Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Best practice operative per IRS 1075
I Conformance Pack forniscono un framework di conformità generico progettato per consentire di creare controlli di governance relativi alla sicurezza, all'operatività o all'ottimizzazione dei costi utilizzando regole gestite o personalizzate e azioni correttive. AWS Config AWS Config I pacchetti di conformità, in quanto modelli di esempio, non sono pensati per garantire la piena conformità a uno specifico standard di governance o conformità. È tua responsabilità valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.
Di seguito viene fornito un esempio di mappatura tra l'IRS 1075 e le regole AWS Config gestite. Ogni regola Config si applica a una AWS risorsa specifica e si riferisce a uno o più controlli IRS 1075. Un controllo IRS 1075 può essere correlato a più regole Config. Consulta la tabella seguente per maggiori dettagli e indicazioni relativi a queste mappature.
| ID controllo | Descrizione del controllo | AWS Regola di Config | Linea guida |
|---|---|---|---|
| 3.3.1 Cloud computing d. Crittografia dei dati in transito | L'FTI deve essere crittografato durante il transito all'interno dell'ambiente cloud. Tutti i meccanismi utilizzati per crittografare l'FTI devono essere certificati FIPS 140 e funzionare utilizzando i più recenti moduli conformi a FIPS 140. Questo requisito deve essere incluso nello SLA. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 3.3.1 Cloud computing d. Crittografia dei dati in transito | L'FTI deve essere crittografato durante il transito all'interno dell'ambiente cloud. Tutti i meccanismi utilizzati per crittografare l'FTI devono essere certificati FIPS 140 e funzionare utilizzando i più recenti moduli conformi a FIPS 140. Questo requisito deve essere incluso nello SLA. | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 3.3.1 Cloud computing d. Crittografia dei dati in transito | L'FTI deve essere crittografato durante il transito all'interno dell'ambiente cloud. Tutti i meccanismi utilizzati per crittografare l'FTI devono essere certificati FIPS 140 e funzionare utilizzando i più recenti moduli conformi a FIPS 140. Questo requisito deve essere incluso nello SLA. | Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 3.3.1 Cloud computing d. Crittografia dei dati in transito | L'FTI deve essere crittografato durante il transito all'interno dell'ambiente cloud. Tutti i meccanismi utilizzati per crittografare l'FTI devono essere certificati FIPS 140 e funzionare utilizzando i più recenti moduli conformi a FIPS 140. Questo requisito deve essere incluso nello SLA. | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon OpenSearch Service. | |
| 3.3.1 Cloud computing d. Crittografia dei dati in transito | L'FTI deve essere crittografato durante il transito all'interno dell'ambiente cloud. Tutti i meccanismi utilizzati per crittografare l'FTI devono essere certificati FIPS 140 e funzionare utilizzando i più recenti moduli conformi a FIPS 140. Questo requisito deve essere incluso nello SLA. | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 3.3.1 Cloud computing d. Crittografia dei dati in transito | L'FTI deve essere crittografato durante il transito all'interno dell'ambiente cloud. Tutti i meccanismi utilizzati per crittografare l'FTI devono essere certificati FIPS 140 e funzionare utilizzando i più recenti moduli conformi a FIPS 140. Questo requisito deve essere incluso nello SLA. | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 3.3.1 Cloud computing d. Crittografia dei dati in transito | L'FTI deve essere crittografato durante il transito all'interno dell'ambiente cloud. Tutti i meccanismi utilizzati per crittografare l'FTI devono essere certificati FIPS 140 e funzionare utilizzando i più recenti moduli conformi a FIPS 140. Questo requisito deve essere incluso nello SLA. | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 3.3.1 Cloud computing e. Crittografia dei dati a riposo | Crittografia dei dati a riposo: l'FTI deve essere crittografato mentre è a riposo nel cloud utilizzando il più recente meccanismo di crittografia certificato FIPS 140. Questo requisito deve essere incluso nello SLA. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per la cache della fase Gateway API. Per proteggere i dati sensibili che possono essere acquisiti per il metodo API, è necessario attivare la crittografia a riposo. | |
| 3.3.1 Cloud computing e. Crittografia dei dati a riposo | Crittografia dei dati a riposo: l'FTI deve essere crittografato mentre è a riposo nel cloud utilizzando il più recente meccanismo di crittografia certificato FIPS 140. Questo requisito deve essere incluso nello SLA. | Assicurati che la crittografia sia abilitata per i punti AWS di ripristino del Backup. Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| 3.3.1 Cloud computing e. Crittografia dei dati a riposo | Crittografia dei dati a riposo: l'FTI deve essere crittografato mentre è a riposo nel cloud utilizzando il più recente meccanismo di crittografia certificato FIPS 140. Questo requisito deve essere incluso nello SLA. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CloudTrail percorsi. | |
| 3.3.1 Cloud computing e. Crittografia dei dati a riposo | Crittografia dei dati a riposo: l'FTI deve essere crittografato mentre è a riposo nel cloud utilizzando il più recente meccanismo di crittografia certificato FIPS 140. Questo requisito deve essere incluso nello SLA. | Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Data la possibile presenza di dati sensibili a riposo in queste tabelle, abilita la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con AWS una chiave master del cliente (CMK) di proprietà. | |
| 3.3.1 Cloud computing e. Crittografia dei dati a riposo | Crittografia dei dati a riposo: l'FTI deve essere crittografato mentre è a riposo nel cloud utilizzando il più recente meccanismo di crittografia certificato FIPS 140. Questo requisito deve essere incluso nello SLA. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| 3.3.1 Cloud computing e. Crittografia dei dati a riposo | Crittografia dei dati a riposo: l'FTI deve essere crittografato mentre è a riposo nel cloud utilizzando il più recente meccanismo di crittografia certificato FIPS 140. Questo requisito deve essere incluso nello SLA. | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| 3.3.1 Cloud computing e. Crittografia dei dati a riposo | Crittografia dei dati a riposo: l'FTI deve essere crittografato mentre è a riposo nel cloud utilizzando il più recente meccanismo di crittografia certificato FIPS 140. Questo requisito deve essere incluso nello SLA. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch OpenSearch Service (Service). | |
| 3.3.1 Cloud computing e. Crittografia dei dati a riposo | Crittografia dei dati a riposo: l'FTI deve essere crittografato mentre è a riposo nel cloud utilizzando il più recente meccanismo di crittografia certificato FIPS 140. Questo requisito deve essere incluso nello SLA. | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). | |
| 3.3.1 Cloud computing e. Crittografia dei dati a riposo | Crittografia dei dati a riposo: l'FTI deve essere crittografato mentre è a riposo nel cloud utilizzando il più recente meccanismo di crittografia certificato FIPS 140. Questo requisito deve essere incluso nello SLA. | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i flussi di Amazon Kinesis. | |
| 3.3.1 Cloud computing e. Crittografia dei dati a riposo | Crittografia dei dati a riposo: l'FTI deve essere crittografato mentre è a riposo nel cloud utilizzando il più recente meccanismo di crittografia certificato FIPS 140. Questo requisito deve essere incluso nello SLA. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service. | |
| 3.3.1 Cloud computing e. Crittografia dei dati a riposo | Crittografia dei dati a riposo: l'FTI deve essere crittografato mentre è a riposo nel cloud utilizzando il più recente meccanismo di crittografia certificato FIPS 140. Questo requisito deve essere incluso nello SLA. | Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| 3.3.1 Cloud computing e. Crittografia dei dati a riposo | Crittografia dei dati a riposo: l'FTI deve essere crittografato mentre è a riposo nel cloud utilizzando il più recente meccanismo di crittografia certificato FIPS 140. Questo requisito deve essere incluso nello SLA. | Per aiutare a proteggere i dati a riposo, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo nelle istanze Amazon RDS, abilita la crittografia a riposo per proteggere tali dati. | |
| 3.3.1 Cloud computing e. Crittografia dei dati a riposo | Crittografia dei dati a riposo: l'FTI deve essere crittografato mentre è a riposo nel cloud utilizzando il più recente meccanismo di crittografia certificato FIPS 140. Questo requisito deve essere incluso nello SLA. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 3.3.1 Cloud computing e. Crittografia dei dati a riposo | Crittografia dei dati a riposo: l'FTI deve essere crittografato mentre è a riposo nel cloud utilizzando il più recente meccanismo di crittografia certificato FIPS 140. Questo requisito deve essere incluso nello SLA. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo cluster Amazon Redshift. Data la possibile presenza di dati sensibili a riposo nei cluster Redshift, abilita la crittografia a riposo per proteggere tali dati. | |
| 3.3.1 Cloud computing e. Crittografia dei dati a riposo | Crittografia dei dati a riposo: l'FTI deve essere crittografato mentre è a riposo nel cloud utilizzando il più recente meccanismo di crittografia certificato FIPS 140. Questo requisito deve essere incluso nello SLA. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| 3.3.1 Cloud computing e. Crittografia dei dati a riposo | Crittografia dei dati a riposo: l'FTI deve essere crittografato mentre è a riposo nel cloud utilizzando il più recente meccanismo di crittografia certificato FIPS 140. Questo requisito deve essere incluso nello SLA. | Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati. | |
| 3.3.1 Cloud computing e. Crittografia dei dati a riposo | Crittografia dei dati a riposo: l'FTI deve essere crittografato mentre è a riposo nel cloud utilizzando il più recente meccanismo di crittografia certificato FIPS 140. Questo requisito deve essere incluso nello SLA. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia a memoria inattiva per proteggere tali dati. | |
| 3.3.1 Cloud computing e. Crittografia dei dati a riposo | Crittografia dei dati a riposo: l'FTI deve essere crittografato mentre è a riposo nel cloud utilizzando il più recente meccanismo di crittografia certificato FIPS 140. Questo requisito deve essere incluso nello SLA. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo notebook. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| 3.3.1 Cloud computing e. Crittografia dei dati a riposo | Crittografia dei dati a riposo: l'FTI deve essere crittografato mentre è a riposo nel cloud utilizzando il più recente meccanismo di crittografia certificato FIPS 140. Questo requisito deve essere incluso nello SLA. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per AWS i segreti di Secrets Manager. Data la possibile presenza di dati sensibili a riposo nei segreti di Secrets Manager, abilita la crittografia a riposo per proteggere tali dati. | |
| 3.3.1 Cloud computing k. Autenticazione a più fattori | Le agenzie devono implementare un'autenticazione a più fattori sufficiente quando le loro soluzioni cloud sono disponibili da Internet, ossia quando è possibile accedere alla soluzione cloud dall'esterno della rete affidabile dell'agenzia. | Abilita questa regola per limitare l'accesso alle risorse nel AWS cloud. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Riduci gli incidenti dovuti alla compromissione degli account richiedendo l'autenticazione a più fattori per gli utenti. | |
| 3.3.1 Cloud computing k. Autenticazione a più fattori | Le agenzie devono implementare un'autenticazione a più fattori sufficiente quando le loro soluzioni cloud sono disponibili da Internet, ossia quando è possibile accedere alla soluzione cloud dall'esterno della rete affidabile dell'agenzia. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| 3.3.1 Cloud computing k. Autenticazione a più fattori | Le agenzie devono implementare un'autenticazione a più fattori sufficiente quando le loro soluzioni cloud sono disponibili da Internet, ossia quando è possibile accedere alla soluzione cloud dall'esterno della rete affidabile dell'agenzia. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che la MFA hardware sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| 3.3.1 Cloud computing k. Autenticazione a più fattori | Le agenzie devono implementare un'autenticazione a più fattori sufficiente quando le loro soluzioni cloud sono disponibili da Internet, ossia quando è possibile accedere alla soluzione cloud dall'esterno della rete affidabile dell'agenzia. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| 3.3.1 Cloud computing i. Valutazione del rischio: | l'agenzia deve effettuare una valutazione annuale dei controlli di sicurezza e privacy in atto su tutti i sistemi informativi utilizzati per ricevere, elaborare, archiviare, accedere, proteggere e/o trasmettere gli FTI. | annual-risk-assessment-performed(Controllo del processo) | Esegui una valutazione annuale del rischio sulla tua organizzazione. Le valutazioni del rischio possono aiutare a determinare la probabilità e l'impatto dei rischi e/o delle vulnerabilità identificati che interessano un'organizzazione. |
| 3.3.6 Confine e infrastruttura di rete | Le agenzie devono implementare i dispositivi di protezione dei confini in tutta la loro architettura di sistema, compresi router, firewall, switch e sistemi di rilevamento delle intrusioni per proteggere l'FTI e i sistemi FTI. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| 3.3.6 Confine e infrastruttura di rete | Le agenzie devono implementare i dispositivi di protezione dei confini in tutta la loro architettura di sistema, compresi router, firewall, switch e sistemi di rilevamento delle intrusioni per proteggere l'FTI e i sistemi FTI. | Amazon ti GuardDuty aiuta a comprendere l'impatto di un incidente classificando i risultati in base alla gravità: bassa, media e alta. Puoi utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola consente di impostare facoltativamente daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) e daysHighSev (Config Default: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione. | |
| 3.3.6 Confine e infrastruttura di rete | Le agenzie devono implementare i dispositivi di protezione dei confini in tutta la loro architettura di sistema, compresi router, firewall, switch e sistemi di rilevamento delle intrusioni per proteggere l'FTI e i sistemi FTI. | Una policy AWS Network Firewall definisce il modo in cui il firewall monitora e gestisce il traffico in un Amazon VPC. Puoi configurare gruppi di regole stateless e stateful per filtrare pacchetti e flussi di traffico, nonché definire la gestione del traffico predefinita. | |
| 3.3.6 Confine e infrastruttura di rete | Le agenzie devono implementare i dispositivi di protezione dei confini in tutta la loro architettura di sistema, compresi router, firewall, switch e sistemi di rilevamento delle intrusioni per proteggere l'FTI e i sistemi FTI. | Un gruppo di regole AWS Network Firewall contiene regole che definiscono il modo in cui il firewall elabora il traffico nel tuo VPC. Un gruppo di regole stateless vuoto, se presente in una policy firewall, non elabora il traffico. | |
| 3.3.6 Confine e infrastruttura di rete | Le agenzie devono implementare i dispositivi di protezione dei confini in tutta la loro architettura di sistema, compresi router, firewall, switch e sistemi di rilevamento delle intrusioni per proteggere l'FTI e i sistemi FTI. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| 3.3.6 Confine e infrastruttura di rete | Le agenzie devono implementare i dispositivi di protezione dei confini in tutta la loro architettura di sistema, compresi router, firewall, switch e sistemi di rilevamento delle intrusioni per proteggere l'FTI e i sistemi FTI. | Assicurati che il tuo AWS WAF abbia una regola che non sia vuota. Una regola senza condizioni può comportare un comportamento non intenzionale. | |
| 3.3.6 Confine e infrastruttura di rete | Le agenzie devono implementare i dispositivi di protezione dei confini in tutta la loro architettura di sistema, compresi router, firewall, switch e sistemi di rilevamento delle intrusioni per proteggere l'FTI e i sistemi FTI. | Assicurati che il tuo AWS WAF abbia un gruppo di regole che non sia vuoto. Un gruppo di regole vuoto potrebbe causare un comportamento indesiderato. | |
| 3.3.6 Confine e infrastruttura di rete | Le agenzie devono implementare i dispositivi di protezione dei confini in tutta la loro architettura di sistema, compresi router, firewall, switch e sistemi di rilevamento delle intrusioni per proteggere l'FTI e i sistemi FTI. | Un ACL Web collegato a un AWS WAF può contenere una raccolta di regole e gruppi di regole per ispezionare e controllare le richieste Web. Se una ACL web è vuota, il traffico web passa senza essere rilevato o modificato dal WAF. | |
| 3.3.6 Confine e infrastruttura di rete | Le agenzie devono implementare i dispositivi di protezione dei confini in tutta la loro architettura di sistema, compresi router, firewall, switch e sistemi di rilevamento delle intrusioni per proteggere l'FTI e i sistemi FTI. | Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. | |
| 3.3.6 Confine e infrastruttura di rete | Le agenzie devono implementare i dispositivi di protezione dei confini in tutta la loro architettura di sistema, compresi router, firewall, switch e sistemi di rilevamento delle intrusioni per proteggere l'FTI e i sistemi FTI. | AWS WAF consente di configurare un insieme di regole (chiamate elenco di controllo degli accessi Web (Web ACL)) che consentono, bloccano o contano le richieste Web in base a regole e condizioni di sicurezza Web personalizzabili definite dall'utente. La fase Gateway Amazon API deve essere associata a un ACL web WAF per garantire la protezione da attacchi dannosi. | |
| Gestione account AC-2 (f) | Creare, abilitare, modificare, disabilitare e rimuovere gli account in conformità ai prerequisiti delle procedure di gestione degli account delle agenzie; | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| Gestione account AC-2 (f) | Creare, abilitare, modificare, disabilitare e rimuovere gli account in conformità ai prerequisiti delle procedure di gestione degli account delle agenzie; | La gestione centralizzata Account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. L'assenza di una governance centralizzata degli account può comportare configurazioni incoerenti di account, il che può mettere a rischio risorse e dati sensibili. | |
| Gestione account AC-2 (f) | Creare, abilitare, modificare, disabilitare e rimuovere gli account in conformità ai prerequisiti delle procedure di gestione degli account delle agenzie; | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| Gestione account AC-2 (f) | Creare, abilitare, modificare, disabilitare e rimuovere gli account in conformità ai prerequisiti delle procedure di gestione degli account delle agenzie; | Abilita questa regola per limitare l'accesso alle risorse nel AWS cloud. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Riduci gli incidenti dovuti alla compromissione degli account richiedendo l'autenticazione a più fattori per gli utenti. | |
| Gestione account AC-2 (f) | Creare, abilitare, modificare, disabilitare e rimuovere gli account in conformità ai prerequisiti delle procedure di gestione degli account delle agenzie; | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| Gestione account AC-2 (g) | Monitora l'uso degli account | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| Gestione account AC-2 (g) | Monitora l'uso degli account | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| Gestione account AC-2 (g) | Monitora l'uso degli account | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei log. CloudTrail La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| Gestione account AC-2 (g) | Monitora l'uso degli account | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| Gestione account AC-2 (g) | Monitora l'uso degli account | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| Gestione account AC-2 (g) | Monitora l'uso degli account | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| Gestione account AC-2 (g) | Monitora l'uso degli account | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| Gestione account AC-2 (g) | Monitora l'uso degli account | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| Gestione account AC-2 (j) | Verifica la conformità degli account ai requisiti di gestione degli account | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| Gestione account AC-2 (j) | Verifica la conformità degli account ai requisiti di gestione degli account | Questa regola garantisce che AWS i segreti di Secrets Manager siano ruotati correttamente in base alla pianificazione di rotazione. La rotazione dei segreti secondo una pianificazione regolare può abbreviare il periodo di attività di un segreto e ridurre potenzialmente l'impatto aziendale in caso di compromissione. | |
| Gestione account AC-2 (j) | Verifica la conformità degli account ai requisiti di gestione degli account | Questa regola garantisce che AWS i segreti di Secrets Manager abbiano la rotazione periodica abilitata. La rotazione dei segreti secondo una pianificazione regolare può abbreviare il periodo di attività di un segreto e ridurre potenzialmente l'impatto aziendale in caso di compromissione del segreto. Il valore predefinito è 90 giorni. | |
| Gestione account AC-2 (j) | Verifica la conformità degli account ai requisiti di gestione degli account | Se in AWS Secrets Manager sono presenti credenziali inutilizzate, è necessario disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola consente di impostare un valore su unusedForDays (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| Gestione account AC-2 (j) | Verifica la conformità degli account ai requisiti di gestione degli account | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti indicati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| Gestione account AC-2 (j) | Verifica la conformità degli account ai requisiti di gestione degli account | Le credenziali vengono verificate per i dispositivi, gli utenti e i processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate come specificato dalla politica organizzativa. La modifica delle chiavi di accesso a intervalli regolari è una best practice di sicurezza. Riduce il periodo di attività di una chiave di accesso e l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione delle chiavi di accesso (valore di configurazione predefinito: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| Gestione account AC-2 (j) | Verifica la conformità degli account ai requisiti di gestione degli account | Assicurati che le azioni IAM siano limitate alle sole azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| Gestione account AC-2 (j) | Verifica la conformità degli account ai requisiti di gestione degli account | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo che le policy contengano «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| Gestione account AC-2 (j) | Verifica la conformità degli account ai requisiti di gestione degli account | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| Gestione account AC-2 (j) | Verifica la conformità degli account ai requisiti di gestione degli account | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| Gestione account AC-2 (j) | Verifica la conformità degli account ai requisiti di gestione degli account | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| (CE-1) Gestione automatizzata degli account di sistema | Supporta la gestione degli account di sistema utilizzando meccanismi automatizzati. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti indicati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| (CE-1) Gestione automatizzata degli account di sistema | Supporta la gestione degli account di sistema utilizzando meccanismi automatizzati. | Le credenziali vengono verificate per i dispositivi, gli utenti e i processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate come specificato dalla politica organizzativa. La modifica delle chiavi di accesso a intervalli regolari è una best practice di sicurezza. Riduce il periodo di attività di una chiave di accesso e l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione delle chiavi di accesso (valore di configurazione predefinito: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| (CE-1) Gestione automatizzata degli account di sistema | Supporta la gestione degli account di sistema utilizzando meccanismi automatizzati. | Questa regola garantisce che AWS i segreti di Secrets Manager siano ruotati correttamente in base alla pianificazione di rotazione. La rotazione dei segreti secondo una pianificazione regolare può abbreviare il periodo di attività di un segreto e ridurre potenzialmente l'impatto aziendale in caso di compromissione. | |
| (CE-3): disabilita account | Disabilita gli account entro 120 giorni se: a. Sono scaduti; b. Non sono più associati a un utente o a un individuo; c. Violano la policy dell'organizzazione; oppure d. Sono inattivi da 120 giorni per gli account privi di privilegi e da 60 giorni per gli account con privilegi | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| (CE-12) Monitoraggio degli account per usi atipici | Monitora gli account di sistema per verificare l'utilizzo atipico definito dall'agenzia e segnala l'utilizzo atipico degli account di sistema al personale o ai ruoli definiti dall'agenzia. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| AC-6 Privilegio minimo | Utilizza il principio del minimo privilegio, consentendo agli utenti (o ai processi che agiscono per conto degli utenti) solo gli accessi autorizzati necessari per svolgere le attività assegnate dall'organizzazione. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms:). ReEncryptFrom I valori effettivi devono riflettere le policy dell'organizzazione. | |
| AC-6 Privilegio minimo | Utilizza il principio del minimo privilegio, consentendo agli utenti (o ai processi che agiscono per conto degli utenti) solo gli accessi autorizzati necessari per svolgere le attività assegnate dall'organizzazione. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo che le policy contengano «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| AC-6 Privilegio minimo | Utilizza il principio del minimo privilegio, consentendo agli utenti (o ai processi che agiscono per conto degli utenti) solo gli accessi autorizzati necessari per svolgere le attività assegnate dall'organizzazione. | Assicurati che le azioni IAM siano limitate alle sole azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| AC-6 Privilegio minimo | Utilizza il principio del minimo privilegio, consentendo agli utenti (o ai processi che agiscono per conto degli utenti) solo gli accessi autorizzati necessari per svolgere le attività assegnate dall'organizzazione. | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| AC-6 Privilegio minimo | Utilizza il principio del minimo privilegio, consentendo agli utenti (o ai processi che agiscono per conto degli utenti) solo gli accessi autorizzati necessari per svolgere le attività assegnate dall'organizzazione. | Assicurati che il controllo granulare degli accessi sia abilitato sui tuoi domini Amazon OpenSearch Service. Il controllo granulare degli accessi fornisce meccanismi di autorizzazione avanzati per ottenere l'accesso con i privilegi minimi ai domini di Amazon Service. OpenSearch Consente il controllo degli accessi al dominio in base ai ruoli, nonché la sicurezza a livello di indice, documento e campo, il supporto per dashboard di servizio multi-tenancy e l'autenticazione di base HTTP per OpenSearch Service e Kibana. OpenSearch | |
| AC-6 Privilegio minimo | Utilizza il principio del minimo privilegio, consentendo agli utenti (o ai processi che agiscono per conto degli utenti) solo gli accessi autorizzati necessari per svolgere le attività assegnate dall'organizzazione. | Se in AWS Secrets Manager sono presenti credenziali inutilizzate, è necessario disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola consente di impostare un valore su unusedForDays (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| AC-6 Privilegio minimo | Utilizza il principio del minimo privilegio, consentendo agli utenti (o ai processi che agiscono per conto degli utenti) solo gli accessi autorizzati necessari per svolgere le attività assegnate dall'organizzazione. | Per facilitare l'implementazione del principio del privilegio minimo, assicurati che il tuo ambiente di CodeBuild progetto Amazon non abbia la modalità privilegiata abilitata. Questa impostazione deve essere disabilitata per impedire l'accesso involontario alle API Docker e all'hardware sottostante del container. | |
| AC-6 Privilegio minimo | Utilizza il principio del minimo privilegio, consentendo agli utenti (o ai processi che agiscono per conto degli utenti) solo gli accessi autorizzati necessari per svolgere le attività assegnate dall'organizzazione. | I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'associazione di un profilo dell'istanza alle istanze può facilitare la gestione delle autorizzazioni e del privilegio minimo. | |
| AC-6 Privilegio minimo | Utilizza il principio del minimo privilegio, consentendo agli utenti (o ai processi che agiscono per conto degli utenti) solo gli accessi autorizzati necessari per svolgere le attività assegnate dall'organizzazione. | Per facilitare l'implementazione del principio del privilegio minimo, non devono essere abilitati privilegi elevati per le definizioni delle attività Amazon Elastic Container Service (Amazon ECS). Se il parametro è true, al container vengono assegnati privilegi elevati nell'istanza di container host (simile all'utente root). | |
| AC-6 Privilegio minimo | Utilizza il principio del minimo privilegio, consentendo agli utenti (o ai processi che agiscono per conto degli utenti) solo gli accessi autorizzati necessari per svolgere le attività assegnate dall'organizzazione. | L'abilitazione dell'accesso in sola lettura ai container Amazon Elastic Container Service (ECS) può aiutare a rispettare il principio del privilegio minimo. Questa opzione può ridurre i vettori di attacco poiché il file system dell'istanza di container non può essere modificato a meno che non disponga di autorizzazioni esplicite di lettura/scrittura. | |
| AC-6 Privilegio minimo | Utilizza il principio del minimo privilegio, consentendo agli utenti (o ai processi che agiscono per conto degli utenti) solo gli accessi autorizzati necessari per svolgere le attività assegnate dall'organizzazione. | Per facilitare l'implementazione del principio del privilegio minimo, assicurati che un utente non root sia designato per l'accesso alle definizioni delle attività Amazon Elastic Container Service (Amazon ECS). | |
| AC-6 Privilegio minimo | Utilizza il principio del minimo privilegio, consentendo agli utenti (o ai processi che agiscono per conto degli utenti) solo gli accessi autorizzati necessari per svolgere le attività assegnate dall'organizzazione. | Per facilitare l'implementazione del principio del privilegio minimo, assicurati che l'applicazione dell'utente sia abilitata per il tuo Amazon Elastic File System (Amazon EFS). Quando è abilitato, Amazon EFS sostituisce gli ID utente e gruppo del client NFS con l'identità configurata sul punto di accesso per tutte le operazioni sul file system e concede l'accesso solo a questa identità utente applicata. | |
| AC-6 Privilegio minimo | Utilizza il principio del minimo privilegio, consentendo agli utenti (o ai processi che agiscono per conto degli utenti) solo gli accessi autorizzati necessari per svolgere le attività assegnate dall'organizzazione. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| AC-6 Privilegio minimo | Utilizza il principio del minimo privilegio, consentendo agli utenti (o ai processi che agiscono per conto degli utenti) solo gli accessi autorizzati necessari per svolgere le attività assegnate dall'organizzazione. | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| AC-17: accesso remoto | Stabilisci e documenta le limitazioni d'uso, i requisiti di configurazione/connessione e le linee guida per l'implementazione di ogni tipo di accesso remoto consentito; inoltre, autorizza ogni tipo di accesso remoto al sistema prima di consentire tali connessioni. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti indicati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| AC-17: accesso remoto | Stabilisci e documenta le limitazioni d'uso, i requisiti di configurazione/connessione e le linee guida per l'implementazione di ogni tipo di accesso remoto consentito; inoltre, autorizza ogni tipo di accesso remoto al sistema prima di consentire tali connessioni. | Abilita questa regola per limitare l'accesso alle risorse nel AWS cloud. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Riduci gli incidenti dovuti alla compromissione degli account richiedendo l'autenticazione a più fattori per gli utenti. | |
| AC-17: accesso remoto | Stabilisci e documenta le limitazioni d'uso, i requisiti di configurazione/connessione e le linee guida per l'implementazione di ogni tipo di accesso remoto consentito; inoltre, autorizza ogni tipo di accesso remoto al sistema prima di consentire tali connessioni. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| AC-17: accesso remoto | Stabilisci e documenta le limitazioni d'uso, i requisiti di configurazione/connessione e le linee guida per l'implementazione di ogni tipo di accesso remoto consentito; inoltre, autorizza ogni tipo di accesso remoto al sistema prima di consentire tali connessioni. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che la MFA hardware sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| AC-17: accesso remoto | Stabilisci e documenta le limitazioni d'uso, i requisiti di configurazione/connessione e le linee guida per l'implementazione di ogni tipo di accesso remoto consentito; inoltre, autorizza ogni tipo di accesso remoto al sistema prima di consentire tali connessioni. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| AC-17: accesso remoto | Stabilisci e documenta le limitazioni d'uso, i requisiti di configurazione/connessione e le linee guida per l'implementazione di ogni tipo di accesso remoto consentito; inoltre, autorizza ogni tipo di accesso remoto al sistema prima di consentire tali connessioni. | La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti. | |
| AC-17: accesso remoto | Stabilisci e documenta le limitazioni d'uso, i requisiti di configurazione/connessione e le linee guida per l'implementazione di ogni tipo di accesso remoto consentito; inoltre, autorizza ogni tipo di accesso remoto al sistema prima di consentire tali connessioni. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| AC-17: accesso remoto | Stabilisci e documenta le limitazioni d'uso, i requisiti di configurazione/connessione e le linee guida per l'implementazione di ogni tipo di accesso remoto consentito; inoltre, autorizza ogni tipo di accesso remoto al sistema prima di consentire tali connessioni. | Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e per diagnosticare i problemi di disponibilità. | |
| AC-17: accesso remoto | Stabilisci e documenta le limitazioni d'uso, i requisiti di configurazione/connessione e le linee guida per l'implementazione di ogni tipo di accesso remoto consentito; inoltre, autorizza ogni tipo di accesso remoto al sistema prima di consentire tali connessioni. | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione e le chiamate API. AWS È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| AC-17: accesso remoto | Stabilisci e documenta le limitazioni d'uso, i requisiti di configurazione/connessione e le linee guida per l'implementazione di ogni tipo di accesso remoto consentito; inoltre, autorizza ogni tipo di accesso remoto al sistema prima di consentire tali connessioni. | Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| AC-17: accesso remoto | Stabilisci e documenta le limitazioni d'uso, i requisiti di configurazione/connessione e le linee guida per l'implementazione di ogni tipo di accesso remoto consentito; inoltre, autorizza ogni tipo di accesso remoto al sistema prima di consentire tali connessioni. | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| AC-17: accesso remoto | Stabilisci e documenta le limitazioni d'uso, i requisiti di configurazione/connessione e le linee guida per l'implementazione di ogni tipo di accesso remoto consentito; inoltre, autorizza ogni tipo di accesso remoto al sistema prima di consentire tali connessioni. | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| AC-17: accesso remoto | Stabilisci e documenta le limitazioni d'uso, i requisiti di configurazione/connessione e le linee guida per l'implementazione di ogni tipo di accesso remoto consentito; inoltre, autorizza ogni tipo di accesso remoto al sistema prima di consentire tali connessioni. | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| AC-17: accesso remoto | Stabilisci e documenta le limitazioni d'uso, i requisiti di configurazione/connessione e le linee guida per l'implementazione di ogni tipo di accesso remoto consentito; inoltre, autorizza ogni tipo di accesso remoto al sistema prima di consentire tali connessioni. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| AC-17: accesso remoto | Stabilisci e documenta le limitazioni d'uso, i requisiti di configurazione/connessione e le linee guida per l'implementazione di ogni tipo di accesso remoto consentito; inoltre, autorizza ogni tipo di accesso remoto al sistema prima di consentire tali connessioni. | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| AC-17: accesso remoto | Stabilisci e documenta le limitazioni d'uso, i requisiti di configurazione/connessione e le linee guida per l'implementazione di ogni tipo di accesso remoto consentito; inoltre, autorizza ogni tipo di accesso remoto al sistema prima di consentire tali connessioni. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) su ACL Web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| AC-17: accesso remoto | Stabilisci e documenta le limitazioni d'uso, i requisiti di configurazione/connessione e le linee guida per l'implementazione di ogni tipo di accesso remoto consentito; inoltre, autorizza ogni tipo di accesso remoto al sistema prima di consentire tali connessioni. | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| AC-17: accesso remoto | Stabilisci e documenta le limitazioni d'uso, i requisiti di configurazione/connessione e le linee guida per l'implementazione di ogni tipo di accesso remoto consentito; inoltre, autorizza ogni tipo di accesso remoto al sistema prima di consentire tali connessioni. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| AC-17: accesso remoto | Stabilisci e documenta le limitazioni d'uso, i requisiti di configurazione/connessione e le linee guida per l'implementazione di ogni tipo di accesso remoto consentito; inoltre, autorizza ogni tipo di accesso remoto al sistema prima di consentire tali connessioni. | Il routing VPC avanzato forza tutto il traffico COPY e UNLOAD tra il cluster e i repository di dati a passare attraverso Amazon VPC. Puoi quindi utilizzare funzionalità VPC come gruppi di sicurezza e liste di controllo degli accessi alla rete per proteggere il traffico di rete. Puoi anche utilizzare i log di flusso VPC per monitorare il traffico di rete. | |
| AT-1: sensibilizzazione e formazione | Offri una formazione sulla sicurezza e sulla privacy agli utenti del sistema (compresi i manager, i dirigenti e gli appaltatori). | security-awareness-program-exists(Controllo del processo) | Definizione e mantenimento di un programma di sensibilizzazione alla sicurezza per l'organizzazione. I programmi di sensibilizzazione alla sicurezza insegnano ai dipendenti come proteggere l'organizzazione da eventuali violazioni della sicurezza o incidenti. |
| AU-2: eventi di controllo | Identifica i tipi di eventi per cui il sistema è in grado di effettuare la registrazione di log a supporto della funzione di audit. | audit-log-policy-exists(Controllo del processo) | Definizione e mantenimento di una policy di gestione dei log di audit che definisca i requisiti di gestione dei log dell'organizzazione. Ciò include, a titolo esemplificativo, la revisione e la conservazione dei log di audit. |
| AU-16: registrazione di log di audit inter-organizzativa | Utilizza metodi definiti dall'agenzia per coordinare le informazioni di audit definite dall'agenzia tra le organizzazioni esterne quando le informazioni di audit vengono trasmesse oltre i confini dell'organizzazione. | audit-log-policy-exists(Controllo del processo) | Definizione e mantenimento di una policy di gestione dei log di audit che definisca i requisiti di gestione dei log dell'organizzazione. Ciò include, a titolo esemplificativo, la revisione e la conservazione dei log di audit. |
| CA-7: monitoraggio continuo | Sviluppa una strategia di monitoraggio continuo a livello di sistema e implementa il monitoraggio continuo conformemente a tale strategia a livello di organizzazione: definisci metriche da monitorare stabilite dall'agenzia; valutazioni continue dei controlli conformi alla strategia di monitoraggio continuo; monitoraggio continuo delle metriche definite dal sistema e dall'organizzazione in conformità alla strategia di monitoraggio continuo; correlazione e analisi delle informazioni generate dalle valutazioni dei controlli e dal monitoraggio; azioni di risposta per affrontare i risultati dell'analisi delle informazioni di valutazione e monitoraggio dei controlli; comunicazione dello stato di sicurezza e privacy del sistema al personale definito dall'agenzia, almeno una volta all'anno. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| CP-9: backup del sistema | a. Esegui il backup delle informazioni a livello di utente contenute nella documentazione del sistema, compresa quella relativa alla sicurezza, con cadenza settimanale; b. eseguire il backup delle informazioni a livello di sistema contenute nel sistema, con cadenza settimanale; c. eseguire backup della documentazione del sistema, compresa la documentazione relativa alla sicurezza e alla privacy, con cadenza settimanale; e d. proteggere la riservatezza, l'integrità e la disponibilità delle informazioni di backup. | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon Aurora facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CP-9: backup del sistema | a. Esegui il backup delle informazioni a livello di utente contenute nella documentazione del sistema, compresa quella relativa alla sicurezza, con cadenza settimanale; b. eseguire il backup delle informazioni a livello di sistema contenute nel sistema, con cadenza settimanale; c. eseguire backup della documentazione del sistema, compresa la documentazione relativa alla sicurezza e alla privacy, con cadenza settimanale; e d. proteggere la riservatezza, l'integrità e la disponibilità delle informazioni di backup. | Per facilitare i processi di backup dei dati, assicurati che il piano di AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Questa regola consente di impostare i parametri requiredFrequencyValue (Config default: 1), ( requiredRetentionDays Config default: 35) e ( requiredFrequencyUnit Config default: days). Il valore effettivo deve essere conforme ai requisiti dell'organizzazione. | |
| CP-9: backup del sistema | a. Esegui il backup delle informazioni a livello di utente contenute nella documentazione del sistema, compresa quella relativa alla sicurezza, con cadenza settimanale; b. eseguire il backup delle informazioni a livello di sistema contenute nel sistema, con cadenza settimanale; c. eseguire backup della documentazione del sistema, compresa la documentazione relativa alla sicurezza e alla privacy, con cadenza settimanale; e d. proteggere la riservatezza, l'integrità e la disponibilità delle informazioni di backup. | Assicurati che la crittografia sia abilitata per i punti AWS di ripristino del Backup. Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| CP-9: backup del sistema | a. Esegui il backup delle informazioni a livello di utente contenute nella documentazione del sistema, compresa quella relativa alla sicurezza, con cadenza settimanale; b. eseguire il backup delle informazioni a livello di sistema contenute nel sistema, con cadenza settimanale; c. eseguire backup della documentazione del sistema, compresa la documentazione relativa alla sicurezza e alla privacy, con cadenza settimanale; e d. proteggere la riservatezza, l'integrità e la disponibilità delle informazioni di backup. | Assicurati che ai punti AWS di ripristino di Backup sia associata una policy basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. L'utilizzo di una policy basata sulle risorse che impedisca l'eliminazione dei punti di ripristino può aiutare a prevenire l'eliminazione accidentale o intenzionale. | |
| CP-9: backup del sistema | a. Esegui il backup delle informazioni a livello di utente contenute nella documentazione del sistema, compresa quella relativa alla sicurezza, con cadenza settimanale; b. eseguire il backup delle informazioni a livello di sistema contenute nel sistema, con cadenza settimanale; c. eseguire backup della documentazione del sistema, compresa la documentazione relativa alla sicurezza e alla privacy, con cadenza settimanale; e d. proteggere la riservatezza, l'integrità e la disponibilità delle informazioni di backup. | Per facilitare i processi di backup dei dati, assicurati che per i punti di ripristino di AWS Backup sia impostato un periodo minimo di conservazione. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Questa regola consente di impostare il parametro requiredRetentionDays (configurazione predefinita: 35). Il valore effettivo deve essere conforme ai requisiti dell'organizzazione. | |
| CP-9: backup del sistema | a. Esegui il backup delle informazioni a livello di utente contenute nella documentazione del sistema, compresa quella relativa alla sicurezza, con cadenza settimanale; b. eseguire il backup delle informazioni a livello di sistema contenute nel sistema, con cadenza settimanale; c. eseguire backup della documentazione del sistema, compresa la documentazione relativa alla sicurezza e alla privacy, con cadenza settimanale; e d. proteggere la riservatezza, l'integrità e la disponibilità delle informazioni di backup. | La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot di archiviazione del volume dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| CP-9: backup del sistema | a. Esegui il backup delle informazioni a livello di utente contenute nella documentazione del sistema, compresa quella relativa alla sicurezza, con cadenza settimanale; b. eseguire il backup delle informazioni a livello di sistema contenute nel sistema, con cadenza settimanale; c. eseguire backup della documentazione del sistema, compresa la documentazione relativa alla sicurezza e alla privacy, con cadenza settimanale; e d. proteggere la riservatezza, l'integrità e la disponibilità delle informazioni di backup. | Per facilitare i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CP-9: backup del sistema | a. Esegui il backup delle informazioni a livello di utente contenute nella documentazione del sistema, compresa quella relativa alla sicurezza, con cadenza settimanale; b. eseguire il backup delle informazioni a livello di sistema contenute nel sistema, con cadenza settimanale; c. eseguire backup della documentazione del sistema, compresa la documentazione relativa alla sicurezza e alla privacy, con cadenza settimanale; e d. proteggere la riservatezza, l'integrità e la disponibilità delle informazioni di backup. | Abilita questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella degli ultimi 35 giorni. | |
| CP-9: backup del sistema | a. Esegui il backup delle informazioni a livello di utente contenute nella documentazione del sistema, compresa quella relativa alla sicurezza, con cadenza settimanale; b. eseguire il backup delle informazioni a livello di sistema contenute nel sistema, con cadenza settimanale; c. eseguire backup della documentazione del sistema, compresa la documentazione relativa alla sicurezza e alla privacy, con cadenza settimanale; e d. proteggere la riservatezza, l'integrità e la disponibilità delle informazioni di backup. | Per facilitare i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CP-9: backup del sistema | a. Esegui il backup delle informazioni a livello di utente contenute nella documentazione del sistema, compresa quella relativa alla sicurezza, con cadenza settimanale; b. eseguire il backup delle informazioni a livello di sistema contenute nel sistema, con cadenza settimanale; c. eseguire backup della documentazione del sistema, compresa la documentazione relativa alla sicurezza e alla privacy, con cadenza settimanale; e d. proteggere la riservatezza, l'integrità e la disponibilità delle informazioni di backup. | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon Elastic Compute Cloud (Amazon EC2) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CP-9: backup del sistema | a. Esegui il backup delle informazioni a livello di utente contenute nella documentazione del sistema, compresa quella relativa alla sicurezza, con cadenza settimanale; b. eseguire il backup delle informazioni a livello di sistema contenute nel sistema, con cadenza settimanale; c. eseguire backup della documentazione del sistema, compresa la documentazione relativa alla sicurezza e alla privacy, con cadenza settimanale; e d. proteggere la riservatezza, l'integrità e la disponibilità delle informazioni di backup. | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CP-9: backup del sistema | a. Esegui il backup delle informazioni a livello di utente contenute nella documentazione del sistema, compresa quella relativa alla sicurezza, con cadenza settimanale; b. eseguire il backup delle informazioni a livello di sistema contenute nel sistema, con cadenza settimanale; c. eseguire backup della documentazione del sistema, compresa la documentazione relativa alla sicurezza e alla privacy, con cadenza settimanale; e d. proteggere la riservatezza, l'integrità e la disponibilità delle informazioni di backup. | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere mantenuto per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
| CP-9: backup del sistema | a. Esegui il backup delle informazioni a livello di utente contenute nella documentazione del sistema, compresa quella relativa alla sicurezza, con cadenza settimanale; b. eseguire il backup delle informazioni a livello di sistema contenute nel sistema, con cadenza settimanale; c. eseguire backup della documentazione del sistema, compresa la documentazione relativa alla sicurezza e alla privacy, con cadenza settimanale; e d. proteggere la riservatezza, l'integrità e la disponibilità delle informazioni di backup. | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon FSx facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CP-9: backup del sistema | a. Esegui il backup delle informazioni a livello di utente contenute nella documentazione del sistema, compresa quella relativa alla sicurezza, con cadenza settimanale; b. eseguire il backup delle informazioni a livello di sistema contenute nel sistema, con cadenza settimanale; c. eseguire backup della documentazione del sistema, compresa la documentazione relativa alla sicurezza e alla privacy, con cadenza settimanale; e d. proteggere la riservatezza, l'integrità e la disponibilità delle informazioni di backup. | Per facilitare i processi di backup dei dati, assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CP-9: backup del sistema | a. Esegui il backup delle informazioni a livello di utente contenute nella documentazione del sistema, compresa quella relativa alla sicurezza, con cadenza settimanale; b. eseguire il backup delle informazioni a livello di sistema contenute nel sistema, con cadenza settimanale; c. eseguire backup della documentazione del sistema, compresa la documentazione relativa alla sicurezza e alla privacy, con cadenza settimanale; e d. proteggere la riservatezza, l'integrità e la disponibilità delle informazioni di backup. | Per facilitare i processi di backup dei dati, assicurati che le risorse di Amazon Relational Database Service (Amazon RDS) facciano parte di un AWS piano di backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| CP-9: backup del sistema | a. Esegui il backup delle informazioni a livello di utente contenute nella documentazione del sistema, compresa quella relativa alla sicurezza, con cadenza settimanale; b. eseguire il backup delle informazioni a livello di sistema contenute nel sistema, con cadenza settimanale; c. eseguire backup della documentazione del sistema, compresa la documentazione relativa alla sicurezza e alla privacy, con cadenza settimanale; e d. proteggere la riservatezza, l'integrità e la disponibilità delle informazioni di backup. | Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Amazon Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per ogni nodo di modifica dei dati o per qualsiasi evento che si verifica per primo. | |
| CP-9: backup del sistema | a. Esegui il backup delle informazioni a livello di utente contenute nella documentazione del sistema, compresa quella relativa alla sicurezza, con cadenza settimanale; b. eseguire il backup delle informazioni a livello di sistema contenute nel sistema, con cadenza settimanale; c. eseguire backup della documentazione del sistema, compresa la documentazione relativa alla sicurezza e alla privacy, con cadenza settimanale; e d. proteggere la riservatezza, l'integrità e la disponibilità delle informazioni di backup. | La replica tra regioni (CRR) di Amazon Simple Storage Service (Amazon S3) supporta il mantenimento di capacità e disponibilità adeguate. La replica tra regioni (CRR) consente la copia asincrona e automatica di oggetti tra bucket Amazon S3 per assicurare il mantenimento della disponibilità dei dati. | |
| IA-2: identificazione e autenticazione (utenti organizzativi) (CE-1) Autenticazione a più fattori su account con privilegi | Implementa l'autenticazione a più fattori per l'accesso agli account con privilegi | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| IA-2: identificazione e autenticazione (utenti organizzativi) (CE-1) Autenticazione a più fattori su account con privilegi | Implementa l'autenticazione a più fattori per l'accesso agli account con privilegi | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che la MFA hardware sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| IA-2: identificazione e autenticazione (utenti organizzativi) (CE-2) Autenticazione a più fattori su account senza privilegi | Implementa l'autenticazione a più fattori per l'accesso agli account senza privilegi. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| IA-5: gestione degli autenticatori: (CE-1) autenticazione basata su password: per l'autenticazione basata su password | Applicare le seguenti regole di composizione e complessità: 1. Applicare una lunghezza minima della password di quattordici (14) caratteri. 2. Applicare una complessità minima della password che deve contenere una combinazione di numeri, lettere maiuscole, lettere minuscole e caratteri speciali. 3. Applicare la modifica di almeno un (1) carattere quando vengono selezionate nuove password da utilizzare. 4. Archiviare e trasmettere solo password protette crittograficamente. 5. Applicare le restrizioni sulla durata della password: i. Minimo un (1) giorno e massimo 90 giorni. ii. Le password degli account di servizio scadono entro 366 giorni (inclusi). | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti indicati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| PM-5: inventario di sistema | Sviluppa e aggiorna continuamente un inventario dei sistemi dell'organizzazione. | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| PM-5: inventario di sistema | Sviluppa e aggiorna continuamente un inventario dei sistemi dell'organizzazione. | ec2- -controlla managedinstance-association-compliance-status |
Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee di base dei livelli di patch del sistema operativo, delle installazioni software, delle configurazioni delle applicazioni e altri dettagli sull'ambiente. |
| PM-5: inventario di sistema | Sviluppa e aggiorna continuamente un inventario dei sistemi dell'organizzazione. | Questa regola garantisce che le liste di controllo degli accessi di rete del cloud privato virtuale (VPC) di Amazon siano in uso. Il monitoraggio delle liste di controllo degli accessi di rete non utilizzati può aiutare a effettuare un inventario e una gestione accurati del proprio ambiente. | |
| PM-5: inventario di sistema | Sviluppa e aggiorna continuamente un inventario dei sistemi dell'organizzazione. | Questa regola garantisce che i volumi Amazon Elastic Block Store collegati a istanze Amazon Elastic Compute Cloud (Amazon EC2) siano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegato viene terminata, potrebbe violare il concetto di funzionalità minima. | |
| RA-5: monitoraggio e scansione delle vulnerabilità | Monitorare e scansionare le vulnerabilità del sistema e delle applicazioni ospitate ogni trenta (30) giorni, prima di inserire un nuovo sistema informativo nella rete dell'agenzia, per confermare le azioni di rimedio e quando vengono identificate e segnalate nuove vulnerabilità che potrebbero interessare il sistema | vuln-scans-performed(Controllo del processo) | Assicurati che le scansioni delle vulnerabilità vengano eseguite in base ai requisiti di conformità. La cadenza di scansione, gli strumenti utilizzati e l'uso dei risultati devono essere definiti dall'organizzazione. |
| SA-10: gestione della configurazione per sviluppatori (e.) | Tieni traccia dei difetti di sicurezza e della risoluzione dei difetti all'interno del sistema, del componente o del servizio e segnala i risultati a [Assegnazione: personale definito dall'organizzazione]. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| SA-10: gestione della configurazione per sviluppatori (e.) | Tieni traccia dei difetti di sicurezza e della risoluzione dei difetti all'interno del sistema, del componente o del servizio e segnala i risultati a [Assegnazione: personale definito dall'organizzazione]. | Amazon ti GuardDuty aiuta a comprendere l'impatto di un incidente classificando i risultati in base alla gravità: bassa, media e alta. Puoi utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola consente di impostare facoltativamente daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) e daysHighSev (Config Default: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione. | |
| SA-10: gestione della configurazione per sviluppatori (e.) | Tieni traccia dei difetti di sicurezza e della risoluzione dei difetti all'interno del sistema, del componente o del servizio e segnala i risultati a [Assegnazione: personale definito dall'organizzazione]. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| SA-10: gestione della configurazione per sviluppatori (a) (c.) | Esegui la gestione della configurazione durante la progettazione, lo sviluppo, l'implementazione e il funzionamento di sistemi, componenti o servizi; implementa solo le modifiche approvate dall'organizzazione al sistema, al componente o al servizio; | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| SC-4: informazioni nelle risorse di sistema condivise | Impedisci il trasferimento non autorizzato e non intenzionale di informazioni da risorse di sistema condivise | Questa regola garantisce che i volumi Amazon Elastic Block Store collegati a istanze Amazon Elastic Compute Cloud (Amazon EC2) siano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegato viene terminata, potrebbe violare il concetto di funzionalità minima. | |
| SC-7: protezione dei confini | Monitora e controlla le comunicazioni ai confini esterni del sistema e ai confini chiave interni all'interno del sistema; implementa sottoreti per i componenti del sistema accessibili al pubblico e separate dalle reti organizzative interne; connettiti a reti o sistemi informativi esterni solo attraverso interfacce gestite costituite da dispositivi di protezione dei confini disposti in conformità a un'architettura di sicurezza organizzativa. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| SC-7: protezione dei confini | Monitora e controlla le comunicazioni ai confini esterni del sistema e ai confini chiave interni all'interno del sistema; implementa sottoreti per i componenti del sistema accessibili al pubblico e separate dalle reti organizzative interne; connettiti a reti o sistemi informativi esterni solo attraverso interfacce gestite costituite da dispositivi di protezione dei confini disposti in conformità a un'architettura di sicurezza organizzativa. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| SC-7: protezione dei confini | Monitora e controlla le comunicazioni ai confini esterni del sistema e ai confini chiave interni all'interno del sistema; implementa sottoreti per i componenti del sistema accessibili al pubblico e separate dalle reti organizzative interne; connettiti a reti o sistemi informativi esterni solo attraverso interfacce gestite costituite da dispositivi di protezione dei confini disposti in conformità a un'architettura di sicurezza organizzativa. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| SC-7: protezione dei confini | Monitora e controlla le comunicazioni ai confini esterni del sistema e ai confini chiave interni all'interno del sistema; implementa sottoreti per i componenti del sistema accessibili al pubblico e separate dalle reti organizzative interne; connettiti a reti o sistemi informativi esterni solo attraverso interfacce gestite costituite da dispositivi di protezione dei confini disposti in conformità a un'architettura di sicurezza organizzativa. | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| SC-7: protezione dei confini | Monitora e controlla le comunicazioni ai confini esterni del sistema e ai confini chiave interni all'interno del sistema; implementa sottoreti per i componenti del sistema accessibili al pubblico e separate dalle reti organizzative interne; connettiti a reti o sistemi informativi esterni solo attraverso interfacce gestite costituite da dispositivi di protezione dei confini disposti in conformità a un'architettura di sicurezza organizzativa. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| SC-7: protezione dei confini | Monitora e controlla le comunicazioni ai confini esterni del sistema e ai confini chiave interni all'interno del sistema; implementa sottoreti per i componenti del sistema accessibili al pubblico e separate dalle reti organizzative interne; connettiti a reti o sistemi informativi esterni solo attraverso interfacce gestite costituite da dispositivi di protezione dei confini disposti in conformità a un'architettura di sicurezza organizzativa. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| SC-7: protezione dei confini | Monitora e controlla le comunicazioni ai confini esterni del sistema e ai confini chiave interni all'interno del sistema; implementa sottoreti per i componenti del sistema accessibili al pubblico e separate dalle reti organizzative interne; connettiti a reti o sistemi informativi esterni solo attraverso interfacce gestite costituite da dispositivi di protezione dei confini disposti in conformità a un'architettura di sicurezza organizzativa. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| SC-7: protezione dei confini | Monitora e controlla le comunicazioni ai confini esterni del sistema e ai confini chiave interni all'interno del sistema; implementa sottoreti per i componenti del sistema accessibili al pubblico e separate dalle reti organizzative interne; connettiti a reti o sistemi informativi esterni solo attraverso interfacce gestite costituite da dispositivi di protezione dei confini disposti in conformità a un'architettura di sicurezza organizzativa. | Gestisci l'accesso al AWS cloud abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 sia limitato dai AWS principali, dagli utenti federati, dai responsabili del servizio, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti. | |
| SC-7: protezione dei confini | Monitora e controlla le comunicazioni ai confini esterni del sistema e ai confini chiave interni all'interno del sistema; implementa sottoreti per i componenti del sistema accessibili al pubblico e separate dalle reti organizzative interne; connettiti a reti o sistemi informativi esterni solo attraverso interfacce gestite costituite da dispositivi di protezione dei confini disposti in conformità a un'architettura di sicurezza organizzativa. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| SC-7: protezione dei confini | Monitora e controlla le comunicazioni ai confini esterni del sistema e ai confini chiave interni all'interno del sistema; implementa sottoreti per i componenti del sistema accessibili al pubblico e separate dalle reti organizzative interne; connettiti a reti o sistemi informativi esterni solo attraverso interfacce gestite costituite da dispositivi di protezione dei confini disposti in conformità a un'architettura di sicurezza organizzativa. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| SC-7: protezione dei confini | Monitora e controlla le comunicazioni ai confini esterni del sistema e ai confini chiave interni all'interno del sistema; implementa sottoreti per i componenti del sistema accessibili al pubblico e separate dalle reti organizzative interne; connettiti a reti o sistemi informativi esterni solo attraverso interfacce gestite costituite da dispositivi di protezione dei confini disposti in conformità a un'architettura di sicurezza organizzativa. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| SC-7: protezione dei confini | Monitora e controlla le comunicazioni ai confini esterni del sistema e ai confini chiave interni all'interno del sistema; implementa sottoreti per i componenti del sistema accessibili al pubblico e separate dalle reti organizzative interne; connettiti a reti o sistemi informativi esterni solo attraverso interfacce gestite costituite da dispositivi di protezione dei confini disposti in conformità a un'architettura di sicurezza organizzativa. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni. | |
| SC-7: protezione dei confini (CE-9) Limitazione del traffico di comunicazioni minacciose in uscita | Rileva e respingi il traffico di comunicazioni in uscita che rappresenta una minaccia per i sistemi esterni e verifica l'identità degli utenti interni associati alle comunicazioni negate. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) su ACL Web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| SC-7: protezione dei confini (CE-9) Limitazione del traffico di comunicazioni minacciose in uscita | Rileva e respingi il traffico di comunicazioni in uscita che rappresenta una minaccia per i sistemi esterni e verifica l'identità degli utenti interni associati alle comunicazioni negate. | Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. | |
| SC-7: protezione dei confini (CE-9) Limitazione del traffico di comunicazioni minacciose in uscita | Rileva e respingi il traffico di comunicazioni in uscita che rappresenta una minaccia per i sistemi esterni e verifica l'identità degli utenti interni associati alle comunicazioni negate. | AWS WAF consente di configurare un insieme di regole (chiamate elenco di controllo degli accessi Web (Web ACL)) che consentono, bloccano o contano le richieste Web in base a regole e condizioni di sicurezza Web personalizzabili definite dall'utente. La fase Gateway Amazon API deve essere associata a un ACL web WAF per garantire la protezione da attacchi dannosi. | |
| SC-7: protezione dei confini (definita da IRS) | Le agenzie devono implementare e gestire la protezione dei confini (in genere utilizzando firewall) ai limiti di attendibilità. È necessario monitorare ogni limite di attendibilità e controllare le comunicazioni attraverso ciascun limite. | Una policy AWS Network Firewall definisce il modo in cui il firewall monitora e gestisce il traffico in un Amazon VPC. Puoi configurare gruppi di regole stateless e stateful per filtrare pacchetti e flussi di traffico, nonché definire la gestione del traffico predefinita. | |
| SC-7: protezione dei confini (definita da IRS) | Le agenzie devono implementare e gestire la protezione dei confini (in genere utilizzando firewall) ai limiti di attendibilità. È necessario monitorare ogni limite di attendibilità e controllare le comunicazioni attraverso ciascun limite. | Un gruppo di regole AWS Network Firewall contiene regole che definiscono il modo in cui il firewall elabora il traffico nel tuo VPC. Un gruppo di regole stateless vuoto, se presente in una policy firewall, non elabora il traffico. | |
| SC-8: riservatezza e integrità della trasmissione (CE-1) Protezione crittografica | Implementa meccanismi crittografici per impedire la divulgazione non autorizzata di informazioni e rilevare le modifiche alle informazioni durante la trasmissione. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC-8: riservatezza e integrità della trasmissione (CE-1) Protezione crittografica | Implementa meccanismi crittografici per impedire la divulgazione non autorizzata di informazioni e rilevare le modifiche alle informazioni durante la trasmissione. | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC-8: riservatezza e integrità della trasmissione (CE-1) Protezione crittografica | Implementa meccanismi crittografici per impedire la divulgazione non autorizzata di informazioni e rilevare le modifiche alle informazioni durante la trasmissione. | Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC-8: riservatezza e integrità della trasmissione (CE-1) Protezione crittografica | Implementa meccanismi crittografici per impedire la divulgazione non autorizzata di informazioni e rilevare le modifiche alle informazioni durante la trasmissione. | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon OpenSearch Service. | |
| SC-8: riservatezza e integrità della trasmissione (CE-1) Protezione crittografica | Implementa meccanismi crittografici per impedire la divulgazione non autorizzata di informazioni e rilevare le modifiche alle informazioni durante la trasmissione. | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC-8: riservatezza e integrità della trasmissione (CE-1) Protezione crittografica | Implementa meccanismi crittografici per impedire la divulgazione non autorizzata di informazioni e rilevare le modifiche alle informazioni durante la trasmissione. | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC-8: riservatezza e integrità della trasmissione (CE-1) Protezione crittografica | Implementa meccanismi crittografici per impedire la divulgazione non autorizzata di informazioni e rilevare le modifiche alle informazioni durante la trasmissione. | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC-12: creazione e gestione delle chiavi crittografiche | L'agenzia deve stabilire e gestire le chiavi crittografiche quando la crittografia è utilizzata all'interno del sistema conformemente ai seguenti requisiti di gestione delle chiavi: NIST SP 800-57, Suggerimento per la gestione delle chiavi, per la generazione, la distribuzione, l'archiviazione, l'accesso e la distruzione delle chiavi. | Per proteggere i dati archiviati, assicurati che non sia pianificata l'eliminazione delle chiavi master del cliente (CMK) necessarie nel AWS Key Management Service (KMS).AWS Poiché a volte l'eliminazione delle chiavi è necessaria, questa regola può aiutare a verificare tutte le chiavi per le quali è pianificata l'eliminazione, nel caso in cui una chiave sia stata pianificata in modo non intenzionale. | |
| SC-12: creazione e gestione delle chiavi crittografiche | L'agenzia deve stabilire e gestire le chiavi crittografiche quando la crittografia è utilizzata all'interno del sistema conformemente ai seguenti requisiti di gestione delle chiavi: NIST SP 800-57, Suggerimento per la gestione delle chiavi, per la generazione, la distribuzione, l'archiviazione, l'accesso e la distruzione delle chiavi. | Abilita la rotazione delle chiavi per garantire che le chiavi vengano ruotate dopo aver raggiunto la fine del periodo crittografico. | |
| SC-13: protezione crittografica | Implementa i seguenti tipi di crittografia richiesti per ogni uso crittografico: ultimo meccanismo di crittografia convalidato FIPS-140, NIST 800-52, Linee guida per la selezione, la configurazione e l'uso delle implementazioni Transport Layer Security (TLS), Crittografia in transito (crittografia del payload). L'uso di SHA-1 per le firme digitali è vietato. | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| SC-13: protezione crittografica | Implementa i seguenti tipi di crittografia richiesti per ogni uso crittografico: ultimo meccanismo di crittografia convalidato FIPS-140, NIST 800-52, Linee guida per la selezione, la configurazione e l'uso delle implementazioni Transport Layer Security (TLS), Crittografia in transito (crittografia del payload). L'uso di SHA-1 per le firme digitali è vietato. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC-13: protezione crittografica | Implementa i seguenti tipi di crittografia richiesti per ogni uso crittografico: ultimo meccanismo di crittografia convalidato FIPS-140, NIST 800-52, Linee guida per la selezione, la configurazione e l'uso delle implementazioni Transport Layer Security (TLS), Crittografia in transito (crittografia del payload). L'uso di SHA-1 per le firme digitali è vietato. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per la cache della fase Gateway API. Per proteggere i dati sensibili che possono essere acquisiti per il metodo API, è necessario attivare la crittografia a riposo. | |
| SC-13: protezione crittografica | Implementa i seguenti tipi di crittografia richiesti per ogni uso crittografico: ultimo meccanismo di crittografia convalidato FIPS-140, NIST 800-52, Linee guida per la selezione, la configurazione e l'uso delle implementazioni Transport Layer Security (TLS), Crittografia in transito (crittografia del payload). L'uso di SHA-1 per le firme digitali è vietato. | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC-13: protezione crittografica | Implementa i seguenti tipi di crittografia richiesti per ogni uso crittografico: ultimo meccanismo di crittografia convalidato FIPS-140, NIST 800-52, Linee guida per la selezione, la configurazione e l'uso delle implementazioni Transport Layer Security (TLS), Crittografia in transito (crittografia del payload). L'uso di SHA-1 per le firme digitali è vietato. | Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC-13: protezione crittografica | Implementa i seguenti tipi di crittografia richiesti per ogni uso crittografico: ultimo meccanismo di crittografia convalidato FIPS-140, NIST 800-52, Linee guida per la selezione, la configurazione e l'uso delle implementazioni Transport Layer Security (TLS), Crittografia in transito (crittografia del payload). L'uso di SHA-1 per le firme digitali è vietato. | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon OpenSearch Service. | |
| SC-13: protezione crittografica | Implementa i seguenti tipi di crittografia richiesti per ogni uso crittografico: ultimo meccanismo di crittografia convalidato FIPS-140, NIST 800-52, Linee guida per la selezione, la configurazione e l'uso delle implementazioni Transport Layer Security (TLS), Crittografia in transito (crittografia del payload). L'uso di SHA-1 per le firme digitali è vietato. | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC-13: protezione crittografica | Implementa i seguenti tipi di crittografia richiesti per ogni uso crittografico: ultimo meccanismo di crittografia convalidato FIPS-140, NIST 800-52, Linee guida per la selezione, la configurazione e l'uso delle implementazioni Transport Layer Security (TLS), Crittografia in transito (crittografia del payload). L'uso di SHA-1 per le firme digitali è vietato. | Assicurati che la crittografia sia abilitata per i punti AWS di ripristino del Backup. Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| SC-13: protezione crittografica | Implementa i seguenti tipi di crittografia richiesti per ogni uso crittografico: ultimo meccanismo di crittografia convalidato FIPS-140, NIST 800-52, Linee guida per la selezione, la configurazione e l'uso delle implementazioni Transport Layer Security (TLS), Crittografia in transito (crittografia del payload). L'uso di SHA-1 per le firme digitali è vietato. | Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Data la possibile presenza di dati sensibili a riposo in queste tabelle, abilita la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con AWS una chiave master del cliente (CMK) di proprietà. | |
| SC-13: protezione crittografica | Implementa i seguenti tipi di crittografia richiesti per ogni uso crittografico: ultimo meccanismo di crittografia convalidato FIPS-140, NIST 800-52, Linee guida per la selezione, la configurazione e l'uso delle implementazioni Transport Layer Security (TLS), Crittografia in transito (crittografia del payload). L'uso di SHA-1 per le firme digitali è vietato. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| SC-13: protezione crittografica | Implementa i seguenti tipi di crittografia richiesti per ogni uso crittografico: ultimo meccanismo di crittografia convalidato FIPS-140, NIST 800-52, Linee guida per la selezione, la configurazione e l'uso delle implementazioni Transport Layer Security (TLS), Crittografia in transito (crittografia del payload). L'uso di SHA-1 per le firme digitali è vietato. | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i flussi di Amazon Kinesis. | |
| SC-13: protezione crittografica | Implementa i seguenti tipi di crittografia richiesti per ogni uso crittografico: ultimo meccanismo di crittografia convalidato FIPS-140, NIST 800-52, Linee guida per la selezione, la configurazione e l'uso delle implementazioni Transport Layer Security (TLS), Crittografia in transito (crittografia del payload). L'uso di SHA-1 per le firme digitali è vietato. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service. | |
| SC-13: protezione crittografica | Implementa i seguenti tipi di crittografia richiesti per ogni uso crittografico: ultimo meccanismo di crittografia convalidato FIPS-140, NIST 800-52, Linee guida per la selezione, la configurazione e l'uso delle implementazioni Transport Layer Security (TLS), Crittografia in transito (crittografia del payload). L'uso di SHA-1 per le firme digitali è vietato. | Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| SC-13: protezione crittografica | Implementa i seguenti tipi di crittografia richiesti per ogni uso crittografico: ultimo meccanismo di crittografia convalidato FIPS-140, NIST 800-52, Linee guida per la selezione, la configurazione e l'uso delle implementazioni Transport Layer Security (TLS), Crittografia in transito (crittografia del payload). L'uso di SHA-1 per le firme digitali è vietato. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo cluster Amazon Redshift. Data la possibile presenza di dati sensibili a riposo nei cluster Redshift, abilita la crittografia a riposo per proteggere tali dati. | |
| SC-13: protezione crittografica | Implementa i seguenti tipi di crittografia richiesti per ogni uso crittografico: ultimo meccanismo di crittografia convalidato FIPS-140, NIST 800-52, Linee guida per la selezione, la configurazione e l'uso delle implementazioni Transport Layer Security (TLS), Crittografia in transito (crittografia del payload). L'uso di SHA-1 per le firme digitali è vietato. | Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati. | |
| SC-13: protezione crittografica | Implementa i seguenti tipi di crittografia richiesti per ogni uso crittografico: ultimo meccanismo di crittografia convalidato FIPS-140, NIST 800-52, Linee guida per la selezione, la configurazione e l'uso delle implementazioni Transport Layer Security (TLS), Crittografia in transito (crittografia del payload). L'uso di SHA-1 per le firme digitali è vietato. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per AWS i segreti di Secrets Manager. Data la possibile presenza di dati sensibili a riposo nei segreti di Secrets Manager, abilita la crittografia a riposo per proteggere tali dati. | |
| SC-13: protezione crittografica | Implementa i seguenti tipi di crittografia richiesti per ogni uso crittografico: ultimo meccanismo di crittografia convalidato FIPS-140, NIST 800-52, Linee guida per la selezione, la configurazione e l'uso delle implementazioni Transport Layer Security (TLS), Crittografia in transito (crittografia del payload). L'uso di SHA-1 per le firme digitali è vietato. | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi Amazon CloudWatch Log Groups. | |
| SC-13: protezione crittografica | Implementa i seguenti tipi di crittografia richiesti per ogni uso crittografico: ultimo meccanismo di crittografia convalidato FIPS-140, NIST 800-52, Linee guida per la selezione, la configurazione e l'uso delle implementazioni Transport Layer Security (TLS), Crittografia in transito (crittografia del payload). L'uso di SHA-1 per le firme digitali è vietato. | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| SC-13: protezione crittografica | Implementa i seguenti tipi di crittografia richiesti per ogni uso crittografico: ultimo meccanismo di crittografia convalidato FIPS-140, NIST 800-52, Linee guida per la selezione, la configurazione e l'uso delle implementazioni Transport Layer Security (TLS), Crittografia in transito (crittografia del payload). L'uso di SHA-1 per le firme digitali è vietato. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch OpenSearch Service (Service). | |
| SC-13: protezione crittografica | Implementa i seguenti tipi di crittografia richiesti per ogni uso crittografico: ultimo meccanismo di crittografia convalidato FIPS-140, NIST 800-52, Linee guida per la selezione, la configurazione e l'uso delle implementazioni Transport Layer Security (TLS), Crittografia in transito (crittografia del payload). L'uso di SHA-1 per le firme digitali è vietato. | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). | |
| SC-13: protezione crittografica | Implementa i seguenti tipi di crittografia richiesti per ogni uso crittografico: ultimo meccanismo di crittografia convalidato FIPS-140, NIST 800-52, Linee guida per la selezione, la configurazione e l'uso delle implementazioni Transport Layer Security (TLS), Crittografia in transito (crittografia del payload). L'uso di SHA-1 per le firme digitali è vietato. | Per aiutare a proteggere i dati a riposo, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo nelle istanze Amazon RDS, abilita la crittografia a riposo per proteggere tali dati. | |
| SC-13: protezione crittografica | Implementa i seguenti tipi di crittografia richiesti per ogni uso crittografico: ultimo meccanismo di crittografia convalidato FIPS-140, NIST 800-52, Linee guida per la selezione, la configurazione e l'uso delle implementazioni Transport Layer Security (TLS), Crittografia in transito (crittografia del payload). L'uso di SHA-1 per le firme digitali è vietato. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| SC-13: protezione crittografica | Implementa i seguenti tipi di crittografia richiesti per ogni uso crittografico: ultimo meccanismo di crittografia convalidato FIPS-140, NIST 800-52, Linee guida per la selezione, la configurazione e l'uso delle implementazioni Transport Layer Security (TLS), Crittografia in transito (crittografia del payload). L'uso di SHA-1 per le firme digitali è vietato. | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC-13: protezione crittografica | Implementa i seguenti tipi di crittografia richiesti per ogni uso crittografico: ultimo meccanismo di crittografia convalidato FIPS-140, NIST 800-52, Linee guida per la selezione, la configurazione e l'uso delle implementazioni Transport Layer Security (TLS), Crittografia in transito (crittografia del payload). L'uso di SHA-1 per le firme digitali è vietato. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| SC-13: protezione crittografica | Implementa i seguenti tipi di crittografia richiesti per ogni uso crittografico: ultimo meccanismo di crittografia convalidato FIPS-140, NIST 800-52, Linee guida per la selezione, la configurazione e l'uso delle implementazioni Transport Layer Security (TLS), Crittografia in transito (crittografia del payload). L'uso di SHA-1 per le firme digitali è vietato. | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC-13: protezione crittografica | Implementa i seguenti tipi di crittografia richiesti per ogni uso crittografico: ultimo meccanismo di crittografia convalidato FIPS-140, NIST 800-52, Linee guida per la selezione, la configurazione e l'uso delle implementazioni Transport Layer Security (TLS), Crittografia in transito (crittografia del payload). L'uso di SHA-1 per le firme digitali è vietato. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia a memoria inattiva per proteggere tali dati. | |
| SC-13: protezione crittografica | Implementa i seguenti tipi di crittografia richiesti per ogni uso crittografico: ultimo meccanismo di crittografia convalidato FIPS-140, NIST 800-52, Linee guida per la selezione, la configurazione e l'uso delle implementazioni Transport Layer Security (TLS), Crittografia in transito (crittografia del payload). L'uso di SHA-1 per le firme digitali è vietato. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo notebook. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| SC-13: protezione crittografica | Implementa i seguenti tipi di crittografia richiesti per ogni uso crittografico: ultimo meccanismo di crittografia convalidato FIPS-140, NIST 800-52, Linee guida per la selezione, la configurazione e l'uso delle implementazioni Transport Layer Security (TLS), Crittografia in transito (crittografia del payload). L'uso di SHA-1 per le firme digitali è vietato. | Per proteggere i dati archiviati, assicurati che gli argomenti di Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia AWS tramite Key Management Service AWS (KMS). Data la possibile presenza di dati sensibili a riposo nei messaggi pubblicati, abilita la crittografia a riposo per proteggere tali dati. | |
| SC-23: autenticità della sessione | Protezione dell'autenticità delle sessioni di comunicazione. | Assicurati che il metodo del servizio di metadati di istanza versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, puoi implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| SC-28: protezione delle informazioni a riposo (CE-1) Protezione crittografica | Implementa meccanismi crittografici per impedire la divulgazione e la modifica non autorizzate di FTI a riposo sui sistemi informatici degli utenti finali (ad esempio computer desktop, computer portatili, dispositivi mobili, dispositivi di archiviazione portatili e rimovibili) in archiviazione non volatile. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per la cache della fase Gateway API. Per proteggere i dati sensibili che possono essere acquisiti per il metodo API, è necessario attivare la crittografia a riposo. | |
| SC-28: protezione delle informazioni a riposo (CE-1) Protezione crittografica | Implementa meccanismi crittografici per impedire la divulgazione e la modifica non autorizzate di FTI a riposo sui sistemi informatici degli utenti finali (ad esempio computer desktop, computer portatili, dispositivi mobili, dispositivi di archiviazione portatili e rimovibili) in archiviazione non volatile. | Assicurati che la crittografia sia abilitata per i punti AWS di ripristino del Backup. Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| SC-28: protezione delle informazioni a riposo (CE-1) Protezione crittografica | Implementa meccanismi crittografici per impedire la divulgazione e la modifica non autorizzate di FTI a riposo sui sistemi informatici degli utenti finali (ad esempio computer desktop, computer portatili, dispositivi mobili, dispositivi di archiviazione portatili e rimovibili) in archiviazione non volatile. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CloudTrail percorsi. | |
| SC-28: protezione delle informazioni a riposo (CE-1) Protezione crittografica | Implementa meccanismi crittografici per impedire la divulgazione e la modifica non autorizzate di FTI a riposo sui sistemi informatici degli utenti finali (ad esempio computer desktop, computer portatili, dispositivi mobili, dispositivi di archiviazione portatili e rimovibili) in archiviazione non volatile. | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi Amazon CloudWatch Log Groups. | |
| SC-28: protezione delle informazioni a riposo (CE-1) Protezione crittografica | Implementa meccanismi crittografici per impedire la divulgazione e la modifica non autorizzate di FTI a riposo sui sistemi informatici degli utenti finali (ad esempio computer desktop, computer portatili, dispositivi mobili, dispositivi di archiviazione portatili e rimovibili) in archiviazione non volatile. | Per proteggere i dati archiviati, assicurati che gli argomenti di Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia AWS tramite Key Management Service AWS (KMS). Data la possibile presenza di dati sensibili a riposo nei messaggi pubblicati, abilita la crittografia a riposo per proteggere tali dati. | |
| SC-28: protezione delle informazioni a riposo (CE-1) Protezione crittografica | Implementa meccanismi crittografici per impedire la divulgazione e la modifica non autorizzate di FTI a riposo sui sistemi informatici degli utenti finali (ad esempio computer desktop, computer portatili, dispositivi mobili, dispositivi di archiviazione portatili e rimovibili) in archiviazione non volatile. | Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Data la possibile presenza di dati sensibili a riposo in queste tabelle, abilita la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con AWS una chiave master del cliente (CMK) di proprietà. | |
| SC-28: protezione delle informazioni a riposo (CE-1) Protezione crittografica | Implementa meccanismi crittografici per impedire la divulgazione e la modifica non autorizzate di FTI a riposo sui sistemi informatici degli utenti finali (ad esempio computer desktop, computer portatili, dispositivi mobili, dispositivi di archiviazione portatili e rimovibili) in archiviazione non volatile. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| SC-28: protezione delle informazioni a riposo (CE-1) Protezione crittografica | Implementa meccanismi crittografici per impedire la divulgazione e la modifica non autorizzate di FTI a riposo sui sistemi informatici degli utenti finali (ad esempio computer desktop, computer portatili, dispositivi mobili, dispositivi di archiviazione portatili e rimovibili) in archiviazione non volatile. | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| SC-28: protezione delle informazioni a riposo (CE-1) Protezione crittografica | Implementa meccanismi crittografici per impedire la divulgazione e la modifica non autorizzate di FTI a riposo sui sistemi informatici degli utenti finali (ad esempio computer desktop, computer portatili, dispositivi mobili, dispositivi di archiviazione portatili e rimovibili) in archiviazione non volatile. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch OpenSearch Service (Service). | |
| SC-28: protezione delle informazioni a riposo (CE-1) Protezione crittografica | Implementa meccanismi crittografici per impedire la divulgazione e la modifica non autorizzate di FTI a riposo sui sistemi informatici degli utenti finali (ad esempio computer desktop, computer portatili, dispositivi mobili, dispositivi di archiviazione portatili e rimovibili) in archiviazione non volatile. | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). | |
| SC-28: protezione delle informazioni a riposo (CE-1) Protezione crittografica | Implementa meccanismi crittografici per impedire la divulgazione e la modifica non autorizzate di FTI a riposo sui sistemi informatici degli utenti finali (ad esempio computer desktop, computer portatili, dispositivi mobili, dispositivi di archiviazione portatili e rimovibili) in archiviazione non volatile. | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i flussi di Amazon Kinesis. | |
| SC-28: protezione delle informazioni a riposo (CE-1) Protezione crittografica | Implementa meccanismi crittografici per impedire la divulgazione e la modifica non autorizzate di FTI a riposo sui sistemi informatici degli utenti finali (ad esempio computer desktop, computer portatili, dispositivi mobili, dispositivi di archiviazione portatili e rimovibili) in archiviazione non volatile. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service. | |
| SC-28: protezione delle informazioni a riposo (CE-1) Protezione crittografica | Implementa meccanismi crittografici per impedire la divulgazione e la modifica non autorizzate di FTI a riposo sui sistemi informatici degli utenti finali (ad esempio computer desktop, computer portatili, dispositivi mobili, dispositivi di archiviazione portatili e rimovibili) in archiviazione non volatile. | Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| SC-28: protezione delle informazioni a riposo (CE-1) Protezione crittografica | Implementa meccanismi crittografici per impedire la divulgazione e la modifica non autorizzate di FTI a riposo sui sistemi informatici degli utenti finali (ad esempio computer desktop, computer portatili, dispositivi mobili, dispositivi di archiviazione portatili e rimovibili) in archiviazione non volatile. | Per aiutare a proteggere i dati a riposo, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo nelle istanze Amazon RDS, abilita la crittografia a riposo per proteggere tali dati. | |
| SC-28: protezione delle informazioni a riposo (CE-1) Protezione crittografica | Implementa meccanismi crittografici per impedire la divulgazione e la modifica non autorizzate di FTI a riposo sui sistemi informatici degli utenti finali (ad esempio computer desktop, computer portatili, dispositivi mobili, dispositivi di archiviazione portatili e rimovibili) in archiviazione non volatile. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| SC-28: protezione delle informazioni a riposo (CE-1) Protezione crittografica | Implementa meccanismi crittografici per impedire la divulgazione e la modifica non autorizzate di FTI a riposo sui sistemi informatici degli utenti finali (ad esempio computer desktop, computer portatili, dispositivi mobili, dispositivi di archiviazione portatili e rimovibili) in archiviazione non volatile. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo cluster Amazon Redshift. Data la possibile presenza di dati sensibili a riposo nei cluster Redshift, abilita la crittografia a riposo per proteggere tali dati. | |
| SC-28: protezione delle informazioni a riposo (CE-1) Protezione crittografica | Implementa meccanismi crittografici per impedire la divulgazione e la modifica non autorizzate di FTI a riposo sui sistemi informatici degli utenti finali (ad esempio computer desktop, computer portatili, dispositivi mobili, dispositivi di archiviazione portatili e rimovibili) in archiviazione non volatile. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| SC-28: protezione delle informazioni a riposo (CE-1) Protezione crittografica | Implementa meccanismi crittografici per impedire la divulgazione e la modifica non autorizzate di FTI a riposo sui sistemi informatici degli utenti finali (ad esempio computer desktop, computer portatili, dispositivi mobili, dispositivi di archiviazione portatili e rimovibili) in archiviazione non volatile. | Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati. | |
| SC-28: protezione delle informazioni a riposo (CE-1) Protezione crittografica | Implementa meccanismi crittografici per impedire la divulgazione e la modifica non autorizzate di FTI a riposo sui sistemi informatici degli utenti finali (ad esempio computer desktop, computer portatili, dispositivi mobili, dispositivi di archiviazione portatili e rimovibili) in archiviazione non volatile. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia a memoria inattiva per proteggere tali dati. | |
| SC-28: protezione delle informazioni a riposo (CE-1) Protezione crittografica | Implementa meccanismi crittografici per impedire la divulgazione e la modifica non autorizzate di FTI a riposo sui sistemi informatici degli utenti finali (ad esempio computer desktop, computer portatili, dispositivi mobili, dispositivi di archiviazione portatili e rimovibili) in archiviazione non volatile. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo notebook. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| SC-28: protezione delle informazioni a riposo (CE-1) Protezione crittografica | Implementa meccanismi crittografici per impedire la divulgazione e la modifica non autorizzate di FTI a riposo sui sistemi informatici degli utenti finali (ad esempio computer desktop, computer portatili, dispositivi mobili, dispositivi di archiviazione portatili e rimovibili) in archiviazione non volatile. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per AWS i segreti di Secrets Manager. Data la possibile presenza di dati sensibili a riposo nei segreti di Secrets Manager, abilita la crittografia a riposo per proteggere tali dati. | |
| SI-2: correzione dei difetti (definita da IRS) | L'agenzia deve garantire che, al momento dell'accensione e della connessione giornaliere alla rete dell'agenzia, le postazioni di lavoro (come definite nella politica e comprese le connessioni remote tramite workstation GFE) vengano controllate per garantire che siano state applicate le patch più recenti approvate dall'agenzia e che tutte le patch assenti o nuove vengano applicate secondo necessità o altrimenti controllate non meno di ogni 24 ore (esclusi i fine settimana, i giorni festivi, ecc.) | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| SI-2: correzione dei difetti (definita da IRS) | L'agenzia deve garantire che, al momento dell'accensione e della connessione giornaliere alla rete dell'agenzia, le postazioni di lavoro (come definite nella politica e comprese le connessioni remote tramite workstation GFE) vengano controllate per garantire che siano state applicate le patch più recenti approvate dall'agenzia e che tutte le patch assenti o nuove vengano applicate secondo necessità o altrimenti controllate non meno di ogni 24 ore (esclusi i fine settimana, i giorni festivi, ecc.) | ec2- -controlla managedinstance-association-compliance-status |
Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee di base dei livelli di patch del sistema operativo, delle installazioni software, delle configurazioni delle applicazioni e altri dettagli sull'ambiente. |
| SI-2: correzione dei difetti (definita da IRS) | L'agenzia deve garantire che, al momento dell'accensione e della connessione giornaliere alla rete dell'agenzia, le postazioni di lavoro (come definite nella politica e comprese le connessioni remote tramite workstation GFE) vengano controllate per garantire che siano state applicate le patch più recenti approvate dall'agenzia e che tutte le patch assenti o nuove vengano applicate secondo necessità o altrimenti controllate non meno di ogni 24 ore (esclusi i fine settimana, i giorni festivi, ecc.) | L'abilitazione di questa regola facilita l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| SI-2: correzione dei difetti (definita da IRS) | L'agenzia deve garantire che, al momento dell'accensione e della connessione giornaliere alla rete dell'agenzia, le postazioni di lavoro (come definite nella politica e comprese le connessioni remote tramite workstation GFE) vengano controllate per garantire che siano state applicate le patch più recenti approvate dall'agenzia e che tutte le patch assenti o nuove vengano applicate secondo necessità o altrimenti controllate non meno di ogni 24 ore (esclusi i fine settimana, i giorni festivi, ecc.) | Gli aggiornamenti e le patch di sicurezza vengono distribuiti automaticamente per le attività di Fargate AWS . Se viene rilevato un problema di sicurezza che riguarda una versione della piattaforma AWS Fargate, AWS corregge la versione della piattaforma. Per aiutarti nella gestione delle patch delle attività di Amazon Elastic Container Service (ECS) che eseguono AWS Fargate, aggiorna le attività autonome dei servizi per utilizzare la versione più recente della piattaforma. | |
| SI-2: correzione dei difetti (definita da IRS) | L'agenzia deve garantire che, al momento dell'accensione e della connessione giornaliere alla rete dell'agenzia, le postazioni di lavoro (come definite nella politica e comprese le connessioni remote tramite workstation GFE) vengano controllate per garantire che siano state applicate le patch più recenti approvate dall'agenzia e che tutte le patch assenti o nuove vengano applicate secondo necessità o altrimenti controllate non meno di ogni 24 ore (esclusi i fine settimana, i giorni festivi, ecc.) | L'abilitazione degli aggiornamenti della piattaforma gestiti per un ambiente Amazon Elastic Beanstalk garantisce l'installazione degli ultimi aggiornamenti, correzioni e funzionalità disponibili per l'ambiente. Rimanere costantemente al passo con l'installazione delle patch è una delle best practice per la sicurezza dei sistemi. | |
| SI-2: correzione dei difetti (definita da IRS) | L'agenzia deve garantire che, al momento dell'accensione e della connessione giornaliere alla rete dell'agenzia, le postazioni di lavoro (come definite nella politica e comprese le connessioni remote tramite workstation GFE) siano controllate per garantire che siano state applicate le patch più recenti approvate dall'agenzia e che eventuali patch nuove o assenti vengano applicate secondo necessità o comunque controllate almeno ogni 24 ore (esclusi i fine settimana, i giorni festivi, ecc.) | L'abilitazione degli aggiornamenti automatici delle versioni minori sulle istanze Amazon Relational Database Service (RDS) garantisce l'installazione degli ultimi aggiornamenti delle versioni minori del sistema di gestione di database relazionale (RDBMS), che possono includere patch di sicurezza e correzioni di bug. | |
| SI-4: monitoraggio del sistema | L'organizzazione: a. Monitora il sistema informativo per rilevare: 1. Attacchi e indicatori di potenziali attacchi conformemente a [Assegnazione: obiettivi di monitoraggio definiti dall'organizzazione]; e 2. Connessioni locali, di rete e remote non autorizzate; b. Identifica l'uso non autorizzato del sistema informativo attraverso [Assegnazione: tecniche e metodi definiti dall'organizzazione]; c. Implementa dispositivi di monitoraggio: 1. Strategicamente all'interno del sistema informativo per raccogliere le informazioni essenziali determinate dall'organizzazione. In posizioni ad hoc all'interno del sistema per tracciare tipi specifici di transazioni di interesse per l'organizzazione; d. protegge le informazioni ottenute dagli strumenti di monitoraggio delle intrusioni da accessi, modifiche e cancellazioni non autorizzati; | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| SI-4: monitoraggio del sistema | L'organizzazione: a. Monitora il sistema informativo per rilevare: 1. Attacchi e indicatori di potenziali attacchi conformemente a [Assegnazione: obiettivi di monitoraggio definiti dall'organizzazione]; e 2. Connessioni locali, di rete e remote non autorizzate; b. Identifica l'uso non autorizzato del sistema informativo attraverso [Assegnazione: tecniche e metodi definiti dall'organizzazione]; c. Implementa dispositivi di monitoraggio: 1. Strategicamente all'interno del sistema informativo per raccogliere le informazioni essenziali determinate dall'organizzazione. In posizioni ad hoc all'interno del sistema per tracciare tipi specifici di transazioni di interesse per l'organizzazione; d. protegge le informazioni ottenute dagli strumenti di monitoraggio delle intrusioni da accessi, modifiche e cancellazioni non autorizzati; | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| SI-4: monitoraggio del sistema | L'organizzazione: a. Monitora il sistema informativo per rilevare: 1. Attacchi e indicatori di potenziali attacchi conformemente a [Assegnazione: obiettivi di monitoraggio definiti dall'organizzazione]; e 2. Connessioni locali, di rete e remote non autorizzate; b. Identifica l'uso non autorizzato del sistema informativo attraverso [Assegnazione: tecniche e metodi definiti dall'organizzazione]; c. Implementa dispositivi di monitoraggio: 1. Strategicamente all'interno del sistema informativo per raccogliere le informazioni essenziali determinate dall'organizzazione. In posizioni ad hoc all'interno del sistema per tracciare tipi specifici di transazioni di interesse per l'organizzazione; d. protegge le informazioni ottenute dagli strumenti di monitoraggio delle intrusioni da accessi, modifiche e cancellazioni non autorizzati; | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| SI-4: monitoraggio del sistema | L'organizzazione: a. Monitora il sistema informativo per rilevare: 1. Attacchi e indicatori di potenziali attacchi conformemente a [Assegnazione: obiettivi di monitoraggio definiti dall'organizzazione]; e 2. Connessioni locali, di rete e remote non autorizzate; b. Identifica l'uso non autorizzato del sistema informativo attraverso [Assegnazione: tecniche e metodi definiti dall'organizzazione]; c. Implementa dispositivi di monitoraggio: 1. Strategicamente all'interno del sistema informativo per raccogliere le informazioni essenziali determinate dall'organizzazione. In posizioni ad hoc all'interno del sistema per tracciare tipi specifici di transazioni di interesse per l'organizzazione; d. protegge le informazioni ottenute dagli strumenti di monitoraggio delle intrusioni da accessi, modifiche e cancellazioni non autorizzati; | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| SI-4: monitoraggio del sistema | L'organizzazione: a. Monitora il sistema informativo per rilevare: 1. Attacchi e indicatori di potenziali attacchi conformemente a [Assegnazione: obiettivi di monitoraggio definiti dall'organizzazione]; e 2. Connessioni locali, di rete e remote non autorizzate; b. Identifica l'uso non autorizzato del sistema informativo attraverso [Assegnazione: tecniche e metodi definiti dall'organizzazione]; c. Implementa dispositivi di monitoraggio: 1. Strategicamente all'interno del sistema informativo per raccogliere le informazioni essenziali determinate dall'organizzazione. In posizioni ad hoc all'interno del sistema per tracciare tipi specifici di transazioni di interesse per l'organizzazione; d. protegge le informazioni ottenute dagli strumenti di monitoraggio delle intrusioni da accessi, modifiche e cancellazioni non autorizzati; | Abilita questa regola per migliorare il monitoraggio delle istanze Amazon Elastic Compute Cloud (Amazon EC2) sulla console Amazon EC2, che visualizza grafici di monitoraggio relativi all'istanza a intervalli di 1 minuto. | |
| SI-4: monitoraggio del sistema (definito da IRS) | Tutti i punti/portali di accesso a Internet devono acquisire e conservare, per almeno un anno, le informazioni sulle intestazioni del traffico in entrata e in uscita, con l'esclusione delle connessioni "anonime" a Internet approvate, che possono essere approvate dal CISO dell'agenzia. | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| SI-4: monitoraggio del sistema (definito da IRS) | Tutti i punti/portali di accesso a Internet devono acquisire e conservare, per almeno un anno, le informazioni sulle intestazioni del traffico in entrata e in uscita, con l'esclusione delle connessioni "anonime" a Internet approvate, che possono essere approvate dal CISO dell'agenzia. | Assicurati che la registrazione di controllo sia abilitata sui tuoi domini Amazon OpenSearch Service. La registrazione di controllo ti consente di tenere traccia delle attività degli utenti sui tuoi OpenSearch domini, compresi i successi e gli errori di autenticazione, le richieste, le modifiche all'indicizzazione e le query di OpenSearch ricerca in arrivo. | |
| SI-4: monitoraggio del sistema (definito da IRS) | Tutti i punti/portali di accesso a Internet devono acquisire e conservare, per almeno un anno, le informazioni sulle intestazioni del traffico in entrata e in uscita, con l'esclusione delle connessioni "anonime" a Internet approvate, che possono essere approvate dal CISO dell'agenzia. | Per acquisire informazioni sulle connessioni e sulle attività degli utenti nel tuo cluster Amazon Redshift, assicurati che la registrazione di log di audit sia abilitata. | |
| SI-4: monitoraggio del sistema (definito da IRS) | Tutti i punti/portali di accesso a Internet devono acquisire e conservare, per almeno un anno, le informazioni sulle intestazioni del traffico in entrata e in uscita, con l'esclusione delle connessioni "anonime" a Internet approvate, che possono essere approvate dal CISO dell'agenzia. | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| SI-4: monitoraggio del sistema (definito da IRS) | Tutti i punti/portali di accesso a Internet devono acquisire e conservare, per almeno un anno, le informazioni sulle intestazioni del traffico in entrata e in uscita, con l'esclusione delle connessioni "anonime" a Internet approvate, che possono essere approvate dal CISO dell'agenzia. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sugli ACL web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| SI-4: monitoraggio del sistema (definito da IRS) | Tutti i punti/portali di accesso a Internet devono acquisire e conservare, per almeno un anno, le informazioni sulle intestazioni del traffico in entrata e in uscita, con l'esclusione delle connessioni "anonime" a Internet approvate, che possono essere approvate dal CISO dell'agenzia. | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| SI-4: monitoraggio del sistema (definito da IRS) | Tutti i punti/portali di accesso a Internet devono acquisire e conservare, per almeno un anno, le informazioni sulle intestazioni del traffico in entrata e in uscita, con l'esclusione delle connessioni "anonime" a Internet approvate, che possono essere approvate dal CISO dell'agenzia. | La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti. | |
| SI-4: monitoraggio del sistema (definito da IRS) | Tutti i punti/portali di accesso a Internet devono acquisire e conservare, per almeno un anno, le informazioni sulle intestazioni del traffico in entrata e in uscita, con l'esclusione delle connessioni "anonime" a Internet approvate, che possono essere approvate dal CISO dell'agenzia. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| SI-4: monitoraggio del sistema (definito da IRS) | Tutti i punti/portali di accesso a Internet devono acquisire e conservare, per almeno un anno, le informazioni sulle intestazioni del traffico in entrata e in uscita, con l'esclusione delle connessioni "anonime" a Internet approvate, che possono essere approvate dal CISO dell'agenzia. | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| SI-4: monitoraggio del sistema (definito da IRS) | Tutti i punti/portali di accesso a Internet devono acquisire e conservare, per almeno un anno, le informazioni sulle intestazioni del traffico in entrata e in uscita, con l'esclusione delle connessioni "anonime" a Internet approvate, che possono essere approvate dal CISO dell'agenzia. | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei log. CloudTrail La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| SI-4: monitoraggio del sistema (definito da IRS) | Tutti i punti/portali di accesso a Internet devono acquisire e conservare, per almeno un anno, le informazioni sulle intestazioni del traffico in entrata e in uscita, con l'esclusione delle connessioni "anonime" a Internet approvate, che possono essere approvate dal CISO dell'agenzia. | Assicurati che i dati dei log degli eventi vengano mantenuti per una durata minima per i gruppi di log in modo da agevolare la risoluzione dei problemi e le indagini forensi. La mancata disponibilità dei dati dei log degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. | |
| SI-7: integrità del software, del firmware e delle informazioni | Utilizza strumenti di verifica dell'integrità per rilevare modifiche non autorizzate ai seguenti software, firmware e informazioni: kernel di sistema, driver, firmware (ad esempio BIOS, UEFI), software (ad esempio, sistema operativo, applicazioni, middleware) e attributi di sicurezza. | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| SI-7: integrità del software, del firmware e delle informazioni | Utilizza strumenti di verifica dell'integrità per rilevare modifiche non autorizzate ai seguenti software, firmware e informazioni: kernel di sistema, driver, firmware (ad esempio BIOS, UEFI), software (ad esempio, sistema operativo, applicazioni, middleware) e attributi di sicurezza. | L'abilitazione di questa regola facilita l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| SI-7: integrità del software, del firmware e delle informazioni | Utilizza strumenti di verifica dell'integrità per rilevare modifiche non autorizzate ai seguenti software, firmware e informazioni: kernel di sistema, driver, firmware (ad esempio BIOS, UEFI), software (ad esempio, sistema operativo, applicazioni, middleware) e attributi di sicurezza. | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei log. CloudTrail La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| SI-12: Gestione e conservazione delle informazioni | Gestisci e conserva le informazioni all'interno del sistema e le informazioni in uscita dal sistema conformemente a leggi, ordini esecutivi, direttive, regolamenti, policy, standard, linee guida e requisiti operativi applicabili. | La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot di archiviazione del volume dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| SI-12: Gestione e conservazione delle informazioni | Gestisci e conserva le informazioni all'interno del sistema e le informazioni in uscita dal sistema conformemente a leggi, ordini esecutivi, direttive, regolamenti, policy, standard, linee guida e requisiti operativi applicabili. | Per facilitare i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| SI-12: Gestione e conservazione delle informazioni | Gestisci e conserva le informazioni all'interno del sistema e le informazioni in uscita dal sistema conformemente a leggi, ordini esecutivi, direttive, regolamenti, policy, standard, linee guida e requisiti operativi applicabili. | Abilita questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella degli ultimi 35 giorni. | |
| SI-12: Gestione e conservazione delle informazioni | Gestisci e conserva le informazioni all'interno del sistema e le informazioni in uscita dal sistema conformemente a leggi, ordini esecutivi, direttive, regolamenti, policy, standard, linee guida e requisiti operativi applicabili. | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| SI-12: Gestione e conservazione delle informazioni | Gestisci e conserva le informazioni all'interno del sistema e le informazioni in uscita dal sistema conformemente a leggi, ordini esecutivi, direttive, regolamenti, policy, standard, linee guida e requisiti operativi applicabili. | Per facilitare i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| SI-12: Gestione e conservazione delle informazioni | Gestisci e conserva le informazioni all'interno del sistema e le informazioni in uscita dal sistema conformemente a leggi, ordini esecutivi, direttive, regolamenti, policy, standard, linee guida e requisiti operativi applicabili. | Per facilitare i processi di backup dei dati, assicurati che le risorse di Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| SI-12: Gestione e conservazione delle informazioni | Gestisci e conserva le informazioni all'interno del sistema e le informazioni in uscita dal sistema conformemente a leggi, ordini esecutivi, direttive, regolamenti, policy, standard, linee guida e requisiti operativi applicabili. | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon Elastic Compute Cloud (Amazon EC2) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| SI-12: Gestione e conservazione delle informazioni | Gestisci e conserva le informazioni all'interno del sistema e le informazioni in uscita dal sistema conformemente a leggi, ordini esecutivi, direttive, regolamenti, policy, standard, linee guida e requisiti operativi applicabili. | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| SI-12: Gestione e conservazione delle informazioni | Gestisci e conserva le informazioni all'interno del sistema e le informazioni in uscita dal sistema conformemente a leggi, ordini esecutivi, direttive, regolamenti, policy, standard, linee guida e requisiti operativi applicabili. | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| SI-12: Gestione e conservazione delle informazioni | Gestisci e conserva le informazioni all'interno del sistema e le informazioni in uscita dal sistema conformemente a leggi, ordini esecutivi, direttive, regolamenti, policy, standard, linee guida e requisiti operativi applicabili. | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere mantenuto per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
| SI-12: Gestione e conservazione delle informazioni | Gestisci e conserva le informazioni all'interno del sistema e le informazioni in uscita dal sistema conformemente a leggi, ordini esecutivi, direttive, regolamenti, policy, standard, linee guida e requisiti operativi applicabili. | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon FSx facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| SI-12: Gestione e conservazione delle informazioni | Gestisci e conserva le informazioni all'interno del sistema e le informazioni in uscita dal sistema conformemente a leggi, ordini esecutivi, direttive, regolamenti, policy, standard, linee guida e requisiti operativi applicabili. | Per facilitare i processi di backup dei dati, assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| SI-12: Gestione e conservazione delle informazioni | Gestisci e conserva le informazioni all'interno del sistema e le informazioni in uscita dal sistema conformemente a leggi, ordini esecutivi, direttive, regolamenti, policy, standard, linee guida e requisiti operativi applicabili. | Per facilitare i processi di backup dei dati, assicurati che le risorse di Amazon Relational Database Service (Amazon RDS) facciano parte di un AWS piano di backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| SI-12: Gestione e conservazione delle informazioni | Gestisci e conserva le informazioni all'interno del sistema e le informazioni in uscita dal sistema conformemente a leggi, ordini esecutivi, direttive, regolamenti, policy, standard, linee guida e requisiti operativi applicabili. | Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Amazon Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per ogni nodo di modifica dei dati o per qualsiasi evento che si verifica per primo. | |
| SI-12: Gestione e conservazione delle informazioni | Gestisci e conserva le informazioni all'interno del sistema e le informazioni in uscita dal sistema conformemente a leggi, ordini esecutivi, direttive, regolamenti, policy, standard, linee guida e requisiti operativi applicabili. | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon Aurora facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| SI-12: Gestione e conservazione delle informazioni | Gestisci e conserva le informazioni all'interno del sistema e le informazioni in uscita dal sistema conformemente a leggi, ordini esecutivi, direttive, regolamenti, policy, standard, linee guida e requisiti operativi applicabili. | Per facilitare i processi di backup dei dati, assicurati che il piano di AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Questa regola consente di impostare i parametri requiredFrequencyValue (Config default: 1), ( requiredRetentionDays Config default: 35) e ( requiredFrequencyUnit Config default: days). Il valore effettivo deve essere conforme ai requisiti dell'organizzazione. | |
| SI-12: Gestione e conservazione delle informazioni | Gestisci e conserva le informazioni all'interno del sistema e le informazioni in uscita dal sistema conformemente a leggi, ordini esecutivi, direttive, regolamenti, policy, standard, linee guida e requisiti operativi applicabili. | Assicurati che ai punti AWS di ripristino di Backup sia associata una policy basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. L'utilizzo di una policy basata sulle risorse che impedisca l'eliminazione dei punti di ripristino può aiutare a prevenire l'eliminazione accidentale o intenzionale. | |
| SI-12: Gestione e conservazione delle informazioni | Gestisci e conserva le informazioni all'interno del sistema e le informazioni in uscita dal sistema conformemente a leggi, ordini esecutivi, direttive, regolamenti, policy, standard, linee guida e requisiti operativi applicabili. | Per facilitare i processi di backup dei dati, assicurati che per i punti di ripristino di AWS Backup sia impostato un periodo minimo di conservazione. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Questa regola consente di impostare il parametro requiredRetentionDays (configurazione predefinita: 35). Il valore effettivo deve essere conforme ai requisiti dell'organizzazione. | |
| SI-12: Gestione e conservazione delle informazioni | Gestisci e conserva le informazioni all'interno del sistema e le informazioni in uscita dal sistema conformemente a leggi, ordini esecutivi, direttive, regolamenti, policy, standard, linee guida e requisiti operativi applicabili. | Assicurati che le policy del ciclo di vita Amazon S3 siano configurate per definire le operazioni che deve eseguire Amazon S3 durante il ciclo di vita di un oggetto, ad esempio la transizione di oggetti in un'altra classe di storage, la relativa archiviazione o l'eliminazione dopo un periodo di tempo specificato. | |
| SI-12: Gestione e conservazione delle informazioni | Gestisci e conserva le informazioni all'interno del sistema e le informazioni in uscita dal sistema conformemente a leggi, ordini esecutivi, direttive, regolamenti, policy, standard, linee guida e requisiti operativi applicabili. | Assicurati che le policy del ciclo di vita Amazon S3 siano configurate per definire le operazioni che deve eseguire Amazon S3 durante il ciclo di vita di un oggetto, ad esempio la transizione di oggetti in un'altra classe di storage, la relativa archiviazione o l'eliminazione dopo un periodo di tempo specificato. | |
| SI-12: Gestione e conservazione delle informazioni | Gestisci e conserva le informazioni all'interno del sistema e le informazioni in uscita dal sistema conformemente a leggi, ordini esecutivi, direttive, regolamenti, policy, standard, linee guida e requisiti operativi applicabili. | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti. | |
| SI-12: Gestione e conservazione delle informazioni | Gestisci e conserva le informazioni all'interno del sistema e le informazioni in uscita dal sistema conformemente a leggi, ordini esecutivi, direttive, regolamenti, policy, standard, linee guida e requisiti operativi applicabili. | Assicurati che il blocco sia abilitato, per impostazione predefinita, per il bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket S3, applica i blocchi degli oggetti a riposo per proteggere tali dati. |
Modello
Il modello è disponibile su GitHub: Operational Best Practices for IRS 1075
