sull'integrità di Elastic Beanstalk fornisce un descrittore dello stato per valutare la gravità dei problemi identificati e per individuare le possibili cause su cui indagare. | |
| CCCS-fPBMM-CA-7.D | CA-7.D Monitoraggio continuo | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| CCCS-fPBMM-CA-7.D | CA-7.D Monitoraggio continuo | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| CCCS-fPBMM-CA-7.D | CA-7.D Monitoraggio continuo | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| CCCS-fPBMM-CA-7.D | CA-7.D Monitoraggio continuo | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-CA-7.D | CA-7.D Monitoraggio continuo | Assicurati che i dati dei log degli eventi vengano mantenuti per una durata minima per i gruppi di log in modo da agevolare la risoluzione dei problemi e le indagini forensi. La mancata disponibilità dei dati dei log degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. | |
| CCCS-fPBMM-CA-7.D | CA-7.D Monitoraggio continuo | Abilita questa regola per assicurarti che la capacità effettiva di trasmissione assegnata sia verificata nelle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura e scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando la velocità di trasmissione effettiva si avvicina al limite massimo per l'account di un cliente. Questa regola consente di impostare facoltativamente i parametri AccountRCU ThresholdPercentage (Config Default: 80) e AccountWCU ThresholdPercentage (Config Default: 80). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CA-7.D | CA-7.D Monitoraggio continuo | Abilita questa regola per migliorare il monitoraggio delle istanze Amazon Elastic Compute Cloud (Amazon EC2) sulla console Amazon EC2, che visualizza grafici di monitoraggio relativi all'istanza a intervalli di 1 minuto. | |
| CCCS-fPBMM-CA-7.D | CA-7.D Monitoraggio continuo | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-CA-7.D | CA-7.D Monitoraggio continuo | Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee guida per livelli di patch del sistema operativo, installazioni software, configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-CA-7.D | CA-7.D Monitoraggio continuo | L'abilitazione di questa regola facilita l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| CCCS-fPBMM-CA-7.D | CA-7.D Monitoraggio continuo | Questa regola garantisce che gli IP elastici allocati a un Amazon Virtual Private Cloud (Amazon VPC) siano collegati a istanze Amazon Elastic Compute Cloud (Amazon EC2) o a interfacce di rete elastiche in uso. Questa regola aiuta a monitorare gli EIP non utilizzati nel tuo ambiente. | |
| CCCS-fPBMM-CA-7.D | CA-7.D Monitoraggio continuo | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| CCCS-fPBMM-CA-7.D | CA-7.D Monitoraggio continuo | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-CA-7.D | CA-7.D Monitoraggio continuo | Amazon ti GuardDuty aiuta a comprendere l'impatto di un incidente classificando i risultati in base alla gravità: bassa, media e alta. Puoi utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola consente di impostare facoltativamente daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) e daysHighSev (Config Default: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione. | |
| CCCS-fPBMM-CA-7.D | CA-7.D Monitoraggio continuo | Abilita questa regola per avvisare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione restituisce un errore. | |
| CCCS-fPBMM-CA-7.D | CA-7.D Monitoraggio continuo | AWS CloudTrail registra le azioni della console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-CA-7.D | CA-7.D Monitoraggio continuo | Abilita Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità di Amazon RDS. Ciò fornisce una visibilità dettagliata sullo stato delle istanze database Amazon RDS. Quando l'archiviazione di Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ogni dispositivo. Inoltre, quando l'istanza database Amazon RDS è in esecuzione in una implementazione multi-AZ, vengono raccolti i dati per ogni dispositivo sull'host secondario e le metriche dell'host secondario. | |
| CCCS-fPBMM-CA-7.D | CA-7.D Monitoraggio continuo | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| CCCS-fPBMM-CA-7.D | CA-7.D Monitoraggio continuo | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CA-7.D | CA-7.D Monitoraggio continuo | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| CCCS-fPBMM-CA-7.D | CA-7.D Monitoraggio continuo | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| CCCS-fPBMM-CA-7.D | CA-7.D Monitoraggio continuo | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| CCCS-fPBMM-CA-7.D | CA-7.D Monitoraggio continuo | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) su ACL Web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| CCCS-fPBMM-CA-7.E | CA-7.E Monitoraggio continuo | La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti. | |
| CCCS-fPBMM-CA-7.E | CA-7.E Monitoraggio continuo | AWS X-Ray raccoglie dati sulle richieste servite dall'applicazione e fornisce strumenti che è possibile utilizzare per visualizzare, filtrare e acquisire informazioni su tali dati per identificare problemi e opportunità di ottimizzazione. Assicurati che X-Ray sia abilitato in modo da poter visualizzare informazioni dettagliate non solo sulla richiesta e sulla risposta, ma anche sulle chiamate effettuate dall'applicazione a AWS risorse downstream, microservizi, database e API Web HTTP. | |
| CCCS-fPBMM-CA-7.E | CA-7.E Monitoraggio continuo | I controlli dell'integrità Elastic Load Balancer (ELB) per i gruppi con dimensionamento automatico Amazon Elastic Compute Cloud (Amazon EC2) supportano il mantenimento di capacità e disponibilità adeguate. Periodicamente, il sistema di bilanciamento del carico invia ping, effettua tentativi di connessione o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo con dimensionamento automatico. Se un'istanza non risponde, il traffico viene inviato a una nuova istanza Amazon EC2. | |
| CCCS-fPBMM-CA-7.E | CA-7.E Monitoraggio continuo | AWS La reportistica avanzata sullo stato di Elastic Beanstalk consente una risposta più rapida ai cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione. Il reporting avanzato sull'integrità di Elastic Beanstalk fornisce un descrittore dello stato per valutare la gravità dei problemi identificati e per individuare le possibili cause su cui indagare. | |
| CCCS-fPBMM-CA-7.E | CA-7.E Monitoraggio continuo | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| CCCS-fPBMM-CA-7.E | CA-7.E Monitoraggio continuo | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| CCCS-fPBMM-CA-7.E | CA-7.E Monitoraggio continuo | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| CCCS-fPBMM-CA-7.E | CA-7.E Monitoraggio continuo | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-CA-7.E | CA-7.E Monitoraggio continuo | Assicurati che i dati dei log degli eventi vengano mantenuti per una durata minima per i gruppi di log in modo da agevolare la risoluzione dei problemi e le indagini forensi. La mancata disponibilità dei dati dei log degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. | |
| CCCS-fPBMM-CA-7.E | CA-7.E Monitoraggio continuo | Abilita questa regola per assicurarti che la capacità effettiva di trasmissione assegnata sia verificata nelle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura e scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando la velocità di trasmissione effettiva si avvicina al limite massimo per l'account di un cliente. Questa regola consente di impostare facoltativamente i parametri AccountRCU ThresholdPercentage (Config Default: 80) e AccountWCU ThresholdPercentage (Config Default: 80). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CA-7.E | CA-7.E Monitoraggio continuo | Abilita questa regola per migliorare il monitoraggio delle istanze Amazon Elastic Compute Cloud (Amazon EC2) sulla console Amazon EC2, che visualizza grafici di monitoraggio relativi all'istanza a intervalli di 1 minuto. | |
| CCCS-fPBMM-CA-7.E | CA-7.E Monitoraggio continuo | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-CA-7.E | CA-7.E Monitoraggio continuo | Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee guida per livelli di patch del sistema operativo, installazioni software, configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-CA-7.E | CA-7.E Monitoraggio continuo | L'abilitazione di questa regola facilita l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| CCCS-fPBMM-CA-7.E | CA-7.E Monitoraggio continuo | Questa regola garantisce che gli IP elastici allocati a un Amazon Virtual Private Cloud (Amazon VPC) siano collegati a istanze Amazon Elastic Compute Cloud (Amazon EC2) o a interfacce di rete elastiche in uso. Questa regola aiuta a monitorare gli EIP non utilizzati nel tuo ambiente. | |
| CCCS-fPBMM-CA-7.E | CA-7.E Monitoraggio continuo | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| CCCS-fPBMM-CA-7.E | CA-7.E Monitoraggio continuo | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-CA-7.E | CA-7.E Monitoraggio continuo | Amazon ti GuardDuty aiuta a comprendere l'impatto di un incidente classificando i risultati in base alla gravità: bassa, media e alta. Puoi utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola consente di impostare facoltativamente daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) e daysHighSev (Config Default: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione. | |
| CCCS-fPBMM-CA-7.E | CA-7.E Monitoraggio continuo | Abilita questa regola per avvisare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione restituisce un errore. | |
| CCCS-fPBMM-CA-7.E | CA-7.E Monitoraggio continuo | AWS CloudTrail registra le azioni della console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-CA-7.E | CA-7.E Monitoraggio continuo | Abilita Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità di Amazon RDS. Ciò fornisce una visibilità dettagliata sullo stato delle istanze database Amazon RDS. Quando l'archiviazione di Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ogni dispositivo. Inoltre, quando l'istanza database Amazon RDS è in esecuzione in una implementazione multi-AZ, vengono raccolti i dati per ogni dispositivo sull'host secondario e le metriche dell'host secondario. | |
| CCCS-fPBMM-CA-7.E | CA-7.E Monitoraggio continuo | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| CCCS-fPBMM-CA-7.E | CA-7.E Monitoraggio continuo | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CA-7.E | CA-7.E Monitoraggio continuo | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| CCCS-fPBMM-CA-7.E | CA-7.E Monitoraggio continuo | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| CCCS-fPBMM-CA-7.E | CA-7.E Monitoraggio continuo | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| CCCS-fPBMM-CA-7.E | CA-7.E Monitoraggio continuo | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) su ACL Web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| CCCS-fPBMM-CA-7.F | CA-7.F Monitoraggio continuo | La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti. | |
| CCCS-fPBMM-CA-7.F | CA-7.F Monitoraggio continuo | AWS X-Ray raccoglie dati sulle richieste servite dall'applicazione e fornisce strumenti che è possibile utilizzare per visualizzare, filtrare e acquisire informazioni su tali dati per identificare problemi e opportunità di ottimizzazione. Assicurati che X-Ray sia abilitato in modo da poter visualizzare informazioni dettagliate non solo sulla richiesta e sulla risposta, ma anche sulle chiamate effettuate dall'applicazione a AWS risorse downstream, microservizi, database e API Web HTTP. | |
| CCCS-fPBMM-CA-7.F | CA-7.F Monitoraggio continuo | I controlli dell'integrità Elastic Load Balancer (ELB) per i gruppi con dimensionamento automatico Amazon Elastic Compute Cloud (Amazon EC2) supportano il mantenimento di capacità e disponibilità adeguate. Periodicamente, il sistema di bilanciamento del carico invia ping, effettua tentativi di connessione o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo con dimensionamento automatico. Se un'istanza non risponde, il traffico viene inviato a una nuova istanza Amazon EC2. | |
| CCCS-fPBMM-CA-7.F | CA-7.F Monitoraggio continuo | AWS La reportistica avanzata sullo stato di Elastic Beanstalk consente una risposta più rapida ai cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione. Il reporting avanzato sull'integrità di Elastic Beanstalk fornisce un descrittore dello stato per valutare la gravità dei problemi identificati e per individuare le possibili cause su cui indagare. | |
| CCCS-fPBMM-CA-7.F | CA-7.F Monitoraggio continuo | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| CCCS-fPBMM-CA-7.F | CA-7.F Monitoraggio continuo | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| CCCS-fPBMM-CA-7.F | CA-7.F Monitoraggio continuo | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| CCCS-fPBMM-CA-7.F | CA-7.F Monitoraggio continuo | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-CA-7.F | CA-7.F Monitoraggio continuo | Assicurati che i dati dei log degli eventi vengano mantenuti per una durata minima per i gruppi di log in modo da agevolare la risoluzione dei problemi e le indagini forensi. La mancata disponibilità dei dati dei log degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. | |
| CCCS-fPBMM-CA-7.F | CA-7.F Monitoraggio continuo | Abilita questa regola per assicurarti che la capacità effettiva di trasmissione assegnata sia verificata nelle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura e scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando la velocità di trasmissione effettiva si avvicina al limite massimo per l'account di un cliente. Questa regola consente di impostare facoltativamente i parametri AccountRCU ThresholdPercentage (Config Default: 80) e AccountWCU ThresholdPercentage (Config Default: 80). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CA-7.F | CA-7.F Monitoraggio continuo | Abilita questa regola per migliorare il monitoraggio delle istanze Amazon Elastic Compute Cloud (Amazon EC2) sulla console Amazon EC2, che visualizza grafici di monitoraggio relativi all'istanza a intervalli di 1 minuto. | |
| CCCS-fPBMM-CA-7.F | CA-7.F Monitoraggio continuo | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-CA-7.F | CA-7.F Monitoraggio continuo | Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee guida per livelli di patch del sistema operativo, installazioni software, configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-CA-7.F | CA-7.F Monitoraggio continuo | L'abilitazione di questa regola facilita l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| CCCS-fPBMM-CA-7.F | CA-7.F Monitoraggio continuo | Questa regola garantisce che gli IP elastici allocati a un Amazon Virtual Private Cloud (Amazon VPC) siano collegati a istanze Amazon Elastic Compute Cloud (Amazon EC2) o a interfacce di rete elastiche in uso. Questa regola aiuta a monitorare gli EIP non utilizzati nel tuo ambiente. | |
| CCCS-fPBMM-CA-7.F | CA-7.F Monitoraggio continuo | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| CCCS-fPBMM-CA-7.F | CA-7.F Monitoraggio continuo | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-CA-7.F | CA-7.F Monitoraggio continuo | Amazon ti GuardDuty aiuta a comprendere l'impatto di un incidente classificando i risultati in base alla gravità: bassa, media e alta. Puoi utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola consente di impostare facoltativamente daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) e daysHighSev (Config Default: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione. | |
| CCCS-fPBMM-CA-7.F | CA-7.F Monitoraggio continuo | Abilita questa regola per avvisare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione restituisce un errore. | |
| CCCS-fPBMM-CA-7.F | CA-7.F Monitoraggio continuo | AWS CloudTrail registra le azioni della console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-CA-7.F | CA-7.F Monitoraggio continuo | Abilita Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità di Amazon RDS. Ciò fornisce una visibilità dettagliata sullo stato delle istanze database Amazon RDS. Quando l'archiviazione di Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ogni dispositivo. Inoltre, quando l'istanza database Amazon RDS è in esecuzione in una implementazione multi-AZ, vengono raccolti i dati per ogni dispositivo sull'host secondario e le metriche dell'host secondario. | |
| CCCS-fPBMM-CA-7.F | CA-7.F Monitoraggio continuo | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| CCCS-fPBMM-CA-7.F | CA-7.F Monitoraggio continuo | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CA-7.F | CA-7.F Monitoraggio continuo | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| CCCS-fPBMM-CA-7.F | CA-7.F Monitoraggio continuo | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| CCCS-fPBMM-CA-7.F | CA-7.F Monitoraggio continuo | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| CCCS-fPBMM-CA-7.F | CA-7.F Monitoraggio continuo | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) su ACL Web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| CCCS-fPBMM-CA-7.G | CA-7.G Monitoraggio continuo | La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti. | |
| CCCS-fPBMM-CA-7.G | CA-7.G Monitoraggio continuo | AWS X-Ray raccoglie dati sulle richieste servite dall'applicazione e fornisce strumenti che è possibile utilizzare per visualizzare, filtrare e acquisire informazioni su tali dati per identificare problemi e opportunità di ottimizzazione. Assicurati che X-Ray sia abilitato in modo da poter visualizzare informazioni dettagliate non solo sulla richiesta e sulla risposta, ma anche sulle chiamate effettuate dall'applicazione a AWS risorse downstream, microservizi, database e API Web HTTP. | |
| CCCS-fPBMM-CA-7.G | CA-7.G Monitoraggio continuo | I controlli dell'integrità Elastic Load Balancer (ELB) per i gruppi con dimensionamento automatico Amazon Elastic Compute Cloud (Amazon EC2) supportano il mantenimento di capacità e disponibilità adeguate. Periodicamente, il sistema di bilanciamento del carico invia ping, effettua tentativi di connessione o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo con dimensionamento automatico. Se un'istanza non risponde, il traffico viene inviato a una nuova istanza Amazon EC2. | |
| CCCS-fPBMM-CA-7.G | CA-7.G Monitoraggio continuo | AWS La reportistica avanzata sullo stato di Elastic Beanstalk consente una risposta più rapida ai cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione. Il reporting avanzato sull'integrità di Elastic Beanstalk fornisce un descrittore dello stato per valutare la gravità dei problemi identificati e per individuare le possibili cause su cui indagare. | |
| CCCS-fPBMM-CA-7.G | CA-7.G Monitoraggio continuo | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| CCCS-fPBMM-CA-7.G | CA-7.G Monitoraggio continuo | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| CCCS-fPBMM-CA-7.G | CA-7.G Monitoraggio continuo | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| CCCS-fPBMM-CA-7.G | CA-7.G Monitoraggio continuo | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-CA-7.G | CA-7.G Monitoraggio continuo | Assicurati che i dati dei log degli eventi vengano mantenuti per una durata minima per i gruppi di log in modo da agevolare la risoluzione dei problemi e le indagini forensi. La mancata disponibilità dei dati dei log degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. | |
| CCCS-fPBMM-CA-7.G | CA-7.G Monitoraggio continuo | Abilita questa regola per assicurarti che la capacità effettiva di trasmissione assegnata sia verificata nelle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura e scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando la velocità di trasmissione effettiva si avvicina al limite massimo per l'account di un cliente. Questa regola consente di impostare facoltativamente i parametri AccountRCU ThresholdPercentage (Config Default: 80) e AccountWCU ThresholdPercentage (Config Default: 80). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CA-7.G | CA-7.G Monitoraggio continuo | Abilita questa regola per migliorare il monitoraggio delle istanze Amazon Elastic Compute Cloud (Amazon EC2) sulla console Amazon EC2, che visualizza grafici di monitoraggio relativi all'istanza a intervalli di 1 minuto. | |
| CCCS-fPBMM-CA-7.G | CA-7.G Monitoraggio continuo | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-CA-7.G | CA-7.G Monitoraggio continuo | Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee guida per livelli di patch del sistema operativo, installazioni software, configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-CA-7.G | CA-7.G Monitoraggio continuo | L'abilitazione di questa regola facilita l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| CCCS-fPBMM-CA-7.G | CA-7.G Monitoraggio continuo | Questa regola garantisce che gli IP elastici allocati a un Amazon Virtual Private Cloud (Amazon VPC) siano collegati a istanze Amazon Elastic Compute Cloud (Amazon EC2) o a interfacce di rete elastiche in uso. Questa regola aiuta a monitorare gli EIP non utilizzati nel tuo ambiente. | |
| CCCS-fPBMM-CA-7.G | CA-7.G Monitoraggio continuo | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| CCCS-fPBMM-CA-7.G | CA-7.G Monitoraggio continuo | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-CA-7.G | CA-7.G Monitoraggio continuo | Amazon ti GuardDuty aiuta a comprendere l'impatto di un incidente classificando i risultati in base alla gravità: bassa, media e alta. Puoi utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola consente di impostare facoltativamente daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) e daysHighSev (Config Default: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione. | |
| CCCS-fPBMM-CA-7.G | CA-7.G Monitoraggio continuo | Abilita questa regola per avvisare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione restituisce un errore. | |
| CCCS-fPBMM-CA-7.G | CA-7.G Monitoraggio continuo | AWS CloudTrail registra le azioni della console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-CA-7.G | CA-7.G Monitoraggio continuo | Abilita Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità di Amazon RDS. Ciò fornisce una visibilità dettagliata sullo stato delle istanze database Amazon RDS. Quando l'archiviazione di Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ogni dispositivo. Inoltre, quando l'istanza database Amazon RDS è in esecuzione in una implementazione multi-AZ, vengono raccolti i dati per ogni dispositivo sull'host secondario e le metriche dell'host secondario. | |
| CCCS-fPBMM-CA-7.G | CA-7.G Monitoraggio continuo | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| CCCS-fPBMM-CA-7.G | CA-7.G Monitoraggio continuo | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CA-7.G | CA-7.G Monitoraggio continuo | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| CCCS-fPBMM-CA-7.G | CA-7.G Monitoraggio continuo | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| CCCS-fPBMM-CA-7.G | CA-7.G Monitoraggio continuo | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| CCCS-fPBMM-CA-7.G | CA-7.G Monitoraggio continuo | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) su ACL Web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| CCCS-fPBMM-CA-9.A | CA-9.A Connessioni interne al sistema | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-CA-9.A | CA-9.A Connessioni interne al sistema | Assicurati che le fasi REST API del Gateway Amazon API siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare la provenienza delle richieste dal Gateway API. | |
| CCCS-fPBMM-CA-9.A | CA-9.A Connessioni interne al sistema | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-CA-9.A | CA-9.A Connessioni interne al sistema | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-CA-9.A | CA-9.A Connessioni interne al sistema | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-CA-9.A | CA-9.A Connessioni interne al sistema | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| CCCS-fPBMM-CA-9.A | CA-9.A Connessioni interne al sistema | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-CA-9.A | CA-9.A Connessioni interne al sistema | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| CCCS-fPBMM-CA-9.A | CA-9.A Connessioni interne al sistema | Per proteggere i dati in transito, assicurati che gli ascoltatori SSL Classic Elastic Load Balancing utilizzino una policy di sicurezza predefinita. Elastic Load Balancing fornisce configurazioni di negoziazione SSL predefinite, che vengono utilizzate per la negoziazione SSL quando viene stabilita una connessione tra un client e il load balancer. Le configurazioni di negoziazione SSL garantiscono la compatibilità con un'ampia gamma di client e utilizzano algoritmi di crittografia altamente sicuri. Questa regola richiede l'impostazione di una policy di sicurezza predefinita per gli ascoltatori SSL. La politica di sicurezza predefinita è: ELB -TLS-1-2-2017-0. SecurityPolicy Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-CA-9.A | CA-9.A Connessioni interne al sistema | Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-CA-9.A | CA-9.A Connessioni interne al sistema | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-CA-9.A | CA-9.A Connessioni interne al sistema | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| CCCS-fPBMM-CA-9.A | CA-9.A Connessioni interne al sistema | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) in un Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| CCCS-fPBMM-CA-9.A | CA-9.A Connessioni interne al sistema | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| CCCS-fPBMM-CA-9.A | CA-9.A Connessioni interne al sistema | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| CCCS-fPBMM-CA-9.A | CA-9.A Connessioni interne al sistema | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Questa configurazione non richiede un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| CCCS-fPBMM-CA-9.A | CA-9.A Connessioni interne al sistema | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-CA-9.A | CA-9.A Connessioni interne al sistema | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-CA-9.A | CA-9.A Connessioni interne al sistema | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-CA-9.A | CA-9.A Connessioni interne al sistema | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-CA-9.A | CA-9.A Connessioni interne al sistema | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-CA-9.A | CA-9.A Connessioni interne al sistema | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CA-9.A | CA-9.A Connessioni interne al sistema | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CA-9.A | CA-9.A Connessioni interne al sistema | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| CCCS-fPBMM-CA-9.A | CA-9.A Connessioni interne al sistema | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-CA-9.A | CA-9.A Connessioni interne al sistema | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-CA-9.A | CA-9.A Connessioni interne al sistema | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-CA-9.A | CA-9.A Connessioni interne al sistema | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| CCCS-fPBMM-CA-9.A | CA-9.A Connessioni interne al sistema | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| CCCS-fPBMM-CA-9.A | CA-9.A Connessioni interne al sistema | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| CCCS-fPBMM-CA-9.A | CA-9.A Connessioni interne al sistema | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni. | |
| CCCS-fPBMM-CM-2.A | Configurazione di base CM-2.A | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-CM-2.A | Configurazione di base CM-2.A | Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee guida per livelli di patch del sistema operativo, installazioni software, configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-CM-2.A | Configurazione di base CM-2.A | Abilita questa regola per facilitare la configurazione di base delle istanze Amazon Elastic Compute Cloud (Amazon EC2) verificando se le istanze Amazon EC2 sono state interrotte per un numero di giorni superiore a quello consentito, secondo gli standard dell'organizzazione. | |
| CCCS-fPBMM-CM-2.A | Configurazione di base CM-2.A | Questa regola garantisce che i volumi Amazon Elastic Block Store collegati a istanze Amazon Elastic Compute Cloud (Amazon EC2) siano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegato viene terminata, potrebbe violare il concetto di funzionalità minima. | |
| CCCS-fPBMM-CM-2.A | Configurazione di base CM-2.A | Questa regola garantisce che per Elastic Load Balancing sia abilitata la protezione da eliminazione. Utilizza questa funzionalità per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| CCCS-fPBMM-CM-2.A | Configurazione di base CM-2.A | Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno finestre di manutenzione preferite e periodi di conservazione automatica degli snapshot per il database. Questa regola richiede di impostare il allowVersionUpgrade. Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sab: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CM-2.A | Configurazione di base CM-2.A | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CM-3.A | CM-3.A Controllo delle modifiche alla configurazione | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-CM-3.A | CM-3.A Controllo delle modifiche alla configurazione | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-CM-3.B | CM-3.B Controllo delle modifiche alla configurazione | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-CM-3.B | CM-3.B Controllo delle modifiche alla configurazione | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-CM-3.C | CM-3.C Controllo delle modifiche alla configurazione | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-CM-3.C | CM-3.C Controllo delle modifiche alla configurazione | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-CM-3.D | CM-3.D Controllo delle modifiche alla configurazione | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-CM-3.D | CM-3.D Controllo delle modifiche alla configurazione | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-CM-3.E | CM-3.E Controllo delle modifiche alla configurazione | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-CM-3.E | CM-3.E Controllo delle modifiche alla configurazione | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-CM-3.F | CM-3.F Controllo delle modifiche alla configurazione | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-CM-3.F | CM-3.F Controllo delle modifiche alla configurazione | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-CM-3.G | CM-3.G Controllo delle modifiche alla configurazione | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-CM-3.G | CM-3.G Controllo delle modifiche alla configurazione | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-CM-5(1) | CM-5(1) Limitazioni di accesso per modifiche | Applicazione/audit automatizzati degli accessi | Le credenziali vengono verificate per i dispositivi, gli utenti e i processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate come specificato dalla politica organizzativa. La modifica delle chiavi di accesso a intervalli regolari è una best practice di sicurezza. Riduce il periodo di attività di una chiave di accesso e l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione delle chiavi di accesso (valore di configurazione predefinito: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-CM-5(1) | CM-5(1) Limitazioni di accesso per modifiche | Applicazione/audit automatizzati degli accessi | La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti. | |
| CCCS-fPBMM-CM-5(1) | CM-5(1) Limitazioni di accesso per modifiche | Applicazione/audit automatizzati degli accessi | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| CCCS-fPBMM-CM-5(1) | CM-5(1) Limitazioni di accesso per modifiche | Applicazione/audit automatizzati degli accessi | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| CCCS-fPBMM-CM-5(1) | CM-5(1) Limitazioni di accesso per modifiche | Applicazione/audit automatizzati degli accessi | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-CM-5(1) | CM-5(1) Limitazioni di accesso per modifiche | Applicazione/audit automatizzati degli accessi | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei CloudTrail log. La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| CCCS-fPBMM-CM-5(1) | CM-5(1) Limitazioni di accesso per modifiche | Applicazione/audit automatizzati degli accessi | Assicurati che i dati dei log degli eventi vengano mantenuti per una durata minima per i gruppi di log in modo da agevolare la risoluzione dei problemi e le indagini forensi. La mancata disponibilità dei dati dei log degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. | |
| CCCS-fPBMM-CM-5(1) | CM-5(1) Limitazioni di accesso per modifiche | Applicazione/audit automatizzati degli accessi | Assicurati che il metodo del servizio di metadati di istanza versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, puoi implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| CCCS-fPBMM-CM-5(1) | CM-5(1) Limitazioni di accesso per modifiche | Applicazione/audit automatizzati degli accessi | Se una definizione di attività ha privilegi elevati, significa che il cliente ha scelto specificamente di accedere a tali configurazioni. Questo controllo verifica l'aumento imprevisto dei privilegi quando la rete host prevede una definizione di attività ma il cliente non ha scelto privilegi elevati. | |
| CCCS-fPBMM-CM-5(1) | CM-5(1) Limitazioni di accesso per modifiche | Applicazione/audit automatizzati degli accessi | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| CCCS-fPBMM-CM-5(1) | CM-5(1) Limitazioni di accesso per modifiche | Applicazione/audit automatizzati degli accessi | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| CCCS-fPBMM-CM-5(1) | CM-5(1) Limitazioni di accesso per modifiche | Applicazione/audit automatizzati degli accessi | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CM-5(1) | CM-5(1) Limitazioni di accesso per modifiche | Applicazione/audit automatizzati degli accessi | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base ai permessi associati o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| CCCS-fPBMM-CM-5(1) | CM-5(1) Limitazioni di accesso per modifiche | Applicazione/audit automatizzati degli accessi | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CM-5(1) | CM-5(1) Limitazioni di accesso per modifiche | Applicazione/audit automatizzati degli accessi | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| CCCS-fPBMM-CM-5(1) | CM-5(1) Limitazioni di accesso per modifiche | Applicazione/audit automatizzati degli accessi | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti dichiarati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CM-5(1) | CM-5(1) Limitazioni di accesso per modifiche | Applicazione/audit automatizzati degli accessi | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-CM-5(1) | CM-5(1) Limitazioni di accesso per modifiche | Applicazione/audit automatizzati degli accessi | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| CCCS-fPBMM-CM-5(1) | CM-5(1) Limitazioni di accesso per modifiche | Applicazione/audit automatizzati degli accessi | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-CM-5(1) | CM-5(1) Limitazioni di accesso per modifiche | Applicazione/audit automatizzati degli accessi | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS . Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti dovuti alla compromissione degli account richiedendo l'autenticazione a più fattori per gli utenti. | |
| CCCS-fPBMM-CM-5(1) | CM-5(1) Limitazioni di accesso per modifiche | Applicazione/audit automatizzati degli accessi | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| CCCS-fPBMM-CM-5(1) | CM-5(1) Limitazioni di accesso per modifiche | Applicazione/audit automatizzati degli accessi | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-CM-5(1) | CM-5(1) Limitazioni di accesso per modifiche | Applicazione/audit automatizzati degli accessi | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| CCCS-fPBMM-CM-5(1) | CM-5(1) Limitazioni di accesso per modifiche | Applicazione/audit automatizzati degli accessi | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-CM-5(1) | CM-5(1) Limitazioni di accesso per modifiche | Applicazione/audit automatizzati degli accessi | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| CCCS-fPBMM-CM-5(1) | CM-5(1) Limitazioni di accesso per modifiche | Applicazione/audit automatizzati degli accessi | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CM-5(1) | CM-5(1) Limitazioni di accesso per modifiche | Applicazione/audit automatizzati degli accessi | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| CCCS-fPBMM-CM-5(1) | CM-5(1) Limitazioni di accesso per modifiche | Applicazione/audit automatizzati degli accessi | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| CCCS-fPBMM-CM-5(1) | CM-5(1) Limitazioni di accesso per modifiche | Applicazione/audit automatizzati degli accessi | Questa regola garantisce che AWS i segreti di Secrets Manager abbiano la rotazione abilitata. La rotazione dei segreti secondo una pianificazione regolare può abbreviare il periodo di attività di un segreto e ridurre potenzialmente l'impatto aziendale in caso di compromissione del segreto. | |
| CCCS-fPBMM-CM-5(1) | CM-5(1) Limitazioni di accesso per modifiche | Applicazione/audit automatizzati degli accessi | Questa regola garantisce che AWS i segreti di Secrets Manager siano ruotati correttamente in base alla pianificazione di rotazione. La rotazione dei segreti secondo una pianificazione regolare può abbreviare il periodo di attività di un segreto e ridurre potenzialmente l'impatto aziendale in caso di compromissione. | |
| CCCS-fPBMM-CM-5(1) | CM-5(1) Limitazioni di accesso per modifiche | Applicazione/audit automatizzati degli accessi | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| CCCS-fPBMM-CM-5(1) | CM-5(1) Limitazioni di accesso per modifiche | Applicazione/audit automatizzati degli accessi | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sugli ACL web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| CCCS-fPBMM-CM-5(5) | CM-5(5) Limitazioni di accesso per modifiche | Limitazione della produzione/privilegi operativi | Assicurati che ai punti AWS di ripristino di Backup sia associata una policy basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. L'utilizzo di una policy basata sulle risorse che impedisca l'eliminazione dei punti di ripristino può aiutare a prevenire l'eliminazione accidentale o intenzionale. | |
| CCCS-fPBMM-CM-5(5) | CM-5(5) Limitazioni di accesso per modifiche | Limitazione della produzione/privilegi operativi | Assicurati che il metodo del servizio di metadati di istanza versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, puoi implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| CCCS-fPBMM-CM-5(5) | CM-5(5) Limitazioni di accesso per modifiche | Limitazione della produzione/privilegi operativi | Se una definizione di attività ha privilegi elevati, significa che il cliente ha scelto specificamente di accedere a tali configurazioni. Questo controllo verifica l'aumento imprevisto dei privilegi quando la rete host prevede una definizione di attività ma il cliente non ha scelto privilegi elevati. | |
| CCCS-fPBMM-CM-5(5) | CM-5(5) Limitazioni di accesso per modifiche | Limitazione della produzione/privilegi operativi | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| CCCS-fPBMM-CM-5(5) | CM-5(5) Limitazioni di accesso per modifiche | Limitazione della produzione/privilegi operativi | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CM-5(5) | CM-5(5) Limitazioni di accesso per modifiche | Limitazione della produzione/privilegi operativi | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base ai permessi associati o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| CCCS-fPBMM-CM-5(5) | CM-5(5) Limitazioni di accesso per modifiche | Limitazione della produzione/privilegi operativi | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CM-5(5) | CM-5(5) Limitazioni di accesso per modifiche | Limitazione della produzione/privilegi operativi | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| CCCS-fPBMM-CM-5(5) | CM-5(5) Limitazioni di accesso per modifiche | Limitazione della produzione/privilegi operativi | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-CM-5(5) | CM-5(5) Limitazioni di accesso per modifiche | Limitazione della produzione/privilegi operativi | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| CCCS-fPBMM-CM-5(5) | CM-5(5) Limitazioni di accesso per modifiche | Limitazione della produzione/privilegi operativi | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-CM-5(5) | CM-5(5) Limitazioni di accesso per modifiche | Limitazione della produzione/privilegi operativi | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| CCCS-fPBMM-CM-5(5) | CM-5(5) Limitazioni di accesso per modifiche | Limitazione della produzione/privilegi operativi | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-CM-5.A | CM-5.A Limitazioni di accesso per modifiche | Assicurati che ai punti AWS di ripristino di Backup sia associata una policy basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. L'utilizzo di una policy basata sulle risorse che impedisca l'eliminazione dei punti di ripristino può aiutare a prevenire l'eliminazione accidentale o intenzionale. | |
| CCCS-fPBMM-CM-5.A | CM-5.A Limitazioni di accesso per modifiche | Assicurati che il metodo del servizio di metadati di istanza versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, puoi implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| CCCS-fPBMM-CM-5.A | CM-5.A Limitazioni di accesso per modifiche | Se una definizione di attività ha privilegi elevati, significa che il cliente ha scelto specificamente di accedere a tali configurazioni. Questo controllo verifica l'aumento imprevisto dei privilegi quando la rete host prevede una definizione di attività ma il cliente non ha scelto privilegi elevati. | |
| CCCS-fPBMM-CM-5.A | CM-5.A Limitazioni di accesso per modifiche | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| CCCS-fPBMM-CM-5.A | CM-5.A Limitazioni di accesso per modifiche | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CM-5.A | CM-5.A Limitazioni di accesso per modifiche | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base ai permessi associati o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| CCCS-fPBMM-CM-5.A | CM-5.A Limitazioni di accesso per modifiche | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CM-5.A | CM-5.A Limitazioni di accesso per modifiche | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| CCCS-fPBMM-CM-5.A | CM-5.A Limitazioni di accesso per modifiche | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-CM-5.A | CM-5.A Limitazioni di accesso per modifiche | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| CCCS-fPBMM-CM-5.A | CM-5.A Limitazioni di accesso per modifiche | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-CM-5.A | CM-5.A Limitazioni di accesso per modifiche | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| CCCS-fPBMM-CM-5.A | CM-5.A Limitazioni di accesso per modifiche | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-CM-6(1) | CM-6(1) Impostazioni della configurazione | Gestione centrale automatizzata / Applicazione / Verifica | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-CM-6(1) | CM-6(1) Impostazioni della configurazione | Gestione centrale automatizzata / Applicazione / Verifica | Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee guida per livelli di patch del sistema operativo, installazioni software, configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-CM-6(1) | CM-6(1) Impostazioni della configurazione | Gestione centrale automatizzata / Applicazione / Verifica | L'abilitazione di questa regola facilita l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| CCCS-fPBMM-CM-6.A | CM-6.A Impostazioni della configurazione | Le credenziali vengono verificate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate come specificato dalla politica organizzativa. La modifica delle chiavi di accesso a intervalli regolari è una best practice di sicurezza. Riduce il periodo di attività di una chiave di accesso e l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione delle chiavi di accesso (valore di configurazione predefinito: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-CM-6.A | CM-6.A Impostazioni della configurazione | I controlli dell'integrità Elastic Load Balancer (ELB) per i gruppi con dimensionamento automatico Amazon Elastic Compute Cloud (Amazon EC2) supportano il mantenimento di capacità e disponibilità adeguate. Periodicamente, il sistema di bilanciamento del carico invia ping, effettua tentativi di connessione o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo con dimensionamento automatico. Se un'istanza non risponde, il traffico viene inviato a una nuova istanza Amazon EC2. | |
| CCCS-fPBMM-CM-6.A | CM-6.A Impostazioni della configurazione | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| CCCS-fPBMM-CM-6.A | CM-6.A Impostazioni della configurazione | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| CCCS-fPBMM-CM-6.A | CM-6.A Impostazioni della configurazione | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CloudTrail percorsi. | |
| CCCS-fPBMM-CM-6.A | CM-6.A Impostazioni della configurazione | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei CloudTrail registri. La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| CCCS-fPBMM-CM-6.A | CM-6.A Impostazioni della configurazione | Abilita la rotazione delle chiavi per garantire che vengano ruotate una volta terminato il loro periodo di crittografia. | |
| CCCS-fPBMM-CM-6.A | CM-6.A Impostazioni della configurazione | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-CM-6.A | CM-6.A Impostazioni della configurazione | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). | |
| CCCS-fPBMM-CM-6.A | CM-6.A Impostazioni della configurazione | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| CCCS-fPBMM-CM-6.A | CM-6.A Impostazioni della configurazione | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti dichiarati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CM-6.A | CM-6.A Impostazioni della configurazione | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-CM-6.A | CM-6.A Impostazioni della configurazione | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| CCCS-fPBMM-CM-6.A | CM-6.A Impostazioni della configurazione | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-CM-6.A | CM-6.A Impostazioni della configurazione | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| CCCS-fPBMM-CM-6.A | CM-6.A Impostazioni della configurazione | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-CM-6.A | CM-6.A Impostazioni della configurazione | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| CCCS-fPBMM-CM-6.A | CM-6.A Impostazioni della configurazione | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| CCCS-fPBMM-CM-6.A | CM-6.A Impostazioni della configurazione | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-CM-6.A | CM-6.A Impostazioni della configurazione | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CM-6.A | CM-6.A Impostazioni della configurazione | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| CCCS-fPBMM-CM-6.A | CM-6.A Impostazioni della configurazione | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CM-6.A | CM-6.A Impostazioni della configurazione | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| CCCS-fPBMM-CM-6.A | CM-6.A Impostazioni della configurazione | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-CM-6.A | CM-6.A Impostazioni della configurazione | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-CM-6.A | CM-6.A Impostazioni della configurazione | La replica tra regioni (CRR) di Amazon Simple Storage Service (Amazon S3) supporta il mantenimento di capacità e disponibilità adeguate. La replica tra regioni (CRR) consente la copia asincrona e automatica di oggetti tra bucket Amazon S3 per assicurare il mantenimento della disponibilità dei dati. | |
| CCCS-fPBMM-CM-6.A | CM-6.A Impostazioni della configurazione | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| CCCS-fPBMM-CM-6.A | CM-6.A Impostazioni della configurazione | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-CM-6.A | CM-6.A Impostazioni della configurazione | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| CCCS-fPBMM-CM-6.A | CM-6.A Impostazioni della configurazione | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| CCCS-fPBMM-CM-6.B | CM-6.B Impostazioni della configurazione | Le credenziali vengono verificate per i dispositivi, gli utenti e i processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate come specificato dalla politica organizzativa. La modifica delle chiavi di accesso a intervalli regolari è una best practice di sicurezza. Riduce il periodo di attività di una chiave di accesso e l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione delle chiavi di accesso (valore di configurazione predefinito: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-CM-6.B | CM-6.B Impostazioni della configurazione | I controlli dell'integrità Elastic Load Balancer (ELB) per i gruppi con dimensionamento automatico Amazon Elastic Compute Cloud (Amazon EC2) supportano il mantenimento di capacità e disponibilità adeguate. Periodicamente, il sistema di bilanciamento del carico invia ping, effettua tentativi di connessione o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo con dimensionamento automatico. Se un'istanza non risponde, il traffico viene inviato a una nuova istanza Amazon EC2. | |
| CCCS-fPBMM-CM-6.B | CM-6.B Impostazioni della configurazione | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| CCCS-fPBMM-CM-6.B | CM-6.B Impostazioni della configurazione | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| CCCS-fPBMM-CM-6.B | CM-6.B Impostazioni della configurazione | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CloudTrail percorsi. | |
| CCCS-fPBMM-CM-6.B | CM-6.B Impostazioni della configurazione | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei CloudTrail registri. La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| CCCS-fPBMM-CM-6.B | CM-6.B Impostazioni della configurazione | Abilita la rotazione delle chiavi per garantire che vengano ruotate una volta terminato il loro periodo di crittografia. | |
| CCCS-fPBMM-CM-6.B | CM-6.B Impostazioni della configurazione | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-CM-6.B | CM-6.B Impostazioni della configurazione | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). | |
| CCCS-fPBMM-CM-6.B | CM-6.B Impostazioni della configurazione | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| CCCS-fPBMM-CM-6.B | CM-6.B Impostazioni della configurazione | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti dichiarati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CM-6.B | CM-6.B Impostazioni della configurazione | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-CM-6.B | CM-6.B Impostazioni della configurazione | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| CCCS-fPBMM-CM-6.B | CM-6.B Impostazioni della configurazione | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-CM-6.B | CM-6.B Impostazioni della configurazione | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| CCCS-fPBMM-CM-6.B | CM-6.B Impostazioni della configurazione | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-CM-6.B | CM-6.B Impostazioni della configurazione | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| CCCS-fPBMM-CM-6.B | CM-6.B Impostazioni della configurazione | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| CCCS-fPBMM-CM-6.B | CM-6.B Impostazioni della configurazione | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-CM-6.B | CM-6.B Impostazioni della configurazione | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CM-6.B | CM-6.B Impostazioni della configurazione | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| CCCS-fPBMM-CM-6.B | CM-6.B Impostazioni della configurazione | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CM-6.B | CM-6.B Impostazioni della configurazione | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| CCCS-fPBMM-CM-6.B | CM-6.B Impostazioni della configurazione | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-CM-6.B | CM-6.B Impostazioni della configurazione | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-CM-6.B | CM-6.B Impostazioni della configurazione | La replica tra regioni (CRR) di Amazon Simple Storage Service (Amazon S3) supporta il mantenimento di capacità e disponibilità adeguate. La replica tra regioni (CRR) consente la copia asincrona e automatica di oggetti tra bucket Amazon S3 per assicurare il mantenimento della disponibilità dei dati. | |
| CCCS-fPBMM-CM-6.B | CM-6.B Impostazioni della configurazione | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| CCCS-fPBMM-CM-6.B | CM-6.B Impostazioni della configurazione | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-CM-6.B | CM-6.B Impostazioni della configurazione | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| CCCS-fPBMM-CM-6.B | CM-6.B Impostazioni della configurazione | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| CCCS-fPBMM-CM-6.C | CM-6.C Impostazioni della configurazione | Le credenziali vengono verificate per i dispositivi, gli utenti e i processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate come specificato dalla politica organizzativa. La modifica delle chiavi di accesso a intervalli regolari è una best practice di sicurezza. Riduce il periodo di attività di una chiave di accesso e l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione delle chiavi di accesso (valore di configurazione predefinito: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-CM-6.C | CM-6.C Impostazioni della configurazione | I controlli dell'integrità Elastic Load Balancer (ELB) per i gruppi con dimensionamento automatico Amazon Elastic Compute Cloud (Amazon EC2) supportano il mantenimento di capacità e disponibilità adeguate. Periodicamente, il sistema di bilanciamento del carico invia ping, effettua tentativi di connessione o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo con dimensionamento automatico. Se un'istanza non risponde, il traffico viene inviato a una nuova istanza Amazon EC2. | |
| CCCS-fPBMM-CM-6.C | CM-6.C Impostazioni della configurazione | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| CCCS-fPBMM-CM-6.C | CM-6.C Impostazioni della configurazione | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| CCCS-fPBMM-CM-6.C | CM-6.C Impostazioni della configurazione | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CloudTrail percorsi. | |
| CCCS-fPBMM-CM-6.C | CM-6.C Impostazioni della configurazione | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei CloudTrail registri. La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| CCCS-fPBMM-CM-6.C | CM-6.C Impostazioni della configurazione | Abilita la rotazione delle chiavi per garantire che vengano ruotate una volta terminato il loro periodo di crittografia. | |
| CCCS-fPBMM-CM-6.C | CM-6.C Impostazioni della configurazione | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-CM-6.C | CM-6.C Impostazioni della configurazione | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). | |
| CCCS-fPBMM-CM-6.C | CM-6.C Impostazioni della configurazione | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| CCCS-fPBMM-CM-6.C | CM-6.C Impostazioni della configurazione | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti dichiarati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CM-6.C | CM-6.C Impostazioni della configurazione | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-CM-6.C | CM-6.C Impostazioni della configurazione | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| CCCS-fPBMM-CM-6.C | CM-6.C Impostazioni della configurazione | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-CM-6.C | CM-6.C Impostazioni della configurazione | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| CCCS-fPBMM-CM-6.C | CM-6.C Impostazioni della configurazione | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-CM-6.C | CM-6.C Impostazioni della configurazione | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| CCCS-fPBMM-CM-6.C | CM-6.C Impostazioni della configurazione | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| CCCS-fPBMM-CM-6.C | CM-6.C Impostazioni della configurazione | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-CM-6.C | CM-6.C Impostazioni della configurazione | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CM-6.C | CM-6.C Impostazioni della configurazione | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| CCCS-fPBMM-CM-6.C | CM-6.C Impostazioni della configurazione | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CM-6.C | CM-6.C Impostazioni della configurazione | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| CCCS-fPBMM-CM-6.C | CM-6.C Impostazioni della configurazione | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-CM-6.C | CM-6.C Impostazioni della configurazione | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-CM-6.C | CM-6.C Impostazioni della configurazione | La replica tra regioni (CRR) di Amazon Simple Storage Service (Amazon S3) supporta il mantenimento di capacità e disponibilità adeguate. La replica tra regioni (CRR) consente la copia asincrona e automatica di oggetti tra bucket Amazon S3 per assicurare il mantenimento della disponibilità dei dati. | |
| CCCS-fPBMM-CM-6.C | CM-6.C Impostazioni della configurazione | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| CCCS-fPBMM-CM-6.C | CM-6.C Impostazioni della configurazione | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-CM-6.C | CM-6.C Impostazioni della configurazione | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| CCCS-fPBMM-CM-6.C | CM-6.C Impostazioni della configurazione | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| CCCS-fPBMM-CM-6.D | CM-6.D Impostazioni della configurazione | Le credenziali vengono verificate per i dispositivi, gli utenti e i processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate come specificato dalla politica organizzativa. La modifica delle chiavi di accesso a intervalli regolari è una best practice di sicurezza. Riduce il periodo di attività di una chiave di accesso e l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione delle chiavi di accesso (valore di configurazione predefinito: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-CM-6.D | CM-6.D Impostazioni della configurazione | I controlli dell'integrità Elastic Load Balancer (ELB) per i gruppi con dimensionamento automatico Amazon Elastic Compute Cloud (Amazon EC2) supportano il mantenimento di capacità e disponibilità adeguate. Periodicamente, il sistema di bilanciamento del carico invia ping, effettua tentativi di connessione o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo con dimensionamento automatico. Se un'istanza non risponde, il traffico viene inviato a una nuova istanza Amazon EC2. | |
| CCCS-fPBMM-CM-6.D | CM-6.D Impostazioni della configurazione | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| CCCS-fPBMM-CM-6.D | CM-6.D Impostazioni della configurazione | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| CCCS-fPBMM-CM-6.D | CM-6.D Impostazioni della configurazione | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CloudTrail percorsi. | |
| CCCS-fPBMM-CM-6.D | CM-6.D Impostazioni della configurazione | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei CloudTrail registri. La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| CCCS-fPBMM-CM-6.D | CM-6.D Impostazioni della configurazione | Abilita la rotazione delle chiavi per garantire che vengano ruotate una volta terminato il loro periodo di crittografia. | |
| CCCS-fPBMM-CM-6.D | CM-6.D Impostazioni della configurazione | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-CM-6.D | CM-6.D Impostazioni della configurazione | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). | |
| CCCS-fPBMM-CM-6.D | CM-6.D Impostazioni della configurazione | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| CCCS-fPBMM-CM-6.D | CM-6.D Impostazioni della configurazione | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti indicati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CM-6.D | CM-6.D Impostazioni della configurazione | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-CM-6.D | CM-6.D Impostazioni della configurazione | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| CCCS-fPBMM-CM-6.D | CM-6.D Impostazioni della configurazione | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-CM-6.D | CM-6.D Impostazioni della configurazione | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| CCCS-fPBMM-CM-6.D | CM-6.D Impostazioni della configurazione | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-CM-6.D | CM-6.D Impostazioni della configurazione | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| CCCS-fPBMM-CM-6.D | CM-6.D Impostazioni della configurazione | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| CCCS-fPBMM-CM-6.D | CM-6.D Impostazioni della configurazione | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-CM-6.D | CM-6.D Impostazioni della configurazione | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CM-6.D | CM-6.D Impostazioni della configurazione | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| CCCS-fPBMM-CM-6.D | CM-6.D Impostazioni della configurazione | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CM-6.D | CM-6.D Impostazioni della configurazione | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| CCCS-fPBMM-CM-6.D | CM-6.D Impostazioni della configurazione | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-CM-6.D | CM-6.D Impostazioni della configurazione | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-CM-6.D | CM-6.D Impostazioni della configurazione | La replica tra regioni (CRR) di Amazon Simple Storage Service (Amazon S3) supporta il mantenimento di capacità e disponibilità adeguate. La replica tra regioni (CRR) consente la copia asincrona e automatica di oggetti tra bucket Amazon S3 per assicurare il mantenimento della disponibilità dei dati. | |
| CCCS-fPBMM-CM-6.D | CM-6.D Impostazioni della configurazione | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| CCCS-fPBMM-CM-6.D | CM-6.D Impostazioni della configurazione | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-CM-6.D | CM-6.D Impostazioni della configurazione | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| CCCS-fPBMM-CM-6.D | CM-6.D Impostazioni della configurazione | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| CCCS-fPBMM-CM-7.A | CM-7.A Funzionalità minima | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| CCCS-fPBMM-CM-7.A | CM-7.A Funzionalità minima | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CM-7.B | CM-7.B Funzionalità minima | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| CCCS-fPBMM-CM-7.B | CM-7.B Funzionalità minima | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CM-8(1) | CM-8(1) Inventario dei componenti del sistema informativo | Aggiornamenti durante l'installazione e la rimozione | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-CM-8(1) | CM-8(1) Inventario dei componenti del sistema informativo | Aggiornamenti durante l'installazione e la rimozione | Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee guida per livelli di patch del sistema operativo, installazioni software, configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-CM-8(2) | CM-8(2) Inventario dei componenti del sistema informativo | Manutenzione automatizzata | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-CM-8(2) | CM-8(2) Inventario dei componenti del sistema informativo | Manutenzione automatizzata | Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee guida per livelli di patch del sistema operativo, installazioni software, configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-CM-8(3) | CM-8(3) Inventario dei componenti del sistema informativo | Rilevamento automatico dei componenti non autorizzati | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-CM-8(3) | CM-8(3) Inventario dei componenti del sistema informativo | Rilevamento automatico dei componenti non autorizzati | Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee guida per livelli di patch del sistema operativo, installazioni software, configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-CM-8(3) | CM-8(3) Inventario dei componenti del sistema informativo | Rilevamento automatico dei componenti non autorizzati | L'abilitazione di questa regola facilita l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| CCCS-fPBMM-CM-8(3) | CM-8(3) Inventario dei componenti del sistema informativo | Rilevamento automatico dei componenti non autorizzati | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-CM-8.A | CM-8.A Inventario dei componenti del sistema informativo | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-CM-8.A | CM-8.A Inventario dei componenti del sistema informativo | Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee guida per livelli di patch del sistema operativo, installazioni software, configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-CM-8.B | CM-8.B Inventario dei componenti del sistema informativo | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-CM-8.B | CM-8.B Inventario dei componenti del sistema informativo | Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee guida per livelli di patch del sistema operativo, installazioni software, configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-CM-8.C | CM-8.C Inventario dei componenti del sistema informativo | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-CM-8.C | CM-8.C Inventario dei componenti del sistema informativo | Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee guida per livelli di patch del sistema operativo, installazioni software, configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-CM-8.D | CM-8.D Inventario dei componenti del sistema informativo | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-CM-8.D | CM-8.D Inventario dei componenti del sistema informativo | Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee guida per livelli di patch del sistema operativo, installazioni software, configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-CM-8.E | CM-8.E Inventario dei componenti del sistema informativo | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-CM-8.E | CM-8.E Inventario dei componenti del sistema informativo | Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee guida per livelli di patch del sistema operativo, installazioni software, configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-CP-2(5) | CP-2(5) Piano di emergenza | Continuazione di missioni/funzioni aziendali essenziali | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon Aurora facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-2(5) | CP-2(5) Piano di emergenza | Continuazione di missioni/funzioni aziendali essenziali | Per facilitare i processi di backup dei dati, assicurati che il piano di AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Questa regola consente di impostare i parametri requiredFrequencyValue (Config default: 1), ( requiredRetentionDaysConfig default: 35) e ( requiredFrequencyUnit Config default: days). Il valore effettivo deve essere conforme ai requisiti dell'organizzazione. | |
| CCCS-fPBMM-CP-2(5) | CP-2(5) Piano di emergenza | Continuazione di missioni/funzioni aziendali essenziali | Assicurati che la crittografia sia abilitata per i punti AWS di ripristino del Backup. Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-CP-2(5) | CP-2(5) Piano di emergenza | Continuazione di missioni/funzioni aziendali essenziali | Assicurati che ai punti AWS di ripristino di Backup sia associata una policy basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. L'utilizzo di una policy basata sulle risorse che impedisca l'eliminazione dei punti di ripristino può aiutare a prevenire l'eliminazione accidentale o intenzionale. | |
| CCCS-fPBMM-CP-2(5) | CP-2(5) Piano di emergenza | Continuazione di missioni/funzioni aziendali essenziali | Per facilitare i processi di backup dei dati, assicurati che per i punti di ripristino di AWS Backup sia impostato un periodo minimo di conservazione. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Questa regola consente di impostare il parametro requiredRetentionDays (configurazione predefinita: 35). Il valore effettivo deve essere conforme ai requisiti dell'organizzazione. | |
| CCCS-fPBMM-CP-2(5) | CP-2(5) Piano di emergenza | Continuazione di missioni/funzioni aziendali essenziali | La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot di archiviazione del volume dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| CCCS-fPBMM-CP-2(5) | CP-2(5) Piano di emergenza | Continuazione di missioni/funzioni aziendali essenziali | La scalabilità automatica di Amazon DynamoDB utilizza il servizio Application AWS Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura e scrittura assegnata per gestire improvvisi aumenti di traffico, senza alcuna limitazione (della larghezza di banda della rete). | |
| CCCS-fPBMM-CP-2(5) | CP-2(5) Piano di emergenza | Continuazione di missioni/funzioni aziendali essenziali | Abilita questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella degli ultimi 35 giorni. | |
| CCCS-fPBMM-CP-2(5) | CP-2(5) Piano di emergenza | Continuazione di missioni/funzioni aziendali essenziali | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-2(5) | CP-2(5) Piano di emergenza | Continuazione di missioni/funzioni aziendali essenziali | Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) fornisce capacità dedicata aggiuntiva per le operazioni di I/O Amazon EBS. Tale ottimizzazione offre le prestazioni migliori in termini di efficienza per i volumi EBS, riducendo al minimo i conflitti tra le operazioni I/O Amazon EBS e altro traffico proveniente dall'istanza. | |
| CCCS-fPBMM-CP-2(5) | CP-2(5) Piano di emergenza | Continuazione di missioni/funzioni aziendali essenziali | Per facilitare i processi di backup dei dati, assicurati che le risorse di Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-2(5) | CP-2(5) Piano di emergenza | Continuazione di missioni/funzioni aziendali essenziali | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon Elastic Compute Cloud (Amazon EC2) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-2(5) | CP-2(5) Piano di emergenza | Continuazione di missioni/funzioni aziendali essenziali | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-2(5) | CP-2(5) Piano di emergenza | Continuazione di missioni/funzioni aziendali essenziali | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere mantenuto per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
| CCCS-fPBMM-CP-2(5) | CP-2(5) Piano di emergenza | Continuazione di missioni/funzioni aziendali essenziali | Abilita il bilanciamento del carico tra zone per gli Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze. | |
| CCCS-fPBMM-CP-2(5) | CP-2(5) Piano di emergenza | Continuazione di missioni/funzioni aziendali essenziali | Questa regola garantisce che per Elastic Load Balancing sia abilitata la protezione da eliminazione. Utilizza questa funzionalità per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| CCCS-fPBMM-CP-2(5) | CP-2(5) Piano di emergenza | Continuazione di missioni/funzioni aziendali essenziali | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon FSx facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-2(5) | CP-2(5) Piano di emergenza | Continuazione di missioni/funzioni aziendali essenziali | Assicurati che per le istanze di Amazon Relational Database Service (Amazon RDS) sia abilitata la protezione da eliminazione. Utilizza la protezione da eliminazione per evitare che le istanze Amazon RDS vengano eliminate accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| CCCS-fPBMM-CP-2(5) | CP-2(5) Piano di emergenza | Continuazione di missioni/funzioni aziendali essenziali | Per favorire la disponibilità dei dati archiviati, la replica Multi-AZ deve essere abilitata per i cluster Amazon Relational Database Service (Amazon RDS). Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completato. | |
| CCCS-fPBMM-CP-2(5) | CP-2(5) Piano di emergenza | Continuazione di missioni/funzioni aziendali essenziali | Assicurati che per le istanze di Amazon Relational Database Service (Amazon RDS) sia abilitata la protezione da eliminazione. Utilizza la protezione da eliminazione per evitare che le istanze Amazon RDS vengano eliminate accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| CCCS-fPBMM-CP-2(5) | CP-2(5) Piano di emergenza | Continuazione di missioni/funzioni aziendali essenziali | Il supporto multi-AZ in Amazon Relational Database Service (Amazon RDS) offre disponibilità e durabilità avanzate per le istanze database. Quando esegui il provisioning di un'istanza database multi-AZ, Amazon RDS crea automaticamente un'istanza database primaria e replica in modo sincrono i dati in un'istanza standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completato. | |
| CCCS-fPBMM-CP-2(5) | CP-2(5) Piano di emergenza | Continuazione di missioni/funzioni aziendali essenziali | Per facilitare i processi di backup dei dati, assicurati che le risorse di Amazon Relational Database Service (Amazon RDS) facciano parte di un AWS piano di backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-2(5) | CP-2(5) Piano di emergenza | Continuazione di missioni/funzioni aziendali essenziali | Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Amazon Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per ogni nodo di modifica dei dati o per qualsiasi evento che si verifica per primo. | |
| CCCS-fPBMM-CP-2(5) | CP-2(5) Piano di emergenza | Continuazione di missioni/funzioni aziendali essenziali | La replica tra regioni (CRR) di Amazon Simple Storage Service (Amazon S3) supporta il mantenimento di capacità e disponibilità adeguate. La replica tra regioni (CRR) consente la copia asincrona e automatica di oggetti tra bucket Amazon S3 per assicurare il mantenimento della disponibilità dei dati. | |
| CCCS-fPBMM-CP-2(5) | CP-2(5) Piano di emergenza | Continuazione di missioni/funzioni aziendali essenziali | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti. | |
| CCCS-fPBMM-CP-2(5) | CP-2(5) Piano di emergenza | Continuazione di missioni/funzioni aziendali essenziali | È possibile implementare tunnel VPN sito-sito ridondanti per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso in cui una delle connessioni VPN sito-sito non sia disponibile. Per evitare la perdita di connettività nel caso in cui il gateway del cliente non sia più disponibile, puoi configurare una seconda connessione VPN sito-sito al tuo Amazon Virtual Private Cloud (Amazon VPC) e al gateway privato virtuale utilizzando un secondo dispositivo gateway del cliente. | |
| CCCS-fPBMM-CP-2(6) | CP-2(6) Piano di emergenza | Sito di elaborazione/storage alternativo | La scalabilità automatica di Amazon DynamoDB utilizza il servizio Application AWS Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura e scrittura assegnata per gestire improvvisi aumenti di traffico, senza alcuna limitazione (della larghezza di banda della rete). | |
| CCCS-fPBMM-CP-2(6) | CP-2(6) Piano di emergenza | Sito di elaborazione/storage alternativo | Abilita il bilanciamento del carico tra zone per gli Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze. | |
| CCCS-fPBMM-CP-2(6) | CP-2(6) Piano di emergenza | Sito di elaborazione/storage alternativo | AWS CloudTrail registra AWS le azioni della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-CP-2(6) | CP-2(6) Piano di emergenza | Sito di elaborazione/storage alternativo | Per favorire la disponibilità dei dati archiviati, la replica Multi-AZ deve essere abilitata per i cluster Amazon Relational Database Service (Amazon RDS). Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completato. | |
| CCCS-fPBMM-CP-2(6) | CP-2(6) Piano di emergenza | Sito di elaborazione/storage alternativo | Il supporto multi-AZ in Amazon Relational Database Service (Amazon RDS) offre disponibilità e durabilità avanzate per le istanze database. Quando esegui il provisioning di un'istanza database multi-AZ, Amazon RDS crea automaticamente un'istanza database primaria e replica in modo sincrono i dati in un'istanza standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completato. | |
| CCCS-fPBMM-CP-2(6) | CP-2(6) Piano di emergenza | Sito di elaborazione/storage alternativo | È possibile implementare tunnel VPN sito-sito ridondanti per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso in cui una delle connessioni VPN sito-sito non sia disponibile. Per evitare la perdita di connettività nel caso in cui il gateway del cliente non sia più disponibile, puoi configurare una seconda connessione VPN sito-sito al tuo Amazon Virtual Private Cloud (Amazon VPC) e al gateway privato virtuale utilizzando un secondo dispositivo gateway del cliente. | |
| CCCS-fPBMM-CP-2.A | CP-2.A Piano di emergenza | La scalabilità automatica di Amazon DynamoDB utilizza il servizio Application AWS Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura e scrittura assegnata per gestire improvvisi aumenti di traffico, senza alcuna limitazione (della larghezza di banda della rete). | |
| CCCS-fPBMM-CP-2.A | CP-2.A Piano di emergenza | Abilita il bilanciamento del carico tra zone per gli Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze. | |
| CCCS-fPBMM-CP-2.A | CP-2.A Piano di emergenza | Questa regola garantisce che per Elastic Load Balancing sia abilitata la protezione da eliminazione. Utilizza questa funzionalità per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| CCCS-fPBMM-CP-2.A | CP-2.A Piano di emergenza | Assicurati che per le istanze di Amazon Relational Database Service (Amazon RDS) sia abilitata la protezione da eliminazione. Utilizza la protezione da eliminazione per evitare che le istanze Amazon RDS vengano eliminate accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| CCCS-fPBMM-CP-2.A | CP-2.A Piano di emergenza | Per favorire la disponibilità dei dati archiviati, la replica Multi-AZ deve essere abilitata per i cluster Amazon Relational Database Service (Amazon RDS). Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completato. | |
| CCCS-fPBMM-CP-2.A | CP-2.A Piano di emergenza | Assicurati che per le istanze di Amazon Relational Database Service (Amazon RDS) sia abilitata la protezione da eliminazione. Utilizza la protezione da eliminazione per evitare che le istanze Amazon RDS vengano eliminate accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| CCCS-fPBMM-CP-2.A | CP-2.A Piano di emergenza | Il supporto multi-AZ in Amazon Relational Database Service (Amazon RDS) offre disponibilità e durabilità avanzate per le istanze database. Quando esegui il provisioning di un'istanza database multi-AZ, Amazon RDS crea automaticamente un'istanza database primaria e replica in modo sincrono i dati in un'istanza standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completato. | |
| CCCS-fPBMM-CP-2.A | CP-2.A Piano di emergenza | È possibile implementare tunnel VPN sito-sito ridondanti per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso in cui una delle connessioni VPN sito-sito non sia disponibile. Per evitare la perdita di connettività nel caso in cui il gateway del cliente non sia più disponibile, puoi configurare una seconda connessione VPN sito-sito al tuo Amazon Virtual Private Cloud (Amazon VPC) e al gateway privato virtuale utilizzando un secondo dispositivo gateway del cliente. | |
| CCCS-fPBMM-CP-2.B | CP-2.B Piano di emergenza | La scalabilità automatica di Amazon DynamoDB utilizza il servizio Application AWS Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura e scrittura assegnata per gestire improvvisi aumenti di traffico, senza alcuna limitazione (della larghezza di banda della rete). | |
| CCCS-fPBMM-CP-2.B | CP-2.B Piano di emergenza | Abilita il bilanciamento del carico tra zone per gli Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze. | |
| CCCS-fPBMM-CP-2.B | CP-2.B Piano di emergenza | Questa regola garantisce che per Elastic Load Balancing sia abilitata la protezione da eliminazione. Utilizza questa funzionalità per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| CCCS-fPBMM-CP-2.B | CP-2.B Piano di emergenza | Assicurati che per le istanze di Amazon Relational Database Service (Amazon RDS) sia abilitata la protezione da eliminazione. Utilizza la protezione da eliminazione per evitare che le istanze Amazon RDS vengano eliminate accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| CCCS-fPBMM-CP-2.B | CP-2.B Piano di emergenza | Per favorire la disponibilità dei dati archiviati, la replica Multi-AZ deve essere abilitata per i cluster Amazon Relational Database Service (Amazon RDS). Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completato. | |
| CCCS-fPBMM-CP-2.B | CP-2.B Piano di emergenza | Assicurati che per le istanze di Amazon Relational Database Service (Amazon RDS) sia abilitata la protezione da eliminazione. Utilizza la protezione da eliminazione per evitare che le istanze Amazon RDS vengano eliminate accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| CCCS-fPBMM-CP-2.B | CP-2.B Piano di emergenza | Il supporto multi-AZ in Amazon Relational Database Service (Amazon RDS) offre disponibilità e durabilità avanzate per le istanze database. Quando esegui il provisioning di un'istanza database multi-AZ, Amazon RDS crea automaticamente un'istanza database primaria e replica in modo sincrono i dati in un'istanza standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completato. | |
| CCCS-fPBMM-CP-2.B | CP-2.B Piano di emergenza | È possibile implementare tunnel VPN sito-sito ridondanti per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso in cui una delle connessioni VPN sito-sito non sia disponibile. Per evitare la perdita di connettività nel caso in cui il gateway del cliente non sia più disponibile, puoi configurare una seconda connessione VPN sito-sito al tuo Amazon Virtual Private Cloud (Amazon VPC) e al gateway privato virtuale utilizzando un secondo dispositivo gateway del cliente. | |
| CCCS-fPBMM-CP-2.C | CP-2.C Piano di emergenza | La scalabilità automatica di Amazon DynamoDB utilizza il servizio Application AWS Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura e scrittura assegnata per gestire improvvisi aumenti di traffico, senza alcuna limitazione (della larghezza di banda della rete). | |
| CCCS-fPBMM-CP-2.C | CP-2.C Piano di emergenza | Abilita il bilanciamento del carico tra zone per gli Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze. | |
| CCCS-fPBMM-CP-2.C | CP-2.C Piano di emergenza | Questa regola garantisce che per Elastic Load Balancing sia abilitata la protezione da eliminazione. Utilizza questa funzionalità per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| CCCS-fPBMM-CP-2.C | CP-2.C Piano di emergenza | Assicurati che per le istanze di Amazon Relational Database Service (Amazon RDS) sia abilitata la protezione da eliminazione. Utilizza la protezione da eliminazione per evitare che le istanze Amazon RDS vengano eliminate accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| CCCS-fPBMM-CP-2.C | CP-2.C Piano di emergenza | Per favorire la disponibilità dei dati archiviati, la replica Multi-AZ deve essere abilitata per i cluster Amazon Relational Database Service (Amazon RDS). Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completato. | |
| CCCS-fPBMM-CP-2.C | CP-2.C Piano di emergenza | Assicurati che per le istanze di Amazon Relational Database Service (Amazon RDS) sia abilitata la protezione da eliminazione. Utilizza la protezione da eliminazione per evitare che le istanze Amazon RDS vengano eliminate accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| CCCS-fPBMM-CP-2.C | CP-2.C Piano di emergenza | Il supporto multi-AZ in Amazon Relational Database Service (Amazon RDS) offre disponibilità e durabilità avanzate per le istanze database. Quando esegui il provisioning di un'istanza database multi-AZ, Amazon RDS crea automaticamente un'istanza database primaria e replica in modo sincrono i dati in un'istanza standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completato. | |
| CCCS-fPBMM-CP-2.C | CP-2.C Piano di emergenza | È possibile implementare tunnel VPN sito-sito ridondanti per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso in cui una delle connessioni VPN sito-sito non sia disponibile. Per evitare la perdita di connettività nel caso in cui il gateway del cliente non sia più disponibile, puoi configurare una seconda connessione VPN sito-sito al tuo Amazon Virtual Private Cloud (Amazon VPC) e al gateway privato virtuale utilizzando un secondo dispositivo gateway del cliente. | |
| CCCS-fPBMM-CP-2.D | CP-2.D Piano di emergenza | La scalabilità automatica di Amazon DynamoDB utilizza il servizio Application AWS Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura e scrittura assegnata per gestire improvvisi aumenti di traffico, senza alcuna limitazione (della larghezza di banda della rete). | |
| CCCS-fPBMM-CP-2.D | CP-2.D Piano di emergenza | Abilita il bilanciamento del carico tra zone per gli Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze. | |
| CCCS-fPBMM-CP-2.D | CP-2.D Piano di emergenza | Questa regola garantisce che per Elastic Load Balancing sia abilitata la protezione da eliminazione. Utilizza questa funzionalità per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| CCCS-fPBMM-CP-2.D | CP-2.D Piano di emergenza | Assicurati che per le istanze di Amazon Relational Database Service (Amazon RDS) sia abilitata la protezione da eliminazione. Utilizza la protezione da eliminazione per evitare che le istanze Amazon RDS vengano eliminate accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| CCCS-fPBMM-CP-2.D | CP-2.D Piano di emergenza | Per favorire la disponibilità dei dati archiviati, la replica Multi-AZ deve essere abilitata per i cluster Amazon Relational Database Service (Amazon RDS). Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completato. | |
| CCCS-fPBMM-CP-2.D | CP-2.D Piano di emergenza | Assicurati che per le istanze di Amazon Relational Database Service (Amazon RDS) sia abilitata la protezione da eliminazione. Utilizza la protezione da eliminazione per evitare che le istanze Amazon RDS vengano eliminate accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| CCCS-fPBMM-CP-2.D | CP-2.D Piano di emergenza | Il supporto multi-AZ in Amazon Relational Database Service (Amazon RDS) offre disponibilità e durabilità avanzate per le istanze database. Quando esegui il provisioning di un'istanza database multi-AZ, Amazon RDS crea automaticamente un'istanza database primaria e replica in modo sincrono i dati in un'istanza standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completato. | |
| CCCS-fPBMM-CP-2.D | CP-2.D Piano di emergenza | È possibile implementare tunnel VPN sito-sito ridondanti per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso in cui una delle connessioni VPN sito-sito non sia disponibile. Per evitare la perdita di connettività nel caso in cui il gateway del cliente non sia più disponibile, puoi configurare una seconda connessione VPN sito-sito al tuo Amazon Virtual Private Cloud (Amazon VPC) e al gateway privato virtuale utilizzando un secondo dispositivo gateway del cliente. | |
| CCCS-fPBMM-CP-2.E | CP-2.E Piano di emergenza | La scalabilità automatica di Amazon DynamoDB utilizza il servizio Application AWS Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura e scrittura assegnata per gestire improvvisi aumenti di traffico, senza alcuna limitazione (della larghezza di banda della rete). | |
| CCCS-fPBMM-CP-2.E | CP-2.E Piano di emergenza | Abilita il bilanciamento del carico tra zone per gli Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze. | |
| CCCS-fPBMM-CP-2.E | CP-2.E Piano di emergenza | Questa regola garantisce che per Elastic Load Balancing sia abilitata la protezione da eliminazione. Utilizza questa funzionalità per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| CCCS-fPBMM-CP-2.E | CP-2.E Piano di emergenza | Assicurati che per le istanze di Amazon Relational Database Service (Amazon RDS) sia abilitata la protezione da eliminazione. Utilizza la protezione da eliminazione per evitare che le istanze Amazon RDS vengano eliminate accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| CCCS-fPBMM-CP-2.E | CP-2.E Piano di emergenza | Per favorire la disponibilità dei dati archiviati, la replica Multi-AZ deve essere abilitata per i cluster Amazon Relational Database Service (Amazon RDS). Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completato. | |
| CCCS-fPBMM-CP-2.E | CP-2.E Piano di emergenza | Assicurati che per le istanze di Amazon Relational Database Service (Amazon RDS) sia abilitata la protezione da eliminazione. Utilizza la protezione da eliminazione per evitare che le istanze Amazon RDS vengano eliminate accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| CCCS-fPBMM-CP-2.E | CP-2.E Piano di emergenza | Il supporto multi-AZ in Amazon Relational Database Service (Amazon RDS) offre disponibilità e durabilità avanzate per le istanze database. Quando esegui il provisioning di un'istanza database multi-AZ, Amazon RDS crea automaticamente un'istanza database primaria e replica in modo sincrono i dati in un'istanza standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completato. | |
| CCCS-fPBMM-CP-2.E | CP-2.E Piano di emergenza | È possibile implementare tunnel VPN sito-sito ridondanti per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso in cui una delle connessioni VPN sito-sito non sia disponibile. Per evitare la perdita di connettività nel caso in cui il gateway del cliente non sia più disponibile, puoi configurare una seconda connessione VPN sito-sito al tuo Amazon Virtual Private Cloud (Amazon VPC) e al gateway privato virtuale utilizzando un secondo dispositivo gateway del cliente. | |
| CCCS-fPBMM-CP-2.F | CP-2.F Piano di emergenza | La scalabilità automatica di Amazon DynamoDB utilizza il servizio Application AWS Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura e scrittura assegnata per gestire improvvisi aumenti di traffico, senza alcuna limitazione (della larghezza di banda della rete). | |
| CCCS-fPBMM-CP-2.F | CP-2.F Piano di emergenza | Abilita il bilanciamento del carico tra zone per gli Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze. | |
| CCCS-fPBMM-CP-2.F | CP-2.F Piano di emergenza | Questa regola garantisce che per Elastic Load Balancing sia abilitata la protezione da eliminazione. Utilizza questa funzionalità per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| CCCS-fPBMM-CP-2.F | CP-2.F Piano di emergenza | Assicurati che per le istanze di Amazon Relational Database Service (Amazon RDS) sia abilitata la protezione da eliminazione. Utilizza la protezione da eliminazione per evitare che le istanze Amazon RDS vengano eliminate accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| CCCS-fPBMM-CP-2.F | CP-2.F Piano di emergenza | Per favorire la disponibilità dei dati archiviati, la replica Multi-AZ deve essere abilitata per i cluster Amazon Relational Database Service (Amazon RDS). Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completato. | |
| CCCS-fPBMM-CP-2.F | CP-2.F Piano di emergenza | Assicurati che per le istanze di Amazon Relational Database Service (Amazon RDS) sia abilitata la protezione da eliminazione. Utilizza la protezione da eliminazione per evitare che le istanze Amazon RDS vengano eliminate accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| CCCS-fPBMM-CP-2.F | CP-2.F Piano di emergenza | Il supporto multi-AZ in Amazon Relational Database Service (Amazon RDS) offre disponibilità e durabilità avanzate per le istanze database. Quando esegui il provisioning di un'istanza database multi-AZ, Amazon RDS crea automaticamente un'istanza database primaria e replica in modo sincrono i dati in un'istanza standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completato. | |
| CCCS-fPBMM-CP-2.F | CP-2.F Piano di emergenza | È possibile implementare tunnel VPN sito-sito ridondanti per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso in cui una delle connessioni VPN sito-sito non sia disponibile. Per evitare la perdita di connettività nel caso in cui il gateway del cliente non sia più disponibile, puoi configurare una seconda connessione VPN sito-sito al tuo Amazon Virtual Private Cloud (Amazon VPC) e al gateway privato virtuale utilizzando un secondo dispositivo gateway del cliente. | |
| CCCS-fPBMM-CP-2.G | CP-2.G Piano di emergenza | La scalabilità automatica di Amazon DynamoDB utilizza il servizio Application AWS Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura e scrittura assegnata per gestire improvvisi aumenti di traffico, senza alcuna limitazione (della larghezza di banda della rete). | |
| CCCS-fPBMM-CP-2.G | CP-2.G Piano di emergenza | Abilita il bilanciamento del carico tra zone per gli Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze. | |
| CCCS-fPBMM-CP-2.G | CP-2.G Piano di emergenza | Questa regola garantisce che per Elastic Load Balancing sia abilitata la protezione da eliminazione. Utilizza questa funzionalità per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| CCCS-fPBMM-CP-2.G | CP-2.G Piano di emergenza | Assicurati che per le istanze di Amazon Relational Database Service (Amazon RDS) sia abilitata la protezione da eliminazione. Utilizza la protezione da eliminazione per evitare che le istanze Amazon RDS vengano eliminate accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| CCCS-fPBMM-CP-2.G | CP-2.G Piano di emergenza | Per favorire la disponibilità dei dati archiviati, la replica Multi-AZ deve essere abilitata per i cluster Amazon Relational Database Service (Amazon RDS). Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completato. | |
| CCCS-fPBMM-CP-2.G | CP-2.G Piano di emergenza | Assicurati che per le istanze di Amazon Relational Database Service (Amazon RDS) sia abilitata la protezione da eliminazione. Utilizza la protezione da eliminazione per evitare che le istanze Amazon RDS vengano eliminate accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| CCCS-fPBMM-CP-2.G | CP-2.G Piano di emergenza | Il supporto multi-AZ in Amazon Relational Database Service (Amazon RDS) offre disponibilità e durabilità avanzate per le istanze database. Quando esegui il provisioning di un'istanza database multi-AZ, Amazon RDS crea automaticamente un'istanza database primaria e replica in modo sincrono i dati in un'istanza standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completato. | |
| CCCS-fPBMM-CP-2.G | CP-2.G Piano di emergenza | È possibile implementare tunnel VPN sito-sito ridondanti per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso in cui una delle connessioni VPN sito-sito non sia disponibile. Per evitare la perdita di connettività nel caso in cui il gateway del cliente non sia più disponibile, puoi configurare una seconda connessione VPN sito-sito al tuo Amazon Virtual Private Cloud (Amazon VPC) e al gateway privato virtuale utilizzando un secondo dispositivo gateway del cliente. | |
| CCCS-fPBMM-CP-6(1) | CP-6(1) Sito di storage alternativo | Separazione dal sito primario | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon Aurora facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-6(1) | CP-6(1) Sito di storage alternativo | Separazione dal sito primario | Per facilitare i processi di backup dei dati, assicurati che il piano di AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Questa regola consente di impostare i parametri requiredFrequencyValue (Config default: 1), ( requiredRetentionDaysConfig default: 35) e ( requiredFrequencyUnit Config default: days). Il valore effettivo deve essere conforme ai requisiti dell'organizzazione. | |
| CCCS-fPBMM-CP-6(1) | CP-6(1) Sito di storage alternativo | Separazione dal sito primario | Assicurati che la crittografia sia abilitata per i punti AWS di ripristino del Backup. Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-CP-6(1) | CP-6(1) Sito di storage alternativo | Separazione dal sito primario | Assicurati che ai punti AWS di ripristino di Backup sia associata una policy basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. L'utilizzo di una policy basata sulle risorse che impedisca l'eliminazione dei punti di ripristino può aiutare a prevenire l'eliminazione accidentale o intenzionale. | |
| CCCS-fPBMM-CP-6(1) | CP-6(1) Sito di storage alternativo | Separazione dal sito primario | Per facilitare i processi di backup dei dati, assicurati che per i punti di ripristino di AWS Backup sia impostato un periodo minimo di conservazione. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Questa regola consente di impostare il parametro requiredRetentionDays (configurazione predefinita: 35). Il valore effettivo deve essere conforme ai requisiti dell'organizzazione. | |
| CCCS-fPBMM-CP-6(1) | CP-6(1) Sito di storage alternativo | Separazione dal sito primario | La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot di archiviazione del volume dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| CCCS-fPBMM-CP-6(1) | CP-6(1) Sito di storage alternativo | Separazione dal sito primario | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-6(1) | CP-6(1) Sito di storage alternativo | Separazione dal sito primario | Per facilitare i processi di backup dei dati, assicurati che le risorse di Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-6(1) | CP-6(1) Sito di storage alternativo | Separazione dal sito primario | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon Elastic Compute Cloud (Amazon EC2) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-6(1) | CP-6(1) Sito di storage alternativo | Separazione dal sito primario | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-6(1) | CP-6(1) Sito di storage alternativo | Separazione dal sito primario | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere mantenuto per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
| CCCS-fPBMM-CP-6(1) | CP-6(1) Sito di storage alternativo | Separazione dal sito primario | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon FSx facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-6(1) | CP-6(1) Sito di storage alternativo | Separazione dal sito primario | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-CP-6(1) | CP-6(1) Sito di storage alternativo | Separazione dal sito primario | Per facilitare i processi di backup dei dati, assicurati che le risorse di Amazon Relational Database Service (Amazon RDS) facciano parte di un AWS piano di backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-6(1) | CP-6(1) Sito di storage alternativo | Separazione dal sito primario | Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Amazon Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per ogni nodo di modifica dei dati o per qualsiasi evento che si verifica per primo. | |
| CCCS-fPBMM-CP-6(1) | CP-6(1) Sito di storage alternativo | Separazione dal sito primario | La replica tra regioni (CRR) di Amazon Simple Storage Service (Amazon S3) supporta il mantenimento di capacità e disponibilità adeguate. La replica tra regioni (CRR) consente la copia asincrona e automatica di oggetti tra bucket Amazon S3 per assicurare il mantenimento della disponibilità dei dati. | |
| CCCS-fPBMM-CP-6(1) | CP-6(1) Sito di storage alternativo | Separazione dal sito primario | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti. | |
| CCCS-fPBMM-CP-6(2) | CP-6(2) Sito di storage alternativo | Obiettivi di tempo di ripristino e punto di ripristino | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon Aurora facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-6(2) | CP-6(2) Sito di storage alternativo | Obiettivi di tempo di ripristino e punto di ripristino | Per facilitare i processi di backup dei dati, assicurati che il piano di AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Questa regola consente di impostare i parametri requiredFrequencyValue (Config default: 1), ( requiredRetentionDaysConfig default: 35) e ( requiredFrequencyUnit Config default: days). Il valore effettivo deve essere conforme ai requisiti dell'organizzazione. | |
| CCCS-fPBMM-CP-6(2) | CP-6(2) Sito di storage alternativo | Obiettivi di tempo di ripristino e punto di ripristino | Assicurati che la crittografia sia abilitata per i punti AWS di ripristino del Backup. Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-CP-6(2) | CP-6(2) Sito di storage alternativo | Obiettivi di tempo di ripristino e punto di ripristino | Assicurati che ai punti AWS di ripristino di Backup sia associata una policy basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. L'utilizzo di una policy basata sulle risorse che impedisca l'eliminazione dei punti di ripristino può aiutare a prevenire l'eliminazione accidentale o intenzionale. | |
| CCCS-fPBMM-CP-6(2) | CP-6(2) Sito di storage alternativo | Obiettivi di tempo di ripristino e punto di ripristino | Per facilitare i processi di backup dei dati, assicurati che per i punti di ripristino di AWS Backup sia impostato un periodo minimo di conservazione. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Questa regola consente di impostare il parametro requiredRetentionDays (configurazione predefinita: 35). Il valore effettivo deve essere conforme ai requisiti dell'organizzazione. | |
| CCCS-fPBMM-CP-6(2) | CP-6(2) Sito di storage alternativo | Obiettivi di tempo di ripristino e punto di ripristino | La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot di archiviazione del volume dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| CCCS-fPBMM-CP-6(2) | CP-6(2) Sito di storage alternativo | Obiettivi di tempo di ripristino e punto di ripristino | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-6(2) | CP-6(2) Sito di storage alternativo | Obiettivi di tempo di ripristino e punto di ripristino | Per facilitare i processi di backup dei dati, assicurati che le risorse di Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-6(2) | CP-6(2) Sito di storage alternativo | Obiettivi di tempo di ripristino e punto di ripristino | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon Elastic Compute Cloud (Amazon EC2) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-6(2) | CP-6(2) Sito di storage alternativo | Obiettivi di tempo di ripristino e punto di ripristino | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-6(2) | CP-6(2) Sito di storage alternativo | Obiettivi di tempo di ripristino e punto di ripristino | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere mantenuto per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
| CCCS-fPBMM-CP-6(2) | CP-6(2) Sito di storage alternativo | Obiettivi di tempo di ripristino e punto di ripristino | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon FSx facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-6(2) | CP-6(2) Sito di storage alternativo | Obiettivi di tempo di ripristino e punto di ripristino | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-CP-6(2) | CP-6(2) Sito di storage alternativo | Obiettivi di tempo di ripristino e punto di ripristino | Per facilitare i processi di backup dei dati, assicurati che le risorse di Amazon Relational Database Service (Amazon RDS) facciano parte di un AWS piano di backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-6(2) | CP-6(2) Sito di storage alternativo | Obiettivi di tempo di ripristino e punto di ripristino | Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Amazon Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per ogni nodo di modifica dei dati o per qualsiasi evento che si verifica per primo. | |
| CCCS-fPBMM-CP-6(2) | CP-6(2) Sito di storage alternativo | Obiettivi di tempo di ripristino e punto di ripristino | La replica tra regioni (CRR) di Amazon Simple Storage Service (Amazon S3) supporta il mantenimento di capacità e disponibilità adeguate. La replica tra regioni (CRR) consente la copia asincrona e automatica di oggetti tra bucket Amazon S3 per assicurare il mantenimento della disponibilità dei dati. | |
| CCCS-fPBMM-CP-6(2) | CP-6(2) Sito di storage alternativo | Obiettivi di tempo di ripristino e punto di ripristino | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti. | |
| CCCS-fPBMM-CP-6.A | CP-6.A Sito di storage alternativo | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon Aurora facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-6.A | CP-6.A Sito di storage alternativo | Per facilitare i processi di backup dei dati, assicurati che il piano di AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Questa regola consente di impostare i parametri requiredFrequencyValue (Config default: 1), ( requiredRetentionDaysConfig default: 35) e ( requiredFrequencyUnit Config default: days). Il valore effettivo deve essere conforme ai requisiti dell'organizzazione. | |
| CCCS-fPBMM-CP-6.A | CP-6.A Sito di storage alternativo | Assicurati che la crittografia sia abilitata per i punti AWS di ripristino del Backup. Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-CP-6.A | CP-6.A Sito di storage alternativo | Assicurati che ai punti AWS di ripristino di Backup sia associata una policy basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. L'utilizzo di una policy basata sulle risorse che impedisca l'eliminazione dei punti di ripristino può aiutare a prevenire l'eliminazione accidentale o intenzionale. | |
| CCCS-fPBMM-CP-6.A | CP-6.A Sito di storage alternativo | Per facilitare i processi di backup dei dati, assicurati che per i punti di ripristino di AWS Backup sia impostato un periodo minimo di conservazione. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Questa regola consente di impostare il parametro requiredRetentionDays (configurazione predefinita: 35). Il valore effettivo deve essere conforme ai requisiti dell'organizzazione. | |
| CCCS-fPBMM-CP-6.A | CP-6.A Sito di storage alternativo | La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot di archiviazione del volume dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| CCCS-fPBMM-CP-6.A | CP-6.A Sito di storage alternativo | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-6.A | CP-6.A Sito di storage alternativo | Per facilitare i processi di backup dei dati, assicurati che le risorse di Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-6.A | CP-6.A Sito di storage alternativo | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon Elastic Compute Cloud (Amazon EC2) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-6.A | CP-6.A Sito di storage alternativo | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-6.A | CP-6.A Sito di storage alternativo | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere mantenuto per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
| CCCS-fPBMM-CP-6.A | CP-6.A Sito di storage alternativo | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon FSx facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-6.A | CP-6.A Sito di storage alternativo | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-CP-6.A | CP-6.A Sito di storage alternativo | Per facilitare i processi di backup dei dati, assicurati che le risorse di Amazon Relational Database Service (Amazon RDS) facciano parte di un AWS piano di backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-6.A | CP-6.A Sito di storage alternativo | Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Amazon Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per ogni nodo di modifica dei dati o per qualsiasi evento che si verifica per primo. | |
| CCCS-fPBMM-CP-6.A | CP-6.A Sito di storage alternativo | La replica tra regioni (CRR) di Amazon Simple Storage Service (Amazon S3) supporta il mantenimento di capacità e disponibilità adeguate. La replica tra regioni (CRR) consente la copia asincrona e automatica di oggetti tra bucket Amazon S3 per assicurare il mantenimento della disponibilità dei dati. | |
| CCCS-fPBMM-CP-6.A | CP-6.A Sito di storage alternativo | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti. | |
| CCCS-fPBMM-CP-6.B | CP-6.B Sito di storage alternativo | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon Aurora facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-6.B | CP-6.B Sito di storage alternativo | Per facilitare i processi di backup dei dati, assicurati che il piano di AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Questa regola consente di impostare i parametri requiredFrequencyValue (Config default: 1), ( requiredRetentionDaysConfig default: 35) e ( requiredFrequencyUnit Config default: days). Il valore effettivo deve essere conforme ai requisiti dell'organizzazione. | |
| CCCS-fPBMM-CP-6.B | CP-6.B Sito di storage alternativo | Assicurati che la crittografia sia abilitata per i punti AWS di ripristino del Backup. Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-CP-6.B | CP-6.B Sito di storage alternativo | Assicurati che ai punti AWS di ripristino di Backup sia associata una policy basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. L'utilizzo di una policy basata sulle risorse che impedisca l'eliminazione dei punti di ripristino può aiutare a prevenire l'eliminazione accidentale o intenzionale. | |
| CCCS-fPBMM-CP-6.B | CP-6.B Sito di storage alternativo | Per facilitare i processi di backup dei dati, assicurati che per i punti di ripristino di AWS Backup sia impostato un periodo minimo di conservazione. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Questa regola consente di impostare il parametro requiredRetentionDays (configurazione predefinita: 35). Il valore effettivo deve essere conforme ai requisiti dell'organizzazione. | |
| CCCS-fPBMM-CP-6.B | CP-6.B Sito di storage alternativo | La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot di archiviazione del volume dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| CCCS-fPBMM-CP-6.B | CP-6.B Sito di storage alternativo | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-6.B | CP-6.B Sito di storage alternativo | Per facilitare i processi di backup dei dati, assicurati che le risorse di Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-6.B | CP-6.B Sito di storage alternativo | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon Elastic Compute Cloud (Amazon EC2) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-6.B | CP-6.B Sito di storage alternativo | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-6.B | CP-6.B Sito di storage alternativo | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere mantenuto per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
| CCCS-fPBMM-CP-6.B | CP-6.B Sito di storage alternativo | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon FSx facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-6.B | CP-6.B Sito di storage alternativo | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-CP-6.B | CP-6.B Sito di storage alternativo | Per facilitare i processi di backup dei dati, assicurati che le risorse di Amazon Relational Database Service (Amazon RDS) facciano parte di un AWS piano di backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-6.B | CP-6.B Sito di storage alternativo | Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Amazon Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per ogni nodo di modifica dei dati o per qualsiasi evento che si verifica per primo. | |
| CCCS-fPBMM-CP-6.B | CP-6.B Sito di storage alternativo | La replica tra regioni (CRR) di Amazon Simple Storage Service (Amazon S3) supporta il mantenimento di capacità e disponibilità adeguate. La replica tra regioni (CRR) consente la copia asincrona e automatica di oggetti tra bucket Amazon S3 per assicurare il mantenimento della disponibilità dei dati. | |
| CCCS-fPBMM-CP-6.B | CP-6.B Sito di storage alternativo | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti. | |
| CCCS-fPBMM-CP-9(3) | CP-9(3) Backup del sistema informativo | Storage separato per informazioni critiche | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon Aurora facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9(3) | CP-9(3) Backup del sistema informativo | Storage separato per informazioni critiche | Per facilitare i processi di backup dei dati, assicurati che il piano di AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Questa regola consente di impostare i parametri requiredFrequencyValue (Config default: 1), ( requiredRetentionDaysConfig default: 35) e ( requiredFrequencyUnit Config default: days). Il valore effettivo deve essere conforme ai requisiti dell'organizzazione. | |
| CCCS-fPBMM-CP-9(3) | CP-9(3) Backup del sistema informativo | Storage separato per informazioni critiche | Per facilitare i processi di backup dei dati, assicurati che per i punti di ripristino di AWS Backup sia impostato un periodo minimo di conservazione. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Questa regola consente di impostare il parametro requiredRetentionDays (configurazione predefinita: 35). Il valore effettivo deve essere conforme ai requisiti dell'organizzazione. | |
| CCCS-fPBMM-CP-9(3) | CP-9(3) Backup del sistema informativo | Storage separato per informazioni critiche | La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot di archiviazione del volume dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| CCCS-fPBMM-CP-9(3) | CP-9(3) Backup del sistema informativo | Storage separato per informazioni critiche | Abilita questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella degli ultimi 35 giorni. | |
| CCCS-fPBMM-CP-9(3) | CP-9(3) Backup del sistema informativo | Storage separato per informazioni critiche | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9(3) | CP-9(3) Backup del sistema informativo | Storage separato per informazioni critiche | Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) fornisce capacità dedicata aggiuntiva per le operazioni di I/O Amazon EBS. Tale ottimizzazione offre le prestazioni migliori in termini di efficienza per i volumi EBS, riducendo al minimo i conflitti tra le operazioni I/O Amazon EBS e altro traffico proveniente dall'istanza. | |
| CCCS-fPBMM-CP-9(3) | CP-9(3) Backup del sistema informativo | Storage separato per informazioni critiche | Per facilitare i processi di backup dei dati, assicurati che le risorse di Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9(3) | CP-9(3) Backup del sistema informativo | Storage separato per informazioni critiche | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon Elastic Compute Cloud (Amazon EC2) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9(3) | CP-9(3) Backup del sistema informativo | Storage separato per informazioni critiche | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9(3) | CP-9(3) Backup del sistema informativo | Storage separato per informazioni critiche | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere mantenuto per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
| CCCS-fPBMM-CP-9(3) | CP-9(3) Backup del sistema informativo | Storage separato per informazioni critiche | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon FSx facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9(3) | CP-9(3) Backup del sistema informativo | Storage separato per informazioni critiche | Per facilitare i processi di backup dei dati, assicurati che le risorse di Amazon Relational Database Service (Amazon RDS) facciano parte di un AWS piano di backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9(3) | CP-9(3) Backup del sistema informativo | Storage separato per informazioni critiche | Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Amazon Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per ogni nodo di modifica dei dati o per qualsiasi evento che si verifica per primo. | |
| CCCS-fPBMM-CP-9(3) | CP-9(3) Backup del sistema informativo | Storage separato per informazioni critiche | La replica tra regioni (CRR) di Amazon Simple Storage Service (Amazon S3) supporta il mantenimento di capacità e disponibilità adeguate. La replica tra regioni (CRR) consente la copia asincrona e automatica di oggetti tra bucket Amazon S3 per assicurare il mantenimento della disponibilità dei dati. | |
| CCCS-fPBMM-CP-9(3) | CP-9(3) Backup del sistema informativo | Storage separato per informazioni critiche | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti. | |
| CCCS-fPBMM-CP-9(7) | CP-9(7) Backup del sistema informativo | Doppia autorizzazione | Assicurati che ai punti AWS di ripristino di Backup sia associata una policy basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. L'utilizzo di una policy basata sulle risorse che impedisca l'eliminazione dei punti di ripristino può aiutare a prevenire l'eliminazione accidentale o intenzionale. | |
| CCCS-fPBMM-CP-9(7) | CP-9(7) Backup del sistema informativo | Doppia autorizzazione | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti. | |
| CCCS-fPBMM-CP-9.A | CP-9.A Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon Aurora facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9.A | CP-9.A Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che il piano di AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Questa regola consente di impostare i parametri requiredFrequencyValue (Config default: 1), ( requiredRetentionDaysConfig default: 35) e ( requiredFrequencyUnit Config default: days). Il valore effettivo deve essere conforme ai requisiti dell'organizzazione. | |
| CCCS-fPBMM-CP-9.A | CP-9.A Backup del sistema informativo | Assicurati che la crittografia sia abilitata per i punti AWS di ripristino del Backup. Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-CP-9.A | CP-9.A Backup del sistema informativo | Assicurati che ai punti AWS di ripristino di Backup sia associata una policy basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. L'utilizzo di una policy basata sulle risorse che impedisca l'eliminazione dei punti di ripristino può aiutare a prevenire l'eliminazione accidentale o intenzionale. | |
| CCCS-fPBMM-CP-9.A | CP-9.A Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che per i punti di ripristino di AWS Backup sia impostato un periodo minimo di conservazione. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Questa regola consente di impostare il parametro requiredRetentionDays (configurazione predefinita: 35). Il valore effettivo deve essere conforme ai requisiti dell'organizzazione. | |
| CCCS-fPBMM-CP-9.A | CP-9.A Backup del sistema informativo | La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot di archiviazione del volume dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| CCCS-fPBMM-CP-9.A | CP-9.A Backup del sistema informativo | Abilita questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella degli ultimi 35 giorni. | |
| CCCS-fPBMM-CP-9.A | CP-9.A Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9.A | CP-9.A Backup del sistema informativo | Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) fornisce capacità dedicata aggiuntiva per le operazioni di I/O Amazon EBS. Tale ottimizzazione offre le prestazioni migliori in termini di efficienza per i volumi EBS, riducendo al minimo i conflitti tra le operazioni I/O Amazon EBS e altro traffico proveniente dall'istanza. | |
| CCCS-fPBMM-CP-9.A | CP-9.A Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che le risorse di Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9.A | CP-9.A Backup del sistema informativo | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-CP-9.A | CP-9.A Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon Elastic Compute Cloud (Amazon EC2) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9.A | CP-9.A Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9.A | CP-9.A Backup del sistema informativo | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere mantenuto per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
| CCCS-fPBMM-CP-9.A | CP-9.A Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon FSx facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9.A | CP-9.A Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che le risorse di Amazon Relational Database Service (Amazon RDS) facciano parte di un AWS piano di backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9.A | CP-9.A Backup del sistema informativo | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-CP-9.A | CP-9.A Backup del sistema informativo | Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-CP-9.A | CP-9.A Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Amazon Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per ogni nodo di modifica dei dati o per qualsiasi evento che si verifica per primo. | |
| CCCS-fPBMM-CP-9.A | CP-9.A Backup del sistema informativo | Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno finestre di manutenzione preferite e periodi di conservazione automatica degli snapshot per il database. Questa regola richiede l'impostazione di. allowVersionUpgrade Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sab: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CP-9.A | CP-9.A Backup del sistema informativo | La replica tra regioni (CRR) di Amazon Simple Storage Service (Amazon S3) supporta il mantenimento di capacità e disponibilità adeguate. La replica tra regioni (CRR) consente la copia asincrona e automatica di oggetti tra bucket Amazon S3 per assicurare il mantenimento della disponibilità dei dati. | |
| CCCS-fPBMM-CP-9.A | CP-9.A Backup del sistema informativo | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti. | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon Aurora facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che il piano di AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Questa regola consente di impostare i parametri requiredFrequencyValue (Config default: 1), ( requiredRetentionDaysConfig default: 35) e ( requiredFrequencyUnit Config default: days). Il valore effettivo deve essere conforme ai requisiti dell'organizzazione. | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA Backup del sistema informativo | Assicurati che la crittografia sia abilitata per i punti AWS di ripristino del Backup. Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA Backup del sistema informativo | Assicurati che ai punti AWS di ripristino di Backup sia associata una policy basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. L'utilizzo di una policy basata sulle risorse che impedisca l'eliminazione dei punti di ripristino può aiutare a prevenire l'eliminazione accidentale o intenzionale. | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che per i punti di ripristino di AWS Backup sia impostato un periodo minimo di conservazione. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Questa regola consente di impostare il parametro requiredRetentionDays (configurazione predefinita: 35). Il valore effettivo deve essere conforme ai requisiti dell'organizzazione. | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA Backup del sistema informativo | La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot di archiviazione del volume dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA Backup del sistema informativo | Abilita questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella degli ultimi 35 giorni. | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA Backup del sistema informativo | Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) fornisce capacità dedicata aggiuntiva per le operazioni di I/O Amazon EBS. Tale ottimizzazione offre le prestazioni migliori in termini di efficienza per i volumi EBS, riducendo al minimo i conflitti tra le operazioni I/O Amazon EBS e altro traffico proveniente dall'istanza. | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che le risorse di Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA Backup del sistema informativo | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon Elastic Compute Cloud (Amazon EC2) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA Backup del sistema informativo | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere mantenuto per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon FSx facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che le risorse di Amazon Relational Database Service (Amazon RDS) facciano parte di un AWS piano di backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA Backup del sistema informativo | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA Backup del sistema informativo | Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Amazon Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per ogni nodo di modifica dei dati o per qualsiasi evento che si verifica per primo. | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA Backup del sistema informativo | Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno finestre di manutenzione preferite e periodi di conservazione automatica degli snapshot per il database. Questa regola richiede l'impostazione di. allowVersionUpgrade Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sab: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA Backup del sistema informativo | La replica tra regioni (CRR) di Amazon Simple Storage Service (Amazon S3) supporta il mantenimento di capacità e disponibilità adeguate. La replica tra regioni (CRR) consente la copia asincrona e automatica di oggetti tra bucket Amazon S3 per assicurare il mantenimento della disponibilità dei dati. | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA Backup del sistema informativo | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti. | |
| CCCS-fPBMM-CP-9.B | CP-9.B Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon Aurora facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9.B | CP-9.B Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che il piano di AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Questa regola consente di impostare i parametri requiredFrequencyValue (Config default: 1), ( requiredRetentionDaysConfig default: 35) e ( requiredFrequencyUnit Config default: days). Il valore effettivo deve essere conforme ai requisiti dell'organizzazione. | |
| CCCS-fPBMM-CP-9.B | CP-9.B Backup del sistema informativo | Assicurati che la crittografia sia abilitata per i punti AWS di ripristino del Backup. Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-CP-9.B | CP-9.B Backup del sistema informativo | Assicurati che ai punti AWS di ripristino di Backup sia associata una policy basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. L'utilizzo di una policy basata sulle risorse che impedisca l'eliminazione dei punti di ripristino può aiutare a prevenire l'eliminazione accidentale o intenzionale. | |
| CCCS-fPBMM-CP-9.B | CP-9.B Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che per i punti di ripristino di AWS Backup sia impostato un periodo minimo di conservazione. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Questa regola consente di impostare il parametro requiredRetentionDays (configurazione predefinita: 35). Il valore effettivo deve essere conforme ai requisiti dell'organizzazione. | |
| CCCS-fPBMM-CP-9.B | CP-9.B Backup del sistema informativo | La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot di archiviazione del volume dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| CCCS-fPBMM-CP-9.B | CP-9.B Backup del sistema informativo | Abilita questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella degli ultimi 35 giorni. | |
| CCCS-fPBMM-CP-9.B | CP-9.B Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9.B | CP-9.B Backup del sistema informativo | Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) fornisce capacità dedicata aggiuntiva per le operazioni di I/O Amazon EBS. Tale ottimizzazione offre le prestazioni migliori in termini di efficienza per i volumi EBS, riducendo al minimo i conflitti tra le operazioni I/O Amazon EBS e altro traffico proveniente dall'istanza. | |
| CCCS-fPBMM-CP-9.B | CP-9.B Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che le risorse di Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9.B | CP-9.B Backup del sistema informativo | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-CP-9.B | CP-9.B Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon Elastic Compute Cloud (Amazon EC2) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9.B | CP-9.B Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9.B | CP-9.B Backup del sistema informativo | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere mantenuto per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
| CCCS-fPBMM-CP-9.B | CP-9.B Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon FSx facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9.B | CP-9.B Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che le risorse di Amazon Relational Database Service (Amazon RDS) facciano parte di un AWS piano di backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9.B | CP-9.B Backup del sistema informativo | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-CP-9.B | CP-9.B Backup del sistema informativo | Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-CP-9.B | CP-9.B Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Amazon Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per ogni nodo di modifica dei dati o per qualsiasi evento che si verifica per primo. | |
| CCCS-fPBMM-CP-9.B | CP-9.B Backup del sistema informativo | Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno finestre di manutenzione preferite e periodi di conservazione automatica degli snapshot per il database. Questa regola richiede l'impostazione di. allowVersionUpgrade Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sab: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CP-9.B | CP-9.B Backup del sistema informativo | La replica tra regioni (CRR) di Amazon Simple Storage Service (Amazon S3) supporta il mantenimento di capacità e disponibilità adeguate. La replica tra regioni (CRR) consente la copia asincrona e automatica di oggetti tra bucket Amazon S3 per assicurare il mantenimento della disponibilità dei dati. | |
| CCCS-fPBMM-CP-9.B | CP-9.B Backup del sistema informativo | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti. | |
| CCCS-fPBMM-CP-9.C | CP-9.C Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon Aurora facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9.C | CP-9.C Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che il piano di AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Questa regola consente di impostare i parametri requiredFrequencyValue (Config default: 1), ( requiredRetentionDaysConfig default: 35) e ( requiredFrequencyUnit Config default: days). Il valore effettivo deve essere conforme ai requisiti dell'organizzazione. | |
| CCCS-fPBMM-CP-9.C | CP-9.C Backup del sistema informativo | Assicurati che la crittografia sia abilitata per i punti AWS di ripristino del Backup. Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-CP-9.C | CP-9.C Backup del sistema informativo | Assicurati che ai punti AWS di ripristino di Backup sia associata una policy basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. L'utilizzo di una policy basata sulle risorse che impedisca l'eliminazione dei punti di ripristino può aiutare a prevenire l'eliminazione accidentale o intenzionale. | |
| CCCS-fPBMM-CP-9.C | CP-9.C Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che per i punti di ripristino di AWS Backup sia impostato un periodo minimo di conservazione. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Questa regola consente di impostare il parametro requiredRetentionDays (configurazione predefinita: 35). Il valore effettivo deve essere conforme ai requisiti dell'organizzazione. | |
| CCCS-fPBMM-CP-9.C | CP-9.C Backup del sistema informativo | La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot di archiviazione del volume dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| CCCS-fPBMM-CP-9.C | CP-9.C Backup del sistema informativo | Abilita questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella degli ultimi 35 giorni. | |
| CCCS-fPBMM-CP-9.C | CP-9.C Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9.C | CP-9.C Backup del sistema informativo | Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) fornisce capacità dedicata aggiuntiva per le operazioni di I/O Amazon EBS. Tale ottimizzazione offre le prestazioni migliori in termini di efficienza per i volumi EBS, riducendo al minimo i conflitti tra le operazioni I/O Amazon EBS e altro traffico proveniente dall'istanza. | |
| CCCS-fPBMM-CP-9.C | CP-9.C Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che le risorse di Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9.C | CP-9.C Backup del sistema informativo | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-CP-9.C | CP-9.C Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon Elastic Compute Cloud (Amazon EC2) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9.C | CP-9.C Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9.C | CP-9.C Backup del sistema informativo | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere mantenuto per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
| CCCS-fPBMM-CP-9.C | CP-9.C Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon FSx facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9.C | CP-9.C Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che le risorse di Amazon Relational Database Service (Amazon RDS) facciano parte di un AWS piano di backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9.C | CP-9.C Backup del sistema informativo | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-CP-9.C | CP-9.C Backup del sistema informativo | Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-CP-9.C | CP-9.C Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Amazon Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per ogni nodo di modifica dei dati o per qualsiasi evento che si verifica per primo. | |
| CCCS-fPBMM-CP-9.C | CP-9.C Backup del sistema informativo | Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno finestre di manutenzione preferite e periodi di conservazione automatica degli snapshot per il database. Questa regola richiede l'impostazione di. allowVersionUpgrade Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sab: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CP-9.C | CP-9.C Backup del sistema informativo | La replica tra regioni (CRR) di Amazon Simple Storage Service (Amazon S3) supporta il mantenimento di capacità e disponibilità adeguate. La replica tra regioni (CRR) consente la copia asincrona e automatica di oggetti tra bucket Amazon S3 per assicurare il mantenimento della disponibilità dei dati. | |
| CCCS-fPBMM-CP-9.C | CP-9.C Backup del sistema informativo | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti. | |
| CCCS-fPBMM-CP-9.D | CP-9.D Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon Aurora facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9.D | CP-9.D Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che il piano di AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Questa regola consente di impostare i parametri requiredFrequencyValue (Config default: 1), ( requiredRetentionDaysConfig default: 35) e ( requiredFrequencyUnit Config default: days). Il valore effettivo deve essere conforme ai requisiti dell'organizzazione. | |
| CCCS-fPBMM-CP-9.D | CP-9.D Backup del sistema informativo | Assicurati che la crittografia sia abilitata per i punti AWS di ripristino del Backup. Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-CP-9.D | CP-9.D Backup del sistema informativo | Assicurati che ai punti AWS di ripristino di Backup sia associata una policy basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. L'utilizzo di una policy basata sulle risorse che impedisca l'eliminazione dei punti di ripristino può aiutare a prevenire l'eliminazione accidentale o intenzionale. | |
| CCCS-fPBMM-CP-9.D | CP-9.D Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che per i punti di ripristino di AWS Backup sia impostato un periodo minimo di conservazione. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Questa regola consente di impostare il parametro requiredRetentionDays (configurazione predefinita: 35). Il valore effettivo deve essere conforme ai requisiti dell'organizzazione. | |
| CCCS-fPBMM-CP-9.D | CP-9.D Backup del sistema informativo | La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot di archiviazione del volume dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| CCCS-fPBMM-CP-9.D | CP-9.D Backup del sistema informativo | Abilita questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella degli ultimi 35 giorni. | |
| CCCS-fPBMM-CP-9.D | CP-9.D Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9.D | CP-9.D Backup del sistema informativo | Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) fornisce capacità dedicata aggiuntiva per le operazioni di I/O Amazon EBS. Tale ottimizzazione offre le prestazioni migliori in termini di efficienza per i volumi EBS, riducendo al minimo i conflitti tra le operazioni I/O Amazon EBS e altro traffico proveniente dall'istanza. | |
| CCCS-fPBMM-CP-9.D | CP-9.D Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che le risorse di Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9.D | CP-9.D Backup del sistema informativo | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-CP-9.D | CP-9.D Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon Elastic Compute Cloud (Amazon EC2) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9.D | CP-9.D Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9.D | CP-9.D Backup del sistema informativo | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere mantenuto per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
| CCCS-fPBMM-CP-9.D | CP-9.D Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon FSx facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9.D | CP-9.D Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che le risorse di Amazon Relational Database Service (Amazon RDS) facciano parte di un AWS piano di backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CCCS-fPBMM-CP-9.D | CP-9.D Backup del sistema informativo | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-CP-9.D | CP-9.D Backup del sistema informativo | Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-CP-9.D | CP-9.D Backup del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Amazon Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per ogni nodo di modifica dei dati o per qualsiasi evento che si verifica per primo. | |
| CCCS-fPBMM-CP-9.D | CP-9.D Backup del sistema informativo | Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno finestre di manutenzione preferite e periodi di conservazione automatica degli snapshot per il database. Questa regola richiede l'impostazione di. allowVersionUpgrade Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sab: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-CP-9.D | CP-9.D Backup del sistema informativo | La replica tra regioni (CRR) di Amazon Simple Storage Service (Amazon S3) supporta il mantenimento di capacità e disponibilità adeguate. La replica tra regioni (CRR) consente la copia asincrona e automatica di oggetti tra bucket Amazon S3 per assicurare il mantenimento della disponibilità dei dati. | |
| CCCS-fPBMM-CP-9.D | CP-9.D Backup del sistema informativo | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti. | |
| CCCS-fPBMM-CP-10.A | CP-10.A Ripristino e ricostituzione del sistema informativo | La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot di archiviazione del volume dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| CCCS-fPBMM-CP-10.A | CP-10.A Ripristino e ricostituzione del sistema informativo | La scalabilità automatica di Amazon DynamoDB utilizza il servizio Application AWS Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura e scrittura assegnata per gestire improvvisi aumenti di traffico, senza alcuna limitazione (della larghezza di banda della rete). | |
| CCCS-fPBMM-CP-10.A | CP-10.A Ripristino e ricostituzione del sistema informativo | Abilita questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella degli ultimi 35 giorni. | |
| CCCS-fPBMM-CP-10.A | CP-10.A Ripristino e ricostituzione del sistema informativo | Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) fornisce capacità dedicata aggiuntiva per le operazioni di I/O Amazon EBS. Tale ottimizzazione offre le prestazioni migliori in termini di efficienza per i volumi EBS, riducendo al minimo i conflitti tra le operazioni I/O Amazon EBS e altro traffico proveniente dall'istanza. | |
| CCCS-fPBMM-CP-10.A | CP-10.A Ripristino e ricostituzione del sistema informativo | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere mantenuto per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
| CCCS-fPBMM-CP-10.A | CP-10.A Ripristino e ricostituzione del sistema informativo | Abilita il bilanciamento del carico tra zone per gli Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze. | |
| CCCS-fPBMM-CP-10.A | CP-10.A Ripristino e ricostituzione del sistema informativo | Per favorire la disponibilità dei dati archiviati, la replica Multi-AZ deve essere abilitata per i cluster Amazon Relational Database Service (Amazon RDS). Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completato. | |
| CCCS-fPBMM-CP-10.A | CP-10.A Ripristino e ricostituzione del sistema informativo | Il supporto multi-AZ in Amazon Relational Database Service (Amazon RDS) offre disponibilità e durabilità avanzate per le istanze database. Quando esegui il provisioning di un'istanza database multi-AZ, Amazon RDS crea automaticamente un'istanza database primaria e replica in modo sincrono i dati in un'istanza standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completato. | |
| CCCS-fPBMM-CP-10.A | CP-10.A Ripristino e ricostituzione del sistema informativo | Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Amazon Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per ogni nodo di modifica dei dati o per qualsiasi evento che si verifica per primo. | |
| CCCS-fPBMM-CP-10.A | CP-10.A Ripristino e ricostituzione del sistema informativo | La replica tra regioni (CRR) di Amazon Simple Storage Service (Amazon S3) supporta il mantenimento di capacità e disponibilità adeguate. La replica tra regioni (CRR) consente la copia asincrona e automatica di oggetti tra bucket Amazon S3 per assicurare il mantenimento della disponibilità dei dati. | |
| CCCS-fPBMM-CP-10.A | CP-10.A Ripristino e ricostituzione del sistema informativo | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti. | |
| CCCS-fPBMM-CP-10.A | CP-10.A Ripristino e ricostituzione del sistema informativo | È possibile implementare tunnel VPN sito-sito ridondanti per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso in cui una delle connessioni VPN sito-sito non sia disponibile. Per evitare la perdita di connettività nel caso in cui il gateway del cliente non sia più disponibile, puoi configurare una seconda connessione VPN sito-sito al tuo Amazon Virtual Private Cloud (Amazon VPC) e al gateway privato virtuale utilizzando un secondo dispositivo gateway del cliente. | |
| CCCS-fPBMM-IA-2(1) | IA-2(1) Identificazione e autenticazione (utenti dell'organizzazione) | Accesso alla rete per account con privilegi | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS . Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti dovuti alla compromissione degli account richiedendo l'autenticazione a più fattori per gli utenti. | |
| CCCS-fPBMM-IA-2(1) | IA-2(1) Identificazione e autenticazione (utenti dell'organizzazione) | Accesso alla rete per account con privilegi | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| CCCS-fPBMM-IA-2(1) | IA-2(1) Identificazione e autenticazione (utenti dell'organizzazione) | Accesso alla rete per account con privilegi | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| CCCS-fPBMM-IA-2(3) | IA-2(3) Identificazione e autenticazione (utenti dell'organizzazione) | Accesso locale per account con privilegi | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS . Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti dovuti alla compromissione degli account richiedendo l'autenticazione a più fattori per gli utenti. | |
| CCCS-fPBMM-IA-2(3) | IA-2(3) Identificazione e autenticazione (utenti dell'organizzazione) | Accesso locale per account con privilegi | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| CCCS-fPBMM-IA-2(3) | IA-2(3) Identificazione e autenticazione (utenti dell'organizzazione) | Accesso locale per account con privilegi | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| CCCS-fPBMM-IA-2(8) | IA-2(8) Identificazione e autenticazione (utenti dell'organizzazione) | Accesso alla rete per account con privilegi: resistenza a replay | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS . Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti dovuti alla compromissione degli account richiedendo l'autenticazione a più fattori per gli utenti. | |
| CCCS-fPBMM-IA-2(8) | IA-2(8) Identificazione e autenticazione (utenti dell'organizzazione) | Accesso alla rete per account con privilegi: resistenza a replay | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| CCCS-fPBMM-IA-2(8) | IA-2(8) Identificazione e autenticazione (utenti dell'organizzazione) | Accesso alla rete per account con privilegi: resistenza a replay | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| CCCS-fPBMM-IA-2(11) | IA-2(11) Identificazione e autenticazione (utenti dell'organizzazione) | Accesso agli account: dispositivo separato | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS . Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti dovuti alla compromissione degli account richiedendo l'autenticazione a più fattori per gli utenti. | |
| CCCS-fPBMM-IA-2(11) | IA-2(11) Identificazione e autenticazione (utenti dell'organizzazione) | Accesso agli account: dispositivo separato | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| CCCS-fPBMM-IA-2(11) | IA-2(11) Identificazione e autenticazione (utenti dell'organizzazione) | Accesso agli account: dispositivo separato | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| CCCS-fPBMM-IA-2.A | IA-2.A Identificazione e autenticazione (utenti dell'organizzazione) | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti indicati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-IA-2.A | IA-2.A Identificazione e autenticazione (utenti dell'organizzazione) | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS . Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti dovuti alla compromissione degli account richiedendo l'autenticazione a più fattori per gli utenti. | |
| CCCS-fPBMM-IA-2.A | IA-2.A Identificazione e autenticazione (utenti dell'organizzazione) | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| CCCS-fPBMM-IA-2.A | IA-2.A Identificazione e autenticazione (utenti dell'organizzazione) | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| CCCS-fPBMM-IA-4(4) | IA-4(4) Gestione degli identificatori | Identificazione dello stato dell'utente | L'accesso ai sistemi e alle risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| CCCS-fPBMM-IA-4.A | IA-4.A Gestione degli identificatori | Le credenziali vengono verificate per i dispositivi, gli utenti e i processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate come specificato dalla politica organizzativa. La modifica delle chiavi di accesso a intervalli regolari è una best practice di sicurezza. Riduce il periodo di attività di una chiave di accesso e l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione delle chiavi di accesso (valore di configurazione predefinito: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-IA-4.A | IA-4.A Gestione degli identificatori | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti indicati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-IA-4.A | IA-4.A Gestione degli identificatori | L'accesso ai sistemi e alle risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| CCCS-fPBMM-IA-4.B | IA-4.B Gestione degli identificatori | Le credenziali vengono verificate per i dispositivi, gli utenti e i processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate come specificato dalla politica organizzativa. La modifica delle chiavi di accesso a intervalli regolari è una best practice di sicurezza. Riduce il periodo di attività di una chiave di accesso e l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione delle chiavi di accesso (valore di configurazione predefinito: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-IA-4.B | IA-4.B Gestione degli identificatori | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti indicati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-IA-4.B | IA-4.B Gestione degli identificatori | L'accesso ai sistemi e alle risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| CCCS-fPBMM-IA-4.C | IA-4.C Gestione degli identificatori | Le credenziali vengono verificate per i dispositivi, gli utenti e i processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate come specificato dalla politica organizzativa. La modifica delle chiavi di accesso a intervalli regolari è una best practice di sicurezza. Riduce il periodo di attività di una chiave di accesso e l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione delle chiavi di accesso (valore di configurazione predefinito: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-IA-4.C | IA-4.C Gestione degli identificatori | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti indicati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-IA-4.C | IA-4.C Gestione degli identificatori | L'accesso ai sistemi e alle risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| CCCS-fPBMM-IA-4.D | IA-4.D Gestione degli identificatori | Le credenziali vengono verificate per i dispositivi, gli utenti e i processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate come specificato dalla politica organizzativa. La modifica delle chiavi di accesso a intervalli regolari è una best practice di sicurezza. Riduce il periodo di attività di una chiave di accesso e l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione delle chiavi di accesso (valore di configurazione predefinito: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-IA-4.D | IA-4.D Gestione degli identificatori | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti indicati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-IA-4.D | IA-4.D Gestione degli identificatori | L'accesso ai sistemi e alle risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| CCCS-fPBMM-IA-4.E | IA-4.E Gestione degli identificatori | Le credenziali vengono verificate per i dispositivi, gli utenti e i processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate come specificato dalla politica organizzativa. La modifica delle chiavi di accesso a intervalli regolari è una best practice di sicurezza. Riduce il periodo di attività di una chiave di accesso e l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione delle chiavi di accesso (valore di configurazione predefinito: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-IA-4.E | IA-4.E Gestione degli identificatori | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti indicati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-IA-4.E | IA-4.E Gestione degli identificatori | L'accesso ai sistemi e alle risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| CCCS-fPBMM-IA-5(1) | IA-5(1) Gestione degli autenticatori | Autenticazione basata su password | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti dichiarati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-IA-5(2) | IA-5(2) Gestione degli autenticatori | Autenticazione basata su PKI | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| CCCS-fPBMM-IA-5(2) | IA-5(2) Gestione degli autenticatori | Autenticazione basata su PKI | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| CCCS-fPBMM-IA-5(4) | IA-5(4) Gestione degli autenticatori | Supporto automatizzato per la determinazione della complessità delle password | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti indicati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-IA-5(8) | IA-5(8) Gestione degli autenticatori | Account multipli del sistema informativo | L'accesso ai sistemi e alle risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| CCCS-fPBMM-IA-5(8) | IA-5(8) Gestione degli autenticatori | Account multipli del sistema informativo | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS . Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti dovuti alla compromissione degli account richiedendo l'autenticazione a più fattori per gli utenti. | |
| CCCS-fPBMM-IA-5(8) | IA-5(8) Gestione degli autenticatori | Account multipli del sistema informativo | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| CCCS-fPBMM-IA-5.A | IA-5.A Gestione degli autenticatori | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti indicati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-IA-5.A | IA-5.A Gestione degli autenticatori | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS . Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti dovuti alla compromissione degli account richiedendo l'autenticazione a più fattori per gli utenti. | |
| CCCS-fPBMM-IA-5.A | IA-5.A Gestione degli autenticatori | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| CCCS-fPBMM-IA-5.A | IA-5.A Gestione degli autenticatori | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| CCCS-fPBMM-IA-5.B | IA-5.B Gestione degli autenticatori | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti indicati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-IA-5.B | IA-5.B Gestione degli autenticatori | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS . Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti dovuti alla compromissione degli account richiedendo l'autenticazione a più fattori per gli utenti. | |
| CCCS-fPBMM-IA-5.B | IA-5.B Gestione degli autenticatori | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| CCCS-fPBMM-IA-5.B | IA-5.B Gestione degli autenticatori | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| CCCS-fPBMM-IA-5.C | IA-5.C Gestione degli autenticatori | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti indicati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-IA-5.C | IA-5.C Gestione degli autenticatori | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS . Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti dovuti alla compromissione degli account richiedendo l'autenticazione a più fattori per gli utenti. | |
| CCCS-fPBMM-IA-5.C | IA-5.C Gestione degli autenticatori | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| CCCS-fPBMM-IA-5.C | IA-5.C Gestione degli autenticatori | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| CCCS-fPBMM-IA-5.D | IA-5.D Gestione degli autenticatori | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti indicati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-IA-5.D | IA-5.D Gestione degli autenticatori | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS . Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti dovuti alla compromissione degli account richiedendo l'autenticazione a più fattori per gli utenti. | |
| CCCS-fPBMM-IA-5.D | IA-5.D Gestione degli autenticatori | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| CCCS-fPBMM-IA-5.D | IA-5.D Gestione degli autenticatori | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| CCCS-fPBMM-IA-5.E | IA-5.E Gestione degli autenticatori | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti indicati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-IA-5.E | IA-5.E Gestione degli autenticatori | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS . Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti dovuti alla compromissione degli account richiedendo l'autenticazione a più fattori per gli utenti. | |
| CCCS-fPBMM-IA-5.E | IA-5.E Gestione degli autenticatori | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| CCCS-fPBMM-IA-5.E | IA-5.E Gestione degli autenticatori | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| CCCS-fPBMM-IA-5.F | IA-5.F Gestione degli autenticatori | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti indicati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-IA-5.F | IA-5.F Gestione degli autenticatori | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS . Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti dovuti alla compromissione degli account richiedendo l'autenticazione a più fattori per gli utenti. | |
| CCCS-fPBMM-IA-5.F | IA-5.F Gestione degli autenticatori | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| CCCS-fPBMM-IA-5.F | IA-5.F Gestione degli autenticatori | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| CCCS-fPBMM-IA-5.G | IA-5.G Gestione degli autenticatori | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti indicati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-IA-5.G | IA-5.G Gestione degli autenticatori | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS . Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti dovuti alla compromissione degli account richiedendo l'autenticazione a più fattori per gli utenti. | |
| CCCS-fPBMM-IA-5.G | IA-5.G Gestione degli autenticatori | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| CCCS-fPBMM-IA-5.G | IA-5.G Gestione degli autenticatori | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| CCCS-fPBMM-IA-5.H | IA-5.H Gestione degli autenticatori | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti indicati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-IA-5.H | IA-5.H Gestione degli autenticatori | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS . Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti dovuti alla compromissione degli account richiedendo l'autenticazione a più fattori per gli utenti. | |
| CCCS-fPBMM-IA-5.H | IA-5.H Gestione degli autenticatori | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| CCCS-fPBMM-IA-5.H | IA-5.H Gestione degli autenticatori | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| CCCS-fPBMM-IA-5.I | IA-5.I Gestione degli autenticatori | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti indicati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-IA-5.I | IA-5.I Gestione degli autenticatori | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS . Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti dovuti alla compromissione degli account richiedendo l'autenticazione a più fattori per gli utenti. | |
| CCCS-fPBMM-IA-5.I | IA-5.I Gestione degli autenticatori | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| CCCS-fPBMM-IA-5.I | IA-5.I Gestione degli autenticatori | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| CCCS-fPBMM-IA-5.J | IA-5.J Gestione degli autenticatori | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti indicati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-IA-5.J | IA-5.J Gestione degli autenticatori | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS . Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti dovuti alla compromissione degli account richiedendo l'autenticazione a più fattori per gli utenti. | |
| CCCS-fPBMM-IA-5.J | IA-5.J Gestione degli autenticatori | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| CCCS-fPBMM-IA-5.J | IA-5.J Gestione degli autenticatori | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| CCCS-fPBMM-IR-6(1) | IR-6(1) Segnalazione degli incidenti | Segnalazione automatica | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-MA-3.A | MA-3.A Strumenti di manutenzione | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-MA-3.A | MA-3.A Strumenti di manutenzione | L'abilitazione di questa regola facilita l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| CCCS-fPBMM-MA-4(1) | MA-4(1) Manutenzione non locale | Audit e revisione | La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti. | |
| CCCS-fPBMM-MA-4(1) | MA-4(1) Manutenzione non locale | Audit e revisione | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| CCCS-fPBMM-MA-4(1) | MA-4(1) Manutenzione non locale | Audit e revisione | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| CCCS-fPBMM-MA-4(1) | MA-4(1) Manutenzione non locale | Audit e revisione | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-MA-4(1) | MA-4(1) Manutenzione non locale | Audit e revisione | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| CCCS-fPBMM-MA-4(1) | MA-4(1) Manutenzione non locale | Audit e revisione | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-MA-4(1) | MA-4(1) Manutenzione non locale | Audit e revisione | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| CCCS-fPBMM-MA-4(1) | MA-4(1) Manutenzione non locale | Audit e revisione | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-MA-4(1) | MA-4(1) Manutenzione non locale | Audit e revisione | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| CCCS-fPBMM-MA-4(1) | MA-4(1) Manutenzione non locale | Audit e revisione | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| CCCS-fPBMM-MA-4(1) | MA-4(1) Manutenzione non locale | Audit e revisione | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sugli ACL Web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| CCCS-fPBMM-MP-2.A | MP-2.A Accesso multimediale | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-MP-2.A | MP-2.A Accesso multimediale | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-MP-2.A | MP-2.A Accesso multimediale | Assicurati che il metodo del servizio di metadati di istanza versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, puoi implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| CCCS-fPBMM-MP-2.A | MP-2.A Accesso multimediale | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-MP-2.A | MP-2.A Accesso multimediale | Se una definizione di attività ha privilegi elevati, significa che il cliente ha scelto specificamente di accedere a tali configurazioni. Questo controllo verifica l'aumento imprevisto dei privilegi quando la rete host prevede una definizione di attività ma il cliente non ha scelto privilegi elevati. | |
| CCCS-fPBMM-MP-2.A | MP-2.A Accesso multimediale | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| CCCS-fPBMM-MP-2.A | MP-2.A Accesso multimediale | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| CCCS-fPBMM-MP-2.A | MP-2.A Accesso multimediale | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-MP-2.A | MP-2.A Accesso multimediale | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-MP-2.A | MP-2.A Accesso multimediale | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base ai permessi associati o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| CCCS-fPBMM-MP-2.A | MP-2.A Accesso multimediale | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-MP-2.A | MP-2.A Accesso multimediale | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| CCCS-fPBMM-MP-2.A | MP-2.A Accesso multimediale | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-MP-2.A | MP-2.A Accesso multimediale | L'accesso ai sistemi e alle risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| CCCS-fPBMM-MP-2.A | MP-2.A Accesso multimediale | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-MP-2.A | MP-2.A Accesso multimediale | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| CCCS-fPBMM-MP-2.A | MP-2.A Accesso multimediale | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-MP-2.A | MP-2.A Accesso multimediale | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) in un Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| CCCS-fPBMM-MP-2.A | MP-2.A Accesso multimediale | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| CCCS-fPBMM-MP-2.A | MP-2.A Accesso multimediale | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| CCCS-fPBMM-MP-2.A | MP-2.A Accesso multimediale | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Questa configurazione non richiede un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| CCCS-fPBMM-MP-2.A | MP-2.A Accesso multimediale | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| CCCS-fPBMM-MP-2.A | MP-2.A Accesso multimediale | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-MP-2.A | MP-2.A Accesso multimediale | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-MP-2.A | MP-2.A Accesso multimediale | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-MP-2.A | MP-2.A Accesso multimediale | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-MP-2.A | MP-2.A Accesso multimediale | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| CCCS-fPBMM-MP-2.A | MP-2.A Accesso multimediale | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-MP-2.A | MP-2.A Accesso multimediale | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-MP-2.A | MP-2.A Accesso multimediale | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| CCCS-fPBMM-MP-2.A | MP-2.A Accesso multimediale | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| CCCS-fPBMM-RA-5.A | RA-5.A Scansione delle vulnerabilità | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-RA-5.B | RA-5.B Scansione delle vulnerabilità | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-RA-5.C | RA-5.C Scansione delle vulnerabilità | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-RA-5.D | RA-5.D Scansione delle vulnerabilità | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-RA-5.E | RA-5.E Scansione delle vulnerabilità | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-SA-10(1) | SA-10(1) Gestione della configurazione per sviluppatori | Verifica dell'integrità di software e firmware | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei log. CloudTrail La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| CCCS-fPBMM-SC-5.A | SC-5.A Protezione Denial of Service | Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. | |
| CCCS-fPBMM-SC-5.A | SC-5.A Protezione Denial of Service | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-SC-6.A | SC-6.A Disponibilità delle risorse | I controlli dell'integrità Elastic Load Balancer (ELB) per i gruppi con dimensionamento automatico Amazon Elastic Compute Cloud (Amazon EC2) supportano il mantenimento di capacità e disponibilità adeguate. Periodicamente, il sistema di bilanciamento del carico invia ping, effettua tentativi di connessione o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo con dimensionamento automatico. Se un'istanza non risponde, il traffico viene inviato a una nuova istanza Amazon EC2. | |
| CCCS-fPBMM-SC-6.A | SC-6.A Disponibilità delle risorse | AWS La reportistica avanzata sullo stato di Elastic Beanstalk consente una risposta più rapida ai cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione. Il reporting avanzato sull'integrità di Elastic Beanstalk fornisce un descrittore dello stato per valutare la gravità dei problemi identificati e per individuare le possibili cause su cui indagare. | |
| CCCS-fPBMM-SC-6.A | SC-6.A Disponibilità delle risorse | La scalabilità automatica di Amazon DynamoDB utilizza il servizio Application AWS Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura e scrittura assegnata per gestire improvvisi aumenti di traffico, senza alcuna limitazione (della larghezza di banda della rete). | |
| CCCS-fPBMM-SC-6.A | SC-6.A Disponibilità delle risorse | Abilita questa regola per assicurarti che la capacità effettiva di trasmissione assegnata sia verificata nelle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura e scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando la velocità di trasmissione effettiva si avvicina al limite massimo per l'account di un cliente. Questa regola consente di impostare facoltativamente i parametri AccountRCU ThresholdPercentage (Config Default: 80) e AccountWCU ThresholdPercentage (Config Default: 80). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-SC-6.A | SC-6.A Disponibilità delle risorse | Abilita il bilanciamento del carico tra zone per gli Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze. | |
| CCCS-fPBMM-SC-6.A | SC-6.A Disponibilità delle risorse | Per favorire la disponibilità dei dati archiviati, la replica Multi-AZ deve essere abilitata per i cluster Amazon Relational Database Service (Amazon RDS). Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completato. | |
| CCCS-fPBMM-SC-6.A | SC-6.A Disponibilità delle risorse | Il supporto multi-AZ in Amazon Relational Database Service (Amazon RDS) offre disponibilità e durabilità avanzate per le istanze database. Quando esegui il provisioning di un'istanza database multi-AZ, Amazon RDS crea automaticamente un'istanza database primaria e replica in modo sincrono i dati in un'istanza standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completato. | |
| CCCS-fPBMM-SC-6.A | SC-6.A Disponibilità delle risorse | È possibile implementare tunnel VPN sito-sito ridondanti per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso in cui una delle connessioni VPN sito-sito non sia disponibile. Per evitare la perdita di connettività nel caso in cui il gateway del cliente non sia più disponibile, puoi configurare una seconda connessione VPN sito-sito al tuo Amazon Virtual Private Cloud (Amazon VPC) e al gateway privato virtuale utilizzando un secondo dispositivo gateway del cliente. | |
| CCCS-fPBMM-SC-7(3) | SC-7(3) Protezione dei confini | Punti di accesso | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7(3) | SC-7(3) Protezione dei confini | Punti di accesso | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7(3) | SC-7(3) Protezione dei confini | Punti di accesso | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7(3) | SC-7(3) Protezione dei confini | Punti di accesso | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| CCCS-fPBMM-SC-7(3) | SC-7(3) Protezione dei confini | Punti di accesso | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7(3) | SC-7(3) Protezione dei confini | Punti di accesso | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) in un Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del AWS cloud. Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| CCCS-fPBMM-SC-7(3) | SC-7(3) Protezione dei confini | Punti di accesso | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| CCCS-fPBMM-SC-7(3) | SC-7(3) Protezione dei confini | Punti di accesso | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| CCCS-fPBMM-SC-7(3) | SC-7(3) Protezione dei confini | Punti di accesso | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Questa configurazione non richiede un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| CCCS-fPBMM-SC-7(3) | SC-7(3) Protezione dei confini | Punti di accesso | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| CCCS-fPBMM-SC-7(3) | SC-7(3) Protezione dei confini | Punti di accesso | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7(3) | SC-7(3) Protezione dei confini | Punti di accesso | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7(3) | SC-7(3) Protezione dei confini | Punti di accesso | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7(3) | SC-7(3) Protezione dei confini | Punti di accesso | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-SC-7(3) | SC-7(3) Protezione dei confini | Punti di accesso | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| CCCS-fPBMM-SC-7(3) | SC-7(3) Protezione dei confini | Punti di accesso | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-SC-7(3) | SC-7(3) Protezione dei confini | Punti di accesso | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-SC-7(3) | SC-7(3) Protezione dei confini | Punti di accesso | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| CCCS-fPBMM-SC-7(3) | SC-7(3) Protezione dei confini | Punti di accesso | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| CCCS-fPBMM-SC-7(4) | SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-SC-7(4) | SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni | Assicurati che le fasi REST API del Gateway Amazon API siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare la provenienza delle richieste dal Gateway API. | |
| CCCS-fPBMM-SC-7(4) | SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7(4) | SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7(4) | SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7(4) | SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| CCCS-fPBMM-SC-7(4) | SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-SC-7(4) | SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| CCCS-fPBMM-SC-7(4) | SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni | Per proteggere i dati in transito, assicurati che gli ascoltatori SSL Classic Elastic Load Balancing utilizzino una policy di sicurezza predefinita. Elastic Load Balancing fornisce configurazioni di negoziazione SSL predefinite, che vengono utilizzate per la negoziazione SSL quando viene stabilita una connessione tra un client e il load balancer. Le configurazioni di negoziazione SSL garantiscono la compatibilità con un'ampia gamma di client e utilizzano algoritmi di crittografia altamente sicuri. Questa regola richiede l'impostazione di una policy di sicurezza predefinita per gli ascoltatori SSL. La politica di sicurezza predefinita è: ELB -TLS-1-2-2017-0. SecurityPolicy Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-SC-7(4) | SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni | Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-SC-7(4) | SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7(4) | SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| CCCS-fPBMM-SC-7(4) | SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) in un Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| CCCS-fPBMM-SC-7(4) | SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| CCCS-fPBMM-SC-7(4) | SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| CCCS-fPBMM-SC-7(4) | SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Questa configurazione non richiede un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| CCCS-fPBMM-SC-7(4) | SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| CCCS-fPBMM-SC-7(4) | SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7(4) | SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7(4) | SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7(4) | SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-SC-7(4) | SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-SC-7(4) | SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-SC-7(4) | SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| CCCS-fPBMM-SC-7(4) | SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-SC-7(4) | SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-SC-7(4) | SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-SC-7(4) | SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| CCCS-fPBMM-SC-7(4) | SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| CCCS-fPBMM-SC-7(4) | SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| CCCS-fPBMM-SC-7(4) | SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni. | |
| CCCS-fPBMM-SC-7(5) | SC-7(5) Protezione dei confini | Rifiuto per impostazione predefinita e consenso in via eccezionale | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| CCCS-fPBMM-SC-7(5) | SC-7(5) Protezione dei confini | Rifiuto per impostazione predefinita e consenso in via eccezionale | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-SC-7(5) | SC-7(5) Protezione dei confini | Rifiuto per impostazione predefinita e consenso in via eccezionale | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| CCCS-fPBMM-SC-7(5) | SC-7(5) Protezione dei confini | Rifiuto per impostazione predefinita e consenso in via eccezionale | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni. | |
| CCCS-fPBMM-SC-7(7) | SC-7(7) Protezione dei confini | Prevenzione del tunneling split per dispositivi remoti | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7(7) | SC-7(7) Protezione dei confini | Prevenzione del tunneling split per dispositivi remoti | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7(7) | SC-7(7) Protezione dei confini | Prevenzione del tunneling split per dispositivi remoti | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7(7) | SC-7(7) Protezione dei confini | Prevenzione del tunneling split per dispositivi remoti | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7(7) | SC-7(7) Protezione dei confini | Prevenzione del tunneling split per dispositivi remoti | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| CCCS-fPBMM-SC-7(7) | SC-7(7) Protezione dei confini | Prevenzione del tunneling split per dispositivi remoti | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| CCCS-fPBMM-SC-7(7) | SC-7(7) Protezione dei confini | Prevenzione del tunneling split per dispositivi remoti | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| CCCS-fPBMM-SC-7(7) | SC-7(7) Protezione dei confini | Prevenzione del tunneling split per dispositivi remoti | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7(7) | SC-7(7) Protezione dei confini | Prevenzione del tunneling split per dispositivi remoti | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7(7) | SC-7(7) Protezione dei confini | Prevenzione del tunneling split per dispositivi remoti | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7(7) | SC-7(7) Protezione dei confini | Prevenzione del tunneling split per dispositivi remoti | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-SC-7(7) | SC-7(7) Protezione dei confini | Prevenzione del tunneling split per dispositivi remoti | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-SC-7(7) | SC-7(7) Protezione dei confini | Prevenzione del tunneling split per dispositivi remoti | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| CCCS-fPBMM-SC-7(7) | SC-7(7) Protezione dei confini | Prevenzione del tunneling split per dispositivi remoti | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-SC-7(7) | SC-7(7) Protezione dei confini | Prevenzione del tunneling split per dispositivi remoti | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-SC-7(7) | SC-7(7) Protezione dei confini | Prevenzione del tunneling split per dispositivi remoti | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| CCCS-fPBMM-SC-7(7) | SC-7(7) Protezione dei confini | Prevenzione del tunneling split per dispositivi remoti | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| CCCS-fPBMM-SC-7(7) | SC-7(7) Protezione dei confini | Prevenzione del tunneling split per dispositivi remoti | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| CCCS-fPBMM-SC-7.A | SC-7.A Protezione dei confini | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7.A | SC-7.A Protezione dei confini | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7.A | SC-7.A Protezione dei confini | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7.A | SC-7.A Protezione dei confini | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| CCCS-fPBMM-SC-7.A | SC-7.A Protezione dei confini | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7.A | SC-7.A Protezione dei confini | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| CCCS-fPBMM-SC-7.A | SC-7.A Protezione dei confini | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) in un Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| CCCS-fPBMM-SC-7.A | SC-7.A Protezione dei confini | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| CCCS-fPBMM-SC-7.A | SC-7.A Protezione dei confini | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| CCCS-fPBMM-SC-7.A | SC-7.A Protezione dei confini | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Questa configurazione non richiede un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| CCCS-fPBMM-SC-7.A | SC-7.A Protezione dei confini | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| CCCS-fPBMM-SC-7.A | SC-7.A Protezione dei confini | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7.A | SC-7.A Protezione dei confini | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7.A | SC-7.A Protezione dei confini | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7.A | SC-7.A Protezione dei confini | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-SC-7.A | SC-7.A Protezione dei confini | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-SC-7.A | SC-7.A Protezione dei confini | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| CCCS-fPBMM-SC-7.A | SC-7.A Protezione dei confini | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-SC-7.A | SC-7.A Protezione dei confini | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-SC-7.A | SC-7.A Protezione dei confini | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| CCCS-fPBMM-SC-7.A | SC-7.A Protezione dei confini | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| CCCS-fPBMM-SC-7.A | SC-7.A Protezione dei confini | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| CCCS-fPBMM-SC-7.A | SC-7.A Protezione dei confini | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni. | |
| CCCS-fPBMM-SC-7.B | SC-7.B Protezione dei confini | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7.B | SC-7.B Protezione dei confini | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7.B | SC-7.B Protezione dei confini | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7.B | SC-7.B Protezione dei confini | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| CCCS-fPBMM-SC-7.B | SC-7.B Protezione dei confini | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7.B | SC-7.B Protezione dei confini | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| CCCS-fPBMM-SC-7.B | SC-7.B Protezione dei confini | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) in un Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| CCCS-fPBMM-SC-7.B | SC-7.B Protezione dei confini | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| CCCS-fPBMM-SC-7.B | SC-7.B Protezione dei confini | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| CCCS-fPBMM-SC-7.B | SC-7.B Protezione dei confini | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Questa configurazione non richiede un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| CCCS-fPBMM-SC-7.B | SC-7.B Protezione dei confini | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| CCCS-fPBMM-SC-7.B | SC-7.B Protezione dei confini | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7.B | SC-7.B Protezione dei confini | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7.B | SC-7.B Protezione dei confini | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7.B | SC-7.B Protezione dei confini | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-SC-7.B | SC-7.B Protezione dei confini | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-SC-7.B | SC-7.B Protezione dei confini | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| CCCS-fPBMM-SC-7.B | SC-7.B Protezione dei confini | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-SC-7.B | SC-7.B Protezione dei confini | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-SC-7.B | SC-7.B Protezione dei confini | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| CCCS-fPBMM-SC-7.B | SC-7.B Protezione dei confini | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| CCCS-fPBMM-SC-7.B | SC-7.B Protezione dei confini | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| CCCS-fPBMM-SC-7.B | SC-7.B Protezione dei confini | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni. | |
| CCCS-fPBMM-SC-7.C | SC-7.C Protezione dei confini | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7.C | SC-7.C Protezione dei confini | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7.C | SC-7.C Protezione dei confini | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7.C | SC-7.C Protezione dei confini | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| CCCS-fPBMM-SC-7.C | SC-7.C Protezione dei confini | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7.C | SC-7.C Protezione dei confini | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| CCCS-fPBMM-SC-7.C | SC-7.C Protezione dei confini | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) in un Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| CCCS-fPBMM-SC-7.C | SC-7.C Protezione dei confini | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| CCCS-fPBMM-SC-7.C | SC-7.C Protezione dei confini | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| CCCS-fPBMM-SC-7.C | SC-7.C Protezione dei confini | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Questa configurazione non richiede un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| CCCS-fPBMM-SC-7.C | SC-7.C Protezione dei confini | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| CCCS-fPBMM-SC-7.C | SC-7.C Protezione dei confini | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7.C | SC-7.C Protezione dei confini | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7.C | SC-7.C Protezione dei confini | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| CCCS-fPBMM-SC-7.C | SC-7.C Protezione dei confini | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-SC-7.C | SC-7.C Protezione dei confini | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-SC-7.C | SC-7.C Protezione dei confini | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| CCCS-fPBMM-SC-7.C | SC-7.C Protezione dei confini | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-SC-7.C | SC-7.C Protezione dei confini | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| CCCS-fPBMM-SC-7.C | SC-7.C Protezione dei confini | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| CCCS-fPBMM-SC-7.C | SC-7.C Protezione dei confini | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| CCCS-fPBMM-SC-7.C | SC-7.C Protezione dei confini | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| CCCS-fPBMM-SC-7.C | SC-7.C Protezione dei confini | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni. | |
| CCCS-fPBMM-SC-8(1) | SC-8(1) Riservatezza e integrità della trasmissione | Protezione fisica crittografica o alternativa | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-SC-8(1) | SC-8(1) Riservatezza e integrità della trasmissione | Protezione fisica crittografica o alternativa | Assicurati che le fasi REST API del Gateway Amazon API siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare la provenienza delle richieste dal Gateway API. | |
| CCCS-fPBMM-SC-8(1) | SC-8(1) Riservatezza e integrità della trasmissione | Protezione fisica crittografica o alternativa | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-SC-8(1) | SC-8(1) Riservatezza e integrità della trasmissione | Protezione fisica crittografica o alternativa | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| CCCS-fPBMM-SC-8(1) | SC-8(1) Riservatezza e integrità della trasmissione | Protezione fisica crittografica o alternativa | Per proteggere i dati in transito, assicurati che gli ascoltatori SSL Classic Elastic Load Balancing utilizzino una policy di sicurezza predefinita. Elastic Load Balancing fornisce configurazioni di negoziazione SSL predefinite, che vengono utilizzate per la negoziazione SSL quando viene stabilita una connessione tra un client e il load balancer. Le configurazioni di negoziazione SSL garantiscono la compatibilità con un'ampia gamma di client e utilizzano algoritmi di crittografia altamente sicuri. Questa regola richiede l'impostazione di una policy di sicurezza predefinita per gli ascoltatori SSL. La politica di sicurezza predefinita è: ELB -TLS-1-2-2017-0. SecurityPolicy Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-SC-8(1) | SC-8(1) Riservatezza e integrità della trasmissione | Protezione fisica crittografica o alternativa | Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-SC-8(1) | SC-8(1) Riservatezza e integrità della trasmissione | Protezione fisica crittografica o alternativa | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-SC-8(1) | SC-8(1) Riservatezza e integrità della trasmissione | Protezione fisica crittografica o alternativa | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-SC-8(1) | SC-8(1) Riservatezza e integrità della trasmissione | Protezione fisica crittografica o alternativa | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-SC-8.A | SC-8.A Riservatezza e integrità della trasmissione | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-SC-8.A | SC-8.A Riservatezza e integrità della trasmissione | Assicurati che le fasi REST API del Gateway Amazon API siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare la provenienza delle richieste dal Gateway API. | |
| CCCS-fPBMM-SC-8.A | SC-8.A Riservatezza e integrità della trasmissione | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-SC-8.A | SC-8.A Riservatezza e integrità della trasmissione | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| CCCS-fPBMM-SC-8.A | SC-8.A Riservatezza e integrità della trasmissione | Per proteggere i dati in transito, assicurati che gli ascoltatori SSL Classic Elastic Load Balancing utilizzino una policy di sicurezza predefinita. Elastic Load Balancing fornisce configurazioni di negoziazione SSL predefinite, che vengono utilizzate per la negoziazione SSL quando viene stabilita una connessione tra un client e il load balancer. Le configurazioni di negoziazione SSL garantiscono la compatibilità con un'ampia gamma di client e utilizzano algoritmi di crittografia altamente sicuri. Questa regola richiede l'impostazione di una policy di sicurezza predefinita per gli ascoltatori SSL. La politica di sicurezza predefinita è: ELB -TLS-1-2-2017-0. SecurityPolicy Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-SC-8.A | SC-8.A Riservatezza e integrità della trasmissione | Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-SC-8.A | SC-8.A Riservatezza e integrità della trasmissione | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-SC-8.A | SC-8.A Riservatezza e integrità della trasmissione | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-SC-8.A | SC-8.A Riservatezza e integrità della trasmissione | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-SC-12(1) | SC-12(1) Creazione e gestione delle chiavi crittografiche | Disponibilità | Per proteggere i dati archiviati, assicurati che le chiavi master del cliente (CMK) necessarie non siano pianificate per l'eliminazione in AWS Key Management Service (AWS KMS). Poiché a volte l'eliminazione delle chiavi è necessaria, questa regola può aiutare a verificare tutte le chiavi per le quali è pianificata l'eliminazione, nel caso in cui una chiave sia stata pianificata in modo non intenzionale. | |
| CCCS-fPBMM-SC-12(2) | SC-12(2) Creazione e gestione delle chiavi crittografiche | Chiavi simmetriche | Abilita la rotazione delle chiavi per garantire che vengano ruotate una volta terminato il loro periodo di crittografia. | |
| CCCS-fPBMM-SC-12(2) | SC-12(2) Creazione e gestione delle chiavi crittografiche | Chiavi simmetriche | Per proteggere i dati archiviati, assicurati che non sia pianificata l'eliminazione delle chiavi master del cliente (CMK) necessarie nel servizio di gestione delle AWS chiavi (AWS KMS). Poiché a volte l'eliminazione delle chiavi è necessaria, questa regola può aiutare a verificare tutte le chiavi per le quali è pianificata l'eliminazione, nel caso in cui una chiave sia stata pianificata in modo non intenzionale. | |
| CCCS-fPBMM-SC-12.A | SC-12.A Creazione e gestione delle chiavi crittografiche | Abilita la rotazione delle chiavi per garantire che vengano ruotate una volta terminato il loro periodo di crittografia. | |
| CCCS-fPBMM-SC-12.A | SC-12.A Creazione e gestione delle chiavi crittografiche | Per proteggere i dati archiviati, assicurati che non sia pianificata l'eliminazione delle chiavi master del cliente (CMK) necessarie nel servizio di gestione delle AWS chiavi (AWS KMS). Poiché a volte l'eliminazione delle chiavi è necessaria, questa regola può aiutare a verificare tutte le chiavi per le quali è pianificata l'eliminazione, nel caso in cui una chiave sia stata pianificata in modo non intenzionale. | |
| CCCS-fPBMM-SC-13.A | SC-13.A Protezione crittografica | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-SC-13.A | SC-13.A Protezione crittografica | Assicurati che le fasi REST API del Gateway Amazon API siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare la provenienza delle richieste dal Gateway API. | |
| CCCS-fPBMM-SC-13.A | SC-13.A Protezione crittografica | Poiché possono esistere dati sensibili e per contribuire a proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CloudTrail percorsi. | |
| CCCS-fPBMM-SC-13.A | SC-13.A Protezione crittografica | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-SC-13.A | SC-13.A Protezione crittografica | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| CCCS-fPBMM-SC-13.A | SC-13.A Protezione crittografica | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch OpenSearch Service (Service). | |
| CCCS-fPBMM-SC-13.A | SC-13.A Protezione crittografica | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-SC-13.A | SC-13.A Protezione crittografica | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| CCCS-fPBMM-SC-13.A | SC-13.A Protezione crittografica | Per proteggere i dati in transito, assicurati che gli ascoltatori SSL Classic Elastic Load Balancing utilizzino una policy di sicurezza predefinita. Elastic Load Balancing fornisce configurazioni di negoziazione SSL predefinite, che vengono utilizzate per la negoziazione SSL quando viene stabilita una connessione tra un client e il load balancer. Le configurazioni di negoziazione SSL garantiscono la compatibilità con un'ampia gamma di client e utilizzano algoritmi di crittografia altamente sicuri. Questa regola richiede l'impostazione di una policy di sicurezza predefinita per gli ascoltatori SSL. La politica di sicurezza predefinita è: ELB -TLS-1-2-2017-0. SecurityPolicy Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-SC-13.A | SC-13.A Protezione crittografica | Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-SC-13.A | SC-13.A Protezione crittografica | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). | |
| CCCS-fPBMM-SC-13.A | SC-13.A Protezione crittografica | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service. | |
| CCCS-fPBMM-SC-13.A | SC-13.A Protezione crittografica | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-SC-13.A | SC-13.A Protezione crittografica | Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-SC-13.A | SC-13.A Protezione crittografica | Per aiutare a proteggere i dati a riposo, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo nelle istanze Amazon RDS, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-SC-13.A | SC-13.A Protezione crittografica | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-SC-13.A | SC-13.A Protezione crittografica | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo cluster Amazon Redshift. Data la possibile presenza di dati sensibili a riposo nei cluster Redshift, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-SC-13.A | SC-13.A Protezione crittografica | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-SC-13.A | SC-13.A Protezione crittografica | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| CCCS-fPBMM-SC-13.A | SC-13.A Protezione crittografica | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-SC-13.A | SC-13.A Protezione crittografica | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-SC-13.A | SC-13.A Protezione crittografica | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo SageMaker notebook. Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| CCCS-fPBMM-SC-13.A | SC-13.A Protezione crittografica | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per AWS i segreti di Secrets Manager. Data la possibile presenza di dati sensibili a riposo nei segreti di Secrets Manager, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-SC-13.A | SC-13.A Protezione crittografica | Per proteggere i dati archiviati, assicurati che gli argomenti di Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia AWS tramite Key Management Service AWS (KMS). Data la possibile presenza di dati sensibili a riposo nei messaggi pubblicati, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-SC-22.A | SC-22.A Architettura e provisioning per il servizio di risoluzione di nomi e indirizzi | Questa regola garantisce che per Elastic Load Balancing sia abilitata la protezione da eliminazione. Utilizza questa funzionalità per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| CCCS-fPBMM-SC-23.A | SC-23.A Autenticità della sessione | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-SC-23.A | SC-23.A Autenticità della sessione | Assicurati che le fasi REST API del Gateway Amazon API siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare la provenienza delle richieste dal Gateway API. | |
| CCCS-fPBMM-SC-23.A | SC-23.A Autenticità della sessione | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-SC-23.A | SC-23.A Autenticità della sessione | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| CCCS-fPBMM-SC-23.A | SC-23.A Autenticità della sessione | Per proteggere i dati in transito, assicurati che gli ascoltatori SSL Classic Elastic Load Balancing utilizzino una policy di sicurezza predefinita. Elastic Load Balancing fornisce configurazioni di negoziazione SSL predefinite, che vengono utilizzate per la negoziazione SSL quando viene stabilita una connessione tra un client e il load balancer. Le configurazioni di negoziazione SSL garantiscono la compatibilità con un'ampia gamma di client e utilizzano algoritmi di crittografia altamente sicuri. Questa regola richiede l'impostazione di una policy di sicurezza predefinita per gli ascoltatori SSL. La politica di sicurezza predefinita è: ELB -TLS-1-2-2017-0. SecurityPolicy Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-SC-23.A | SC-23.A Autenticità della sessione | Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-SC-23.A | SC-23.A Autenticità della sessione | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-SC-23.A | SC-23.A Autenticità della sessione | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-SC-23.A | SC-23.A Autenticità della sessione | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-SC-28(1) | SC-28(1) Protezione delle informazioni a riposo | Protezione crittografica | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CloudTrail percorsi. | |
| CCCS-fPBMM-SC-28(1) | SC-28(1) Protezione delle informazioni a riposo | Protezione crittografica | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-SC-28(1) | SC-28(1) Protezione delle informazioni a riposo | Protezione crittografica | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| CCCS-fPBMM-SC-28(1) | SC-28(1) Protezione delle informazioni a riposo | Protezione crittografica | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch OpenSearch Service (Service). | |
| CCCS-fPBMM-SC-28(1) | SC-28(1) Protezione delle informazioni a riposo | Protezione crittografica | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). | |
| CCCS-fPBMM-SC-28(1) | SC-28(1) Protezione delle informazioni a riposo | Protezione crittografica | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service. | |
| CCCS-fPBMM-SC-28(1) | SC-28(1) Protezione delle informazioni a riposo | Protezione crittografica | Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-SC-28(1) | SC-28(1) Protezione delle informazioni a riposo | Protezione crittografica | Per aiutare a proteggere i dati a riposo, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo nelle istanze Amazon RDS, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-SC-28(1) | SC-28(1) Protezione delle informazioni a riposo | Protezione crittografica | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-SC-28(1) | SC-28(1) Protezione delle informazioni a riposo | Protezione crittografica | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo cluster Amazon Redshift. Data la possibile presenza di dati sensibili a riposo nei cluster Redshift, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-SC-28(1) | SC-28(1) Protezione delle informazioni a riposo | Protezione crittografica | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| CCCS-fPBMM-SC-28(1) | SC-28(1) Protezione delle informazioni a riposo | Protezione crittografica | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-SC-28(1) | SC-28(1) Protezione delle informazioni a riposo | Protezione crittografica | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo SageMaker notebook. Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| CCCS-fPBMM-SC-28(1) | SC-28(1) Protezione delle informazioni a riposo | Protezione crittografica | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per AWS i segreti di Secrets Manager. Data la possibile presenza di dati sensibili a riposo nei segreti di Secrets Manager, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-SC-28(1) | SC-28(1) Protezione delle informazioni a riposo | Protezione crittografica | Per proteggere i dati archiviati, assicurati che gli argomenti di Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia AWS tramite Key Management Service AWS (KMS). Data la possibile presenza di dati sensibili a riposo nei messaggi pubblicati, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-SC-28.A | SC-28.A Protezione delle informazioni a riposo | Assicurati che la crittografia sia abilitata per i punti AWS di ripristino del Backup. Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-SC-28.A | SC-28.A Protezione delle informazioni a riposo | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CloudTrail percorsi. | |
| CCCS-fPBMM-SC-28.A | SC-28.A Protezione delle informazioni a riposo | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-SC-28.A | SC-28.A Protezione delle informazioni a riposo | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| CCCS-fPBMM-SC-28.A | SC-28.A Protezione delle informazioni a riposo | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch OpenSearch Service (Service). | |
| CCCS-fPBMM-SC-28.A | SC-28.A Protezione delle informazioni a riposo | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-SC-28.A | SC-28.A Protezione delle informazioni a riposo | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| CCCS-fPBMM-SC-28.A | SC-28.A Protezione delle informazioni a riposo | Per proteggere i dati in transito, assicurati che gli ascoltatori SSL Classic Elastic Load Balancing utilizzino una policy di sicurezza predefinita. Elastic Load Balancing fornisce configurazioni di negoziazione SSL predefinite, che vengono utilizzate per la negoziazione SSL quando viene stabilita una connessione tra un client e il load balancer. Le configurazioni di negoziazione SSL garantiscono la compatibilità con un'ampia gamma di client e utilizzano algoritmi di crittografia altamente sicuri. Questa regola richiede l'impostazione di una policy di sicurezza predefinita per gli ascoltatori SSL. La politica di sicurezza predefinita è: ELB -TLS-1-2-2017-0. SecurityPolicy Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| CCCS-fPBMM-SC-28.A | SC-28.A Protezione delle informazioni a riposo | Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-SC-28.A | SC-28.A Protezione delle informazioni a riposo | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). | |
| CCCS-fPBMM-SC-28.A | SC-28.A Protezione delle informazioni a riposo | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service. | |
| CCCS-fPBMM-SC-28.A | SC-28.A Protezione delle informazioni a riposo | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-SC-28.A | SC-28.A Protezione delle informazioni a riposo | Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-SC-28.A | SC-28.A Protezione delle informazioni a riposo | Per aiutare a proteggere i dati a riposo, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo nelle istanze Amazon RDS, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-SC-28.A | SC-28.A Protezione delle informazioni a riposo | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-SC-28.A | SC-28.A Protezione delle informazioni a riposo | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo cluster Amazon Redshift. Data la possibile presenza di dati sensibili a riposo nei cluster Redshift, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-SC-28.A | SC-28.A Protezione delle informazioni a riposo | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-SC-28.A | SC-28.A Protezione delle informazioni a riposo | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| CCCS-fPBMM-SC-28.A | SC-28.A Protezione delle informazioni a riposo | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| CCCS-fPBMM-SC-28.A | SC-28.A Protezione delle informazioni a riposo | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-SC-28.A | SC-28.A Protezione delle informazioni a riposo | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo SageMaker notebook. Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| CCCS-fPBMM-SC-28.A | SC-28.A Protezione delle informazioni a riposo | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per AWS i segreti di Secrets Manager. Data la possibile presenza di dati sensibili a riposo nei segreti di Secrets Manager, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-SC-28.A | SC-28.A Protezione delle informazioni a riposo | Per proteggere i dati archiviati, assicurati che gli argomenti di Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia AWS tramite Key Management Service AWS (KMS). Data la possibile presenza di dati sensibili a riposo nei messaggi pubblicati, abilita la crittografia a riposo per proteggere tali dati. | |
| CCCS-fPBMM-SI-2(2) | SI-2(2) Correzione dei difetti | Stato della correzione automatizzata dei difetti | I controlli dell'integrità Elastic Load Balancer (ELB) per i gruppi con dimensionamento automatico Amazon Elastic Compute Cloud (Amazon EC2) supportano il mantenimento di capacità e disponibilità adeguate. Periodicamente, il sistema di bilanciamento del carico invia ping, effettua tentativi di connessione o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo con dimensionamento automatico. Se un'istanza non risponde, il traffico viene inviato a una nuova istanza Amazon EC2. | |
| CCCS-fPBMM-SI-2(2) | SI-2(2) Correzione dei difetti | Stato della correzione automatizzata dei difetti | AWS La reportistica avanzata sullo stato di Elastic Beanstalk consente una risposta più rapida ai cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione. Il reporting avanzato sull'integrità di Elastic Beanstalk fornisce un descrittore dello stato per valutare la gravità dei problemi identificati e per individuare le possibili cause su cui indagare. | |
| CCCS-fPBMM-SI-2(2) | SI-2(2) Correzione dei difetti | Stato della correzione automatizzata dei difetti | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| CCCS-fPBMM-SI-2(2) | SI-2(2) Correzione dei difetti | Stato della correzione automatizzata dei difetti | Abilita questa regola per assicurarti che la capacità effettiva di trasmissione assegnata sia verificata nelle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura e scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando la velocità di trasmissione effettiva si avvicina al limite massimo per l'account di un cliente. Questa regola consente di impostare facoltativamente i parametri AccountRCU ThresholdPercentage (Config Default: 80) e AccountWCU ThresholdPercentage (Config Default: 80). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-SI-2(2) | SI-2(2) Correzione dei difetti | Stato della correzione automatizzata dei difetti | Abilita questa regola per migliorare il monitoraggio delle istanze Amazon Elastic Compute Cloud (Amazon EC2) sulla console Amazon EC2, che visualizza grafici di monitoraggio relativi all'istanza a intervalli di 1 minuto. | |
| CCCS-fPBMM-SI-2(2) | SI-2(2) Correzione dei difetti | Stato della correzione automatizzata dei difetti | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-SI-2(2) | SI-2(2) Correzione dei difetti | Stato della correzione automatizzata dei difetti | Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee guida per livelli di patch del sistema operativo, installazioni software, configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-SI-2(2) | SI-2(2) Correzione dei difetti | Stato della correzione automatizzata dei difetti | L'abilitazione di questa regola facilita l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| CCCS-fPBMM-SI-2(2) | SI-2(2) Correzione dei difetti | Stato della correzione automatizzata dei difetti | L'abilitazione degli aggiornamenti della piattaforma gestiti per un ambiente Amazon Elastic Beanstalk garantisce l'installazione degli ultimi aggiornamenti, correzioni e funzionalità disponibili per l'ambiente. Rimanere costantemente al passo con l'installazione delle patch è una delle best practice per la sicurezza dei sistemi. | |
| CCCS-fPBMM-SI-2(2) | SI-2(2) Correzione dei difetti | Stato della correzione automatizzata dei difetti | Abilita questa regola per avvisare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione restituisce un errore. | |
| CCCS-fPBMM-SI-2(2) | SI-2(2) Correzione dei difetti | Stato della correzione automatizzata dei difetti | Abilita Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità di Amazon RDS. Ciò fornisce una visibilità dettagliata sullo stato delle istanze database Amazon RDS. Quando l'archiviazione di Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ogni dispositivo. Inoltre, quando l'istanza database Amazon RDS è in esecuzione in una implementazione multi-AZ, vengono raccolti i dati per ogni dispositivo sull'host secondario e le metriche dell'host secondario. | |
| CCCS-fPBMM-SI-2(2) | SI-2(2) Correzione dei difetti | Stato della correzione automatizzata dei difetti | Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno finestre di manutenzione preferite e periodi di conservazione automatica degli snapshot per il database. Questa regola richiede di impostare il allowVersionUpgrade. Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sab: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-SI-2(3) | SI-2(3) Correzione dei difetti | Tempo di correzione dei difetti / Benchmark per le azioni correttive | Amazon ti GuardDuty aiuta a comprendere l'impatto di un incidente classificando i risultati in base alla gravità: bassa, media e alta. Puoi utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola consente di impostare facoltativamente daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) e daysHighSev (Config Default: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione. | |
| CCCS-fPBMM-SI-2.A | SI-2.A Correzione dei difetti | I controlli dell'integrità Elastic Load Balancer (ELB) per i gruppi con dimensionamento automatico Amazon Elastic Compute Cloud (Amazon EC2) supportano il mantenimento di capacità e disponibilità adeguate. Periodicamente, il sistema di bilanciamento del carico invia ping, effettua tentativi di connessione o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo con dimensionamento automatico. Se un'istanza non risponde, il traffico viene inviato a una nuova istanza Amazon EC2. | |
| CCCS-fPBMM-SI-2.A | SI-2.A Correzione dei difetti | AWS La reportistica avanzata sullo stato di Elastic Beanstalk consente una risposta più rapida ai cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione. Il reporting avanzato sull'integrità di Elastic Beanstalk fornisce un descrittore dello stato per valutare la gravità dei problemi identificati e per individuare le possibili cause su cui indagare. | |
| CCCS-fPBMM-SI-2.A | SI-2.A Correzione dei difetti | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| CCCS-fPBMM-SI-2.A | SI-2.A Correzione dei difetti | Abilita questa regola per assicurarti che la capacità effettiva di trasmissione assegnata sia verificata nelle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura e scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando la velocità di trasmissione effettiva si avvicina al limite massimo per l'account di un cliente. Questa regola consente di impostare facoltativamente i parametri AccountRCU ThresholdPercentage (Config Default: 80) e AccountWCU ThresholdPercentage (Config Default: 80). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-SI-2.A | SI-2.A Correzione dei difetti | Abilita questa regola per migliorare il monitoraggio delle istanze Amazon Elastic Compute Cloud (Amazon EC2) sulla console Amazon EC2, che visualizza grafici di monitoraggio relativi all'istanza a intervalli di 1 minuto. | |
| CCCS-fPBMM-SI-2.A | SI-2.A Correzione dei difetti | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-SI-2.A | SI-2.A Correzione dei difetti | Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee guida per livelli di patch del sistema operativo, installazioni software, configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-SI-2.A | SI-2.A Correzione dei difetti | L'abilitazione di questa regola facilita l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| CCCS-fPBMM-SI-2.A | SI-2.A Correzione dei difetti | L'abilitazione degli aggiornamenti della piattaforma gestiti per un ambiente Amazon Elastic Beanstalk garantisce l'installazione degli ultimi aggiornamenti, correzioni e funzionalità disponibili per l'ambiente. Rimanere costantemente al passo con l'installazione delle patch è una delle best practice per la sicurezza dei sistemi. | |
| CCCS-fPBMM-SI-2.A | SI-2.A Correzione dei difetti | Abilita questa regola per avvisare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione restituisce un errore. | |
| CCCS-fPBMM-SI-2.A | SI-2.A Correzione dei difetti | Abilita Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità di Amazon RDS. Ciò fornisce una visibilità dettagliata sullo stato delle istanze database Amazon RDS. Quando l'archiviazione di Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ogni dispositivo. Inoltre, quando l'istanza database Amazon RDS è in esecuzione in una implementazione multi-AZ, vengono raccolti i dati per ogni dispositivo sull'host secondario e le metriche dell'host secondario. | |
| CCCS-fPBMM-SI-2.A | SI-2.A Correzione dei difetti | Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno finestre di manutenzione preferite e periodi di conservazione automatica degli snapshot per il database. Questa regola richiede di impostare il allowVersionUpgrade. Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sab: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-SI-2.B | SI-2.B Correzione dei difetti | I controlli dell'integrità Elastic Load Balancer (ELB) per i gruppi con dimensionamento automatico Amazon Elastic Compute Cloud (Amazon EC2) supportano il mantenimento di capacità e disponibilità adeguate. Periodicamente, il sistema di bilanciamento del carico invia ping, effettua tentativi di connessione o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo con dimensionamento automatico. Se un'istanza non risponde, il traffico viene inviato a una nuova istanza Amazon EC2. | |
| CCCS-fPBMM-SI-2.B | SI-2.B Correzione dei difetti | AWS La reportistica avanzata sullo stato di Elastic Beanstalk consente una risposta più rapida ai cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione. Il reporting avanzato sull'integrità di Elastic Beanstalk fornisce un descrittore dello stato per valutare la gravità dei problemi identificati e per individuare le possibili cause su cui indagare. | |
| CCCS-fPBMM-SI-2.B | SI-2.B Correzione dei difetti | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| CCCS-fPBMM-SI-2.B | SI-2.B Correzione dei difetti | Abilita questa regola per assicurarti che la capacità effettiva di trasmissione assegnata sia verificata nelle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura e scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando la velocità di trasmissione effettiva si avvicina al limite massimo per l'account di un cliente. Questa regola consente di impostare facoltativamente i parametri AccountRCU ThresholdPercentage (Config Default: 80) e AccountWCU ThresholdPercentage (Config Default: 80). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-SI-2.B | SI-2.B Correzione dei difetti | Abilita questa regola per migliorare il monitoraggio delle istanze Amazon Elastic Compute Cloud (Amazon EC2) sulla console Amazon EC2, che visualizza grafici di monitoraggio relativi all'istanza a intervalli di 1 minuto. | |
| CCCS-fPBMM-SI-2.B | SI-2.B Correzione dei difetti | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-SI-2.B | SI-2.B Correzione dei difetti | Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee guida per livelli di patch del sistema operativo, installazioni software, configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-SI-2.B | SI-2.B Correzione dei difetti | L'abilitazione di questa regola facilita l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| CCCS-fPBMM-SI-2.B | SI-2.B Correzione dei difetti | L'abilitazione degli aggiornamenti della piattaforma gestiti per un ambiente Amazon Elastic Beanstalk garantisce l'installazione degli ultimi aggiornamenti, correzioni e funzionalità disponibili per l'ambiente. Rimanere costantemente al passo con l'installazione delle patch è una delle best practice per la sicurezza dei sistemi. | |
| CCCS-fPBMM-SI-2.B | SI-2.B Correzione dei difetti | Abilita questa regola per avvisare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione restituisce un errore. | |
| CCCS-fPBMM-SI-2.B | SI-2.B Correzione dei difetti | Abilita Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità di Amazon RDS. Ciò fornisce una visibilità dettagliata sullo stato delle istanze database Amazon RDS. Quando l'archiviazione di Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ogni dispositivo. Inoltre, quando l'istanza database Amazon RDS è in esecuzione in una implementazione multi-AZ, vengono raccolti i dati per ogni dispositivo sull'host secondario e le metriche dell'host secondario. | |
| CCCS-fPBMM-SI-2.B | SI-2.B Correzione dei difetti | Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno finestre di manutenzione preferite e periodi di conservazione automatica degli snapshot per il database. Questa regola richiede di impostare il allowVersionUpgrade. Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sab: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-SI-2.C | SI-2.C Correzione dei difetti | I controlli dell'integrità Elastic Load Balancer (ELB) per i gruppi con dimensionamento automatico Amazon Elastic Compute Cloud (Amazon EC2) supportano il mantenimento di capacità e disponibilità adeguate. Periodicamente, il sistema di bilanciamento del carico invia ping, effettua tentativi di connessione o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo con dimensionamento automatico. Se un'istanza non risponde, il traffico viene inviato a una nuova istanza Amazon EC2. | |
| CCCS-fPBMM-SI-2.C | SI-2.C Correzione dei difetti | AWS La reportistica avanzata sullo stato di Elastic Beanstalk consente una risposta più rapida ai cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione. Il reporting avanzato sull'integrità di Elastic Beanstalk fornisce un descrittore dello stato per valutare la gravità dei problemi identificati e per individuare le possibili cause su cui indagare. | |
| CCCS-fPBMM-SI-2.C | SI-2.C Correzione dei difetti | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| CCCS-fPBMM-SI-2.C | SI-2.C Correzione dei difetti | Abilita questa regola per assicurarti che la capacità effettiva di trasmissione assegnata sia verificata nelle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura e scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando la velocità di trasmissione effettiva si avvicina al limite massimo per l'account di un cliente. Questa regola consente di impostare facoltativamente i parametri AccountRCU ThresholdPercentage (Config Default: 80) e AccountWCU ThresholdPercentage (Config Default: 80). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-SI-2.C | SI-2.C Correzione dei difetti | Abilita questa regola per migliorare il monitoraggio delle istanze Amazon Elastic Compute Cloud (Amazon EC2) sulla console Amazon EC2, che visualizza grafici di monitoraggio relativi all'istanza a intervalli di 1 minuto. | |
| CCCS-fPBMM-SI-2.C | SI-2.C Correzione dei difetti | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-SI-2.C | SI-2.C Correzione dei difetti | Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee guida per livelli di patch del sistema operativo, installazioni software, configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-SI-2.C | SI-2.C Correzione dei difetti | L'abilitazione di questa regola facilita l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| CCCS-fPBMM-SI-2.C | SI-2.C Correzione dei difetti | L'abilitazione degli aggiornamenti della piattaforma gestiti per un ambiente Amazon Elastic Beanstalk garantisce l'installazione degli ultimi aggiornamenti, correzioni e funzionalità disponibili per l'ambiente. Rimanere costantemente al passo con l'installazione delle patch è una delle best practice per la sicurezza dei sistemi. | |
| CCCS-fPBMM-SI-2.C | SI-2.C Correzione dei difetti | Abilita questa regola per avvisare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione restituisce un errore. | |
| CCCS-fPBMM-SI-2.C | SI-2.C Correzione dei difetti | Abilita Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità di Amazon RDS. Ciò fornisce una visibilità dettagliata sullo stato delle istanze database Amazon RDS. Quando l'archiviazione di Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ogni dispositivo. Inoltre, quando l'istanza database Amazon RDS è in esecuzione in una implementazione multi-AZ, vengono raccolti i dati per ogni dispositivo sull'host secondario e le metriche dell'host secondario. | |
| CCCS-fPBMM-SI-2.C | SI-2.C Correzione dei difetti | Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno finestre di manutenzione preferite e periodi di conservazione automatica degli snapshot per il database. Questa regola richiede di impostare il allowVersionUpgrade. Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sab: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-SI-2.D | SI-2.D Correzione dei difetti | I controlli dell'integrità Elastic Load Balancer (ELB) per i gruppi con dimensionamento automatico Amazon Elastic Compute Cloud (Amazon EC2) supportano il mantenimento di capacità e disponibilità adeguate. Periodicamente, il sistema di bilanciamento del carico invia ping, effettua tentativi di connessione o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo con dimensionamento automatico. Se un'istanza non risponde, il traffico viene inviato a una nuova istanza Amazon EC2. | |
| CCCS-fPBMM-SI-2.D | SI-2.D Correzione dei difetti | AWS La reportistica avanzata sullo stato di Elastic Beanstalk consente una risposta più rapida ai cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione. Il reporting avanzato sull'integrità di Elastic Beanstalk fornisce un descrittore dello stato per valutare la gravità dei problemi identificati e per individuare le possibili cause su cui indagare. | |
| CCCS-fPBMM-SI-2.D | SI-2.D Correzione dei difetti | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| CCCS-fPBMM-SI-2.D | SI-2.D Correzione dei difetti | Abilita questa regola per assicurarti che la capacità effettiva di trasmissione assegnata sia verificata nelle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura e scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando la velocità di trasmissione effettiva si avvicina al limite massimo per l'account di un cliente. Questa regola consente di impostare facoltativamente i parametri AccountRCU ThresholdPercentage (Config Default: 80) e AccountWCU ThresholdPercentage (Config Default: 80). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-SI-2.D | SI-2.D Correzione dei difetti | Abilita questa regola per migliorare il monitoraggio delle istanze Amazon Elastic Compute Cloud (Amazon EC2) sulla console Amazon EC2, che visualizza grafici di monitoraggio relativi all'istanza a intervalli di 1 minuto. | |
| CCCS-fPBMM-SI-2.D | SI-2.D Correzione dei difetti | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-SI-2.D | SI-2.D Correzione dei difetti | Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee guida per livelli di patch del sistema operativo, installazioni software, configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-SI-2.D | SI-2.D Correzione dei difetti | L'abilitazione di questa regola facilita l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| CCCS-fPBMM-SI-2.D | SI-2.D Correzione dei difetti | L'abilitazione degli aggiornamenti della piattaforma gestiti per un ambiente Amazon Elastic Beanstalk garantisce l'installazione degli ultimi aggiornamenti, correzioni e funzionalità disponibili per l'ambiente. Rimanere costantemente al passo con l'installazione delle patch è una delle best practice per la sicurezza dei sistemi. | |
| CCCS-fPBMM-SI-2.D | SI-2.D Correzione dei difetti | Abilita questa regola per avvisare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione restituisce un errore. | |
| CCCS-fPBMM-SI-2.D | SI-2.D Correzione dei difetti | Abilita Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità di Amazon RDS. Ciò fornisce una visibilità dettagliata sullo stato delle istanze database Amazon RDS. Quando l'archiviazione di Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ogni dispositivo. Inoltre, quando l'istanza database Amazon RDS è in esecuzione in una implementazione multi-AZ, vengono raccolti i dati per ogni dispositivo sull'host secondario e le metriche dell'host secondario. | |
| CCCS-fPBMM-SI-2.D | SI-2.D Correzione dei difetti | Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno finestre di manutenzione preferite e periodi di conservazione automatica degli snapshot per il database. Questa regola richiede di impostare il allowVersionUpgrade. Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sab: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| CCCS-fPBMM-SI-3(1) | SI-3(1) Protezione da codice dannoso | Gestione centrale | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-SI-3(7) | SI-3(7) Protezione da codice dannoso | Rilevamento non basato sulla firma | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-SI-3.A | SI-3.A Protezione da codice dannoso | Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. | |
| CCCS-fPBMM-SI-3.A | SI-3.A Protezione da codice dannoso | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-SI-3.A | SI-3.A Protezione da codice dannoso | Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee guida per livelli di patch del sistema operativo, installazioni software, configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-SI-3.A | SI-3.A Protezione da codice dannoso | L'abilitazione di questa regola facilita l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| CCCS-fPBMM-SI-3.A | SI-3.A Protezione da codice dannoso | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-SI-3.B | SI-3.B Protezione da codice dannoso | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-SI-3.B | SI-3.B Protezione da codice dannoso | Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee guida per livelli di patch del sistema operativo, installazioni software, configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-SI-3.B | SI-3.B Protezione da codice dannoso | L'abilitazione di questa regola facilita l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| CCCS-fPBMM-SI-3.B | SI-3.B Protezione da codice dannoso | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-SI-3.C | SI-3.C Protezione da codice dannoso | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-SI-3.C | SI-3.C Protezione da codice dannoso | Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee guida per livelli di patch del sistema operativo, installazioni software, configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-SI-3.C | SI-3.C Protezione da codice dannoso | L'abilitazione di questa regola facilita l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| CCCS-fPBMM-SI-3.C | SI-3.C Protezione da codice dannoso | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-SI-3.D | SI-3.D Protezione da codice dannoso | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-SI-3.D | SI-3.D Protezione da codice dannoso | Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee guida per livelli di patch del sistema operativo, installazioni software, configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
| CCCS-fPBMM-SI-3.D | SI-3.D Protezione da codice dannoso | L'abilitazione di questa regola facilita l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| CCCS-fPBMM-SI-3.D | SI-3.D Protezione da codice dannoso | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-SI-4(1) | SI-4(1) Monitoraggio del sistema informativo | Sistema di rilevamento delle intrusioni a livello di sistema | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-SI-4(1) | SI-4(1) Monitoraggio del sistema informativo | Sistema di rilevamento delle intrusioni a livello di sistema | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| CCCS-fPBMM-SI-4(2) | SI-4(2) Monitoraggio del sistema informativo | Strumenti automatizzati per l'analisi in tempo reale | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-SI-4(2) | SI-4(2) Monitoraggio del sistema informativo | Strumenti automatizzati per l'analisi in tempo reale | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| CCCS-fPBMM-SI-4(4) | SI-4(4) Monitoraggio del sistema | Traffico di comunicazioni in entrata e in uscita | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-SI-4(4) | SI-4(4) Monitoraggio del sistema | Traffico di comunicazioni in entrata e in uscita | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| CCCS-fPBMM-SI-4(5) | SI-4(5) Monitoraggio del sistema informativo | Avvisi generati dal sistema | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| CCCS-fPBMM-SI-4(11) | SI-4(11) Monitoraggio del sistema informativo | Analisi delle anomalie del traffico di comunicazione | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-SI-4(11) | SI-4(11) Monitoraggio del sistema informativo | Analisi delle anomalie del traffico di comunicazione | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| CCCS-fPBMM-SI-4(16) | SI-4(16) Monitoraggio del sistema informativo | Correlazione delle informazioni di monitoraggio | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-SI-4(16) | SI-4(16) Monitoraggio del sistema informativo | Correlazione delle informazioni di monitoraggio | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| CCCS-fPBMM-SI-4(20) | SI-4(20) Monitoraggio del sistema informativo | Utente con privilegi | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| CCCS-fPBMM-SI-4(23) | SI-4(23) Monitoraggio del sistema informativo | Dispositivi basati su host | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione e le chiamate API. AWS È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| CCCS-fPBMM-SI-4(23) | SI-4(23) Monitoraggio del sistema informativo | Dispositivi basati su host | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| CCCS-fPBMM-SI-4.A | SI-4.A Monitoraggio del sistema informativo | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| CCCS-fPBMM-SI-4.A | SI-4.A Monitoraggio del sistema informativo | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei log. CloudTrail La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| CCCS-fPBMM-SI-4.A | SI-4.A Monitoraggio del sistema informativo | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-SI-4.A | SI-4.A Monitoraggio del sistema informativo | Abilita questa regola per avvisare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione restituisce un errore. | |
| CCCS-fPBMM-SI-4.A | SI-4.A Monitoraggio del sistema informativo | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| CCCS-fPBMM-SI-4.B | SI-4.B Monitoraggio del sistema informativo | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| CCCS-fPBMM-SI-4.B | SI-4.B Monitoraggio del sistema informativo | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei log. CloudTrail La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| CCCS-fPBMM-SI-4.B | SI-4.B Monitoraggio del sistema informativo | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-SI-4.B | SI-4.B Monitoraggio del sistema informativo | Abilita questa regola per avvisare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione restituisce un errore. | |
| CCCS-fPBMM-SI-4.B | SI-4.B Monitoraggio del sistema informativo | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| CCCS-fPBMM-SI-4.C | SI-4.C Monitoraggio del sistema informativo | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| CCCS-fPBMM-SI-4.C | SI-4.C Monitoraggio del sistema informativo | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei log. CloudTrail La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| CCCS-fPBMM-SI-4.C | SI-4.C Monitoraggio del sistema informativo | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-SI-4.C | SI-4.C Monitoraggio del sistema informativo | Abilita questa regola per avvisare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione restituisce un errore. | |
| CCCS-fPBMM-SI-4.C | SI-4.C Monitoraggio del sistema informativo | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| CCCS-fPBMM-SI-4.D | SI-4.D Monitoraggio del sistema informativo | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| CCCS-fPBMM-SI-4.D | SI-4.D Monitoraggio del sistema informativo | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei log. CloudTrail La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| CCCS-fPBMM-SI-4.D | SI-4.D Monitoraggio del sistema informativo | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-SI-4.D | SI-4.D Monitoraggio del sistema informativo | Abilita questa regola per avvisare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione restituisce un errore. | |
| CCCS-fPBMM-SI-4.D | SI-4.D Monitoraggio del sistema informativo | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| CCCS-fPBMM-SI-4.E | SI-4.E Monitoraggio del sistema informativo | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| CCCS-fPBMM-SI-4.E | SI-4.E Monitoraggio del sistema informativo | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei log. CloudTrail La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| CCCS-fPBMM-SI-4.E | SI-4.E Monitoraggio del sistema informativo | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-SI-4.E | SI-4.E Monitoraggio del sistema informativo | Abilita questa regola per avvisare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione restituisce un errore. | |
| CCCS-fPBMM-SI-4.E | SI-4.E Monitoraggio del sistema informativo | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| CCCS-fPBMM-SI-4.F | SI-4.F Monitoraggio del sistema informativo | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| CCCS-fPBMM-SI-4.F | SI-4.F Monitoraggio del sistema informativo | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei log. CloudTrail La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| CCCS-fPBMM-SI-4.F | SI-4.F Monitoraggio del sistema informativo | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-SI-4.F | SI-4.F Monitoraggio del sistema informativo | Abilita questa regola per avvisare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione restituisce un errore. | |
| CCCS-fPBMM-SI-4.F | SI-4.F Monitoraggio del sistema informativo | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| CCCS-fPBMM-SI-4.G | SI-4.G Monitoraggio del sistema informativo | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| CCCS-fPBMM-SI-4.G | SI-4.G Monitoraggio del sistema informativo | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei log. CloudTrail La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| CCCS-fPBMM-SI-4.G | SI-4.G Monitoraggio del sistema informativo | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-SI-4.G | SI-4.G Monitoraggio del sistema informativo | Abilita questa regola per avvisare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione restituisce un errore. | |
| CCCS-fPBMM-SI-4.G | SI-4.G Monitoraggio del sistema informativo | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| CCCS-fPBMM-SI-5.A | SI-5.A Avvisi, consigli e direttive di sicurezza | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-SI-5.B | SI-5.B Avvisi, consigli e direttive di sicurezza | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-SI-5.C | SI-5.C Avvisi, consigli e direttive di sicurezza | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-SI-5.D | SI-5.D Avvisi, consigli e direttive di sicurezza | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| CCCS-fPBMM-SI-7(1) | SI-7(1) Integrità di software, firmware e informazioni | Controlli di integrità | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei log. CloudTrail La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| CCCS-fPBMM-SI-7(7) | SI-7(7) Integrità di software, firmware e informazioni | Integrazione di rilevamento e risposta | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei log. CloudTrail La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| CCCS-fPBMM-SI-7.A | SI-7.A Integrità di software, firmware e informazioni | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei log. CloudTrail La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| CCCS-fPBMM-SI-12.A | SI-12.A Gestione e conservazione delle informazioni | Assicurati che i dati dei log degli eventi vengano mantenuti per una durata minima per i gruppi di log in modo da agevolare la risoluzione dei problemi e le indagini forensi. La mancata disponibilità dei dati dei log degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. |
Modello
Il modello è disponibile su GitHub: Operational Best Practices for Canadian Centre for Cyber Security (
