Best practice operative per NERC CIP BCSI - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice operative per NERC CIP BCSI

I Conformance Pack forniscono un framework di conformità generico progettato per consentire di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando regole gestite o personalizzate e azioni correttive. AWS Config AWS Config I pacchetti di conformità, in quanto modelli di esempio, non sono pensati per garantire la piena conformità a uno specifico standard di governance o conformità. È tua responsabilità valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.

Di seguito viene fornito un esempio di mappatura tra gli standard di protezione delle infrastrutture critiche (NERC CIP) della North American Electric Reliability Corporation per BES Cyber System Information (BCSI), CIP-004-7 e CIP-011-3 e le regole gestite. AWS Config Ogni regola AWS Config si applica a una AWS risorsa specifica e si riferisce a uno o più controlli CIP NERC applicabili a BCSI. Un controllo NERC CIP può essere correlato a più regole Config. Consulta la tabella seguente per maggiori dettagli e indicazioni relativi a queste mappature.

ID controllo Descrizione del controllo AWS Config Regola Linea guida
CIP-004-7-R6-Parte 6.1 Ciascuna entità responsabile deve implementare uno o più programmi di gestione degli accessi documentati per autorizzare, verificare e revocare l'accesso fornito a BCSI relativo ai "Sistemi applicabili" identificati nel CIP-004-7 Tabella R6 – Access Management for BES Cyber System Information, che collettivamente includono ciascuna delle parti dei requisiti applicabili nel CIP-004-7 Tabella R6 – Access Management for BES Cyber System Information. Per essere considerato un accesso a BCSI nel contesto di questo requisito, un individuo ha la possibilità di ottenere e di utilizzare BCSI. L'accesso fornito deve essere considerato il risultato delle azioni specifiche intraprese per fornire a uno o più individui i mezzi per accedere a BCSI (ad esempio, può includere chiavi fisiche o carte di accesso, utenti e diritti e privilegi associati, chiavi di crittografia). Parte 6.1: Prima dell'assegnazione, autorizza (a meno che non lo sia già ai sensi della Parte 4.1.) in base alle necessità, come stabilito dall'Entità Responsabile, ad eccezione delle circostanze eccezionali del CIP: 6.1.1. Accesso elettronico assegnato al BCSI elettronico

opensearch-access-control-enabled

Assicurati che il controllo granulare degli accessi sia abilitato sui tuoi domini Amazon OpenSearch Service. Il controllo granulare degli accessi fornisce meccanismi di autorizzazione avanzati per ottenere l'accesso con i privilegi minimi ai domini Amazon. OpenSearch Consente il controllo degli accessi al dominio in base ai ruoli, nonché la sicurezza a livello di indice, documento e campo, il supporto per dashboard multi-tenancy e l'autenticazione di base HTTP per e Kibana. OpenSearch OpenSearch
CIP-004-7-R6-Parte 6.1 Ciascuna entità responsabile deve implementare uno o più programmi di gestione degli accessi documentati per autorizzare, verificare e revocare l'accesso fornito a BCSI relativo ai "Sistemi applicabili" identificati nel CIP-004-7 Tabella R6 – Access Management for BES Cyber System Information, che collettivamente includono ciascuna delle parti dei requisiti applicabili nel CIP-004-7 Tabella R6 – Access Management for BES Cyber System Information. Per essere considerato un accesso a BCSI nel contesto di questo requisito, un individuo ha la possibilità di ottenere e di utilizzare BCSI. L'accesso fornito deve essere considerato il risultato delle azioni specifiche intraprese per fornire a uno o più individui i mezzi per accedere a BCSI (ad esempio, può includere chiavi fisiche o carte di accesso, utenti e diritti e privilegi associati, chiavi di crittografia). Parte 6.1: Prima dell'assegnazione, autorizza (a meno che non lo sia già ai sensi della Parte 4.1.) in base alle necessità, come stabilito dall'Entità Responsabile, ad eccezione delle circostanze eccezionali del CIP: 6.1.1. Accesso elettronico assegnato al BCSI elettronico

emr-kerberos-enabled

I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
CIP-004-7-R6-Parte 6.1 Ciascuna entità responsabile deve implementare uno o più programmi di gestione degli accessi documentati per autorizzare, verificare e revocare l'accesso fornito a BCSI relativo ai "Sistemi applicabili" identificati nel CIP-004-7 Tabella R6 – Access Management for BES Cyber System Information, che collettivamente includono ciascuna delle parti dei requisiti applicabili nel CIP-004-7 Tabella R6 – Access Management for BES Cyber System Information. Per essere considerato un accesso a BCSI nel contesto di questo requisito, un individuo ha la possibilità di ottenere e di utilizzare BCSI. L'accesso fornito deve essere considerato il risultato delle azioni specifiche intraprese per fornire a uno o più individui i mezzi per accedere a BCSI (ad esempio, può includere chiavi fisiche o carte di accesso, utenti e diritti e privilegi associati, chiavi di crittografia). Parte 6.1: Prima dell'assegnazione, autorizza (a meno che non lo sia già ai sensi della Parte 4.1.) in base alle necessità, come stabilito dall'Entità Responsabile, ad eccezione delle circostanze eccezionali del CIP: 6.1.1. Accesso elettronico assegnato al BCSI elettronico

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base ai permessi associati o alla funzione lavorativa è un modo per incorporare il privilegio minimo.
CIP-004-7-R6-Parte 6.1 Ciascuna entità responsabile deve implementare uno o più programmi di gestione degli accessi documentati per autorizzare, verificare e revocare l'accesso fornito a BCSI relativo ai "Sistemi applicabili" identificati nel CIP-004-7 Tabella R6 – Access Management for BES Cyber System Information, che collettivamente includono ciascuna delle parti dei requisiti applicabili nel CIP-004-7 Tabella R6 – Access Management for BES Cyber System Information. Per essere considerato un accesso a BCSI nel contesto di questo requisito, un individuo ha la possibilità di ottenere e di utilizzare BCSI. L'accesso fornito deve essere considerato il risultato delle azioni specifiche intraprese per fornire a uno o più individui i mezzi per accedere a BCSI (ad esempio, può includere chiavi fisiche o carte di accesso, utenti e diritti e privilegi associati, chiavi di crittografia). Parte 6.1: Prima dell'assegnazione, autorizza (a meno che non lo sia già ai sensi della Parte 4.1.) in base alle necessità, come stabilito dall'Entità Responsabile, ad eccezione delle circostanze eccezionali del CIP: 6.1.1. Accesso elettronico assegnato al BCSI elettronico

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo che le policy contengano «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti.
CIP-004-7-R6-Parte 6.1 Ciascuna entità responsabile deve implementare uno o più programmi di gestione degli accessi documentati per autorizzare, verificare e revocare l'accesso fornito a BCSI relativo ai "Sistemi applicabili" identificati nel CIP-004-7 Tabella R6 – Access Management for BES Cyber System Information, che collettivamente includono ciascuna delle parti dei requisiti applicabili nel CIP-004-7 Tabella R6 – Access Management for BES Cyber System Information. Per essere considerato un accesso a BCSI nel contesto di questo requisito, un individuo ha la possibilità di ottenere e di utilizzare BCSI. L'accesso fornito deve essere considerato il risultato delle azioni specifiche intraprese per fornire a uno o più individui i mezzi per accedere a BCSI (ad esempio, può includere chiavi fisiche o carte di accesso, utenti e diritti e privilegi associati, chiavi di crittografia). Parte 6.1: Prima dell'assegnazione, autorizza (a meno che non lo sia già ai sensi della Parte 4.1.) in base alle necessità, come stabilito dall'Entità Responsabile, ad eccezione delle circostanze eccezionali del CIP: 6.1.1. Accesso elettronico assegnato al BCSI elettronico

iam-root-access-key-check

L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità.
CIP-004-7-R6-Parte 6.1 Ciascuna entità responsabile deve implementare uno o più programmi di gestione degli accessi documentati per autorizzare, verificare e revocare l'accesso fornito a BCSI relativo ai "Sistemi applicabili" identificati nel CIP-004-7 Tabella R6 – Access Management for BES Cyber System Information, che collettivamente includono ciascuna delle parti dei requisiti applicabili nel CIP-004-7 Tabella R6 – Access Management for BES Cyber System Information. Per essere considerato un accesso a BCSI nel contesto di questo requisito, un individuo ha la possibilità di ottenere e di utilizzare BCSI. L'accesso fornito deve essere considerato il risultato delle azioni specifiche intraprese per fornire a uno o più individui i mezzi per accedere a BCSI (ad esempio, può includere chiavi fisiche o carte di accesso, utenti e diritti e privilegi associati, chiavi di crittografia). Parte 6.1: Prima dell'assegnazione, autorizza (a meno che non lo sia già ai sensi della Parte 4.1.) in base alle necessità, come stabilito dall'Entità Responsabile, ad eccezione delle circostanze eccezionali del CIP: 6.1.1. Accesso elettronico assegnato al BCSI elettronico

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti.
CIP-004-7-R6-Parte 6.1 Ciascuna entità responsabile deve implementare uno o più programmi di gestione degli accessi documentati per autorizzare, verificare e revocare l'accesso fornito a BCSI relativo ai "Sistemi applicabili" identificati nel CIP-004-7 Tabella R6 – Access Management for BES Cyber System Information, che collettivamente includono ciascuna delle parti dei requisiti applicabili nel CIP-004-7 Tabella R6 – Access Management for BES Cyber System Information. Per essere considerato un accesso a BCSI nel contesto di questo requisito, un individuo ha la possibilità di ottenere e di utilizzare BCSI. L'accesso fornito deve essere considerato il risultato delle azioni specifiche intraprese per fornire a uno o più individui i mezzi per accedere a BCSI (ad esempio, può includere chiavi fisiche o carte di accesso, utenti e diritti e privilegi associati, chiavi di crittografia). Parte 6.1: Prima dell'assegnazione, autorizza (a meno che non lo sia già ai sensi della Parte 4.1.) in base alle necessità, come stabilito dall'Entità Responsabile, ad eccezione delle circostanze eccezionali del CIP: 6.1.1. Accesso elettronico assegnato al BCSI elettronico

iam-user-no-policies-check

Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi.
CIP-004-7-R6-Parte 6.1 Ciascuna entità responsabile deve implementare uno o più programmi di gestione degli accessi documentati per autorizzare, verificare e revocare l'accesso fornito a BCSI relativo ai "Sistemi applicabili" identificati nel CIP-004-7 Tabella R6 – Access Management for BES Cyber System Information, che collettivamente includono ciascuna delle parti dei requisiti applicabili nel CIP-004-7 Tabella R6 – Access Management for BES Cyber System Information. Per essere considerato un accesso a BCSI nel contesto di questo requisito, un individuo ha la possibilità di ottenere e di utilizzare BCSI. L'accesso fornito deve essere considerato il risultato delle azioni specifiche intraprese per fornire a uno o più individui i mezzi per accedere a BCSI (ad esempio, può includere chiavi fisiche o carte di accesso, utenti e diritti e privilegi associati, chiavi di crittografia). Parte 6.1: Prima dell'assegnazione, autorizza (a meno che non lo sia già ai sensi della Parte 4.1.) in base alle necessità, come stabilito dall'Entità Responsabile, ad eccezione delle circostanze eccezionali del CIP: 6.1.1. Accesso elettronico assegnato al BCSI elettronico

s3-bucket-public-read-prohibited

Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati.
CIP-004-7-R6-Parte 6.1 Ciascuna entità responsabile deve implementare uno o più programmi di gestione degli accessi documentati per autorizzare, verificare e revocare l'accesso fornito a BCSI relativo ai "Sistemi applicabili" identificati nel CIP-004-7 Tabella R6 – Access Management for BES Cyber System Information, che collettivamente includono ciascuna delle parti dei requisiti applicabili nel CIP-004-7 Tabella R6 – Access Management for BES Cyber System Information. Per essere considerato un accesso a BCSI nel contesto di questo requisito, un individuo ha la possibilità di ottenere e di utilizzare BCSI. L'accesso fornito deve essere considerato il risultato delle azioni specifiche intraprese per fornire a uno o più individui i mezzi per accedere a BCSI (ad esempio, può includere chiavi fisiche o carte di accesso, utenti e diritti e privilegi associati, chiavi di crittografia). Parte 6.1: Prima dell'assegnazione, autorizza (a meno che non lo sia già ai sensi della Parte 4.1.) in base alle necessità, come stabilito dall'Entità Responsabile, ad eccezione delle circostanze eccezionali del CIP: 6.1.1. Accesso elettronico assegnato al BCSI elettronico

s3-bucket-public-write-prohibited

Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati.
CIP-004-7-R6-Parte 6.1 Ciascuna entità responsabile deve implementare uno o più programmi di gestione degli accessi documentati per autorizzare, verificare e revocare l'accesso fornito a BCSI relativo ai "Sistemi applicabili" identificati nel CIP-004-7 Tabella R6 – Access Management for BES Cyber System Information, che collettivamente includono ciascuna delle parti dei requisiti applicabili nel CIP-004-7 Tabella R6 – Access Management for BES Cyber System Information. Per essere considerato un accesso a BCSI nel contesto di questo requisito, un individuo ha la possibilità di ottenere e di utilizzare BCSI. L'accesso fornito deve essere considerato il risultato delle azioni specifiche intraprese per fornire a uno o più individui i mezzi per accedere a BCSI (ad esempio, può includere chiavi fisiche o carte di accesso, utenti e diritti e privilegi associati, chiavi di crittografia). Parte 6.1: Prima dell'assegnazione, autorizza (a meno che non lo sia già ai sensi della Parte 4.1.) in base alle necessità, come stabilito dall'Entità Responsabile, ad eccezione delle circostanze eccezionali del CIP: 6.1.1. Accesso elettronico assegnato al BCSI elettronico

s3-bucket-policy-grantee-check

Gestisci l'accesso al AWS cloud abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 sia limitato dai AWS principali, dagli utenti federati, dai responsabili del servizio, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

dms-replication-not-public

Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

s3-account-level-public-access-blocks-periodic

Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

acm-certificate-expiration-check

Garantisci la protezione dell'integrità della rete assicurando che i certificati X509 vengano emessi da ACM. AWS Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore per daysToExpiration (valore AWS Foundational Security Best Practices: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

alb-http-drop-invalid-header-enabled

Assicurati che i tuoi Elastic Load Balancer (ELB) siano configurati per eliminare le intestazioni http. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

api-gw-cache-enabled-and-encrypted

Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per la cache della fase Gateway API. Per proteggere i dati sensibili che possono essere acquisiti per il metodo API, è necessario attivare la crittografia a riposo.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

cloud-trail-encryption-enabled

Poiché possono esistere dati sensibili e per contribuire a proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CloudTrail percorsi.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

cloudwatch-log-group-encrypted

Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi Amazon CloudWatch Log Groups.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

cmk-backing-key-rotation-enabled

Abilita la rotazione delle chiavi per garantire che vengano ruotate una volta terminato il loro periodo di crittografia.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

dynamodb-table-encrypted-kms

Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Data la possibile presenza di dati sensibili a riposo in queste tabelle, abilita la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con AWS una chiave master del cliente (CMK) di proprietà.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

ec2-ebs-encryption-by-default

Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

ecr-private-image-scanning-enabled

La scansione delle immagini di Amazon Elastic Container Repository (ECR) aiuta a identificare le vulnerabilità software nelle immagini dei container. L'abilitazione della scansione delle immagini sui repository ECR aggiunge un livello di verifica dell'integrità e della sicurezza delle immagini archiviate.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

ecr-private-tag-immutability-enabled

Abilita l'immutabilità dei tag di Elastic Container Repository (ECR) per evitare che i tag di immagine sulle immagini ECR vengano sovrascritti. In precedenza, i tag potevano essere sovrascritti, richiedendo metodologie manuali per identificare in modo univoco un'immagine.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

ecs-containers-readonly-access

L'abilitazione dell'accesso in sola lettura ai container Amazon Elastic Container Service (ECS) può aiutare a rispettare il principio del privilegio minimo. Questa opzione può ridurre i vettori di attacco poiché il file system dell'istanza di container non può essere modificato a meno che non disponga di autorizzazioni esplicite di lettura/scrittura.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

efs-encrypted-check

Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS).
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

elasticsearch-encrypted-at-rest

Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch OpenSearch Service (Service).
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

elasticsearch-node-to-node-encryption-check

Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

elb-acm-certificate-required

Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

elb-tls-https-listeners-only

Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

encrypted-volumes

Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS).
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

kinesis-stream-encrypted

Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i flussi di Amazon Kinesis.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

kms-cmk-not-scheduled-for-deletion

Per proteggere i dati archiviati, assicurati che non sia pianificata l'eliminazione delle chiavi master del cliente (CMK) necessarie nel AWS Key Management Service (KMS).AWS Poiché a volte l'eliminazione delle chiavi è necessaria, questa regola può aiutare a verificare tutte le chiavi per le quali è pianificata l'eliminazione, nel caso in cui una chiave sia stata pianificata in modo non intenzionale.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

opensearch-audit-logging-enabled

Assicurati che la registrazione di controllo sia abilitata sui tuoi domini Amazon OpenSearch Service. La registrazione di controllo ti consente di tenere traccia delle attività degli utenti sui tuoi OpenSearch domini, compresi i successi e gli errori di autenticazione, le richieste, le modifiche all'indicizzazione e le query di OpenSearch ricerca in arrivo.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

opensearch-encrypted-at-rest

Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

opensearch-https-required

Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon OpenSearch Service.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

opensearch-in-vpc-only

Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

opensearch-logs-to-cloudwatch

Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e per diagnosticare i problemi di disponibilità.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

opensearch-node-to-node-encryption-check

Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

rds-snapshot-encrypted

Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

rds-storage-encrypted

Per aiutare a proteggere i dati a riposo, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo nelle istanze Amazon RDS, abilita la crittografia a riposo per proteggere tali dati.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

redshift-audit-logging-enabled

Per acquisire informazioni sulle connessioni e sulle attività degli utenti nel tuo cluster Amazon Redshift, assicurati che la registrazione di log di audit sia abilitata.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

redshift-cluster-configuration-check

Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

s3-bucket-server-side-encryption-enabled

Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

s3-bucket-ssl-requests-only

Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

s3-default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

s3-event-notifications-enabled

Le notifiche degli eventi di Amazon S3 possono notificare al personale competente eventuali modifiche accidentali o intenzionali agli oggetti del bucket. Gli avvisi includono: creazione di un nuovo oggetto, rimozione di oggetti, ripristino di oggetti, oggetti persi e replicati.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

s3-lifecycle-policy-check

Assicurati che le policy del ciclo di vita Amazon S3 siano configurate per definire le operazioni che deve eseguire Amazon S3 durante il ciclo di vita di un oggetto, ad esempio la transizione di oggetti in un'altra classe di storage, la relativa archiviazione o l'eliminazione dopo un periodo di tempo specificato.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

sagemaker-endpoint-configuration-kms-key-configured

Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia a memoria inattiva per proteggere tali dati.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

sagemaker-notebook-instance-kms-key-configured

Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo SageMaker notebook. Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

sns-encrypted-kms

Per proteggere i dati archiviati, assicurati che gli argomenti di Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia AWS tramite Key Management Service AWS (KMS). Data la possibile presenza di dati sensibili a riposo nei messaggi pubblicati, abilita la crittografia a riposo per proteggere tali dati.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

rds-cluster-default-admin-check

Poiché i nomi utente predefiniti sono di dominio pubblico, la loro modifica può aiutare a ridurre la superficie di attacco dei cluster database Amazon Relational Database Service (Amazon RDS).
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

rds-instance-default-admin-check

Poiché i nomi utente predefiniti sono di dominio pubblico, la loro modifica può aiutare a ridurre la superficie di attacco per le istanze database Amazon Relational Database Service (Amazon RDS).
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

redshift-default-admin-check

Poiché i nomi utente predefiniti sono di dominio pubblico, la loro modifica può aiutare a ridurre la superficie di attacco dei cluster Amazon Redshift.
CIP-011-3-R1-Parte 1.2 Ciascuna entità responsabile deve implementare uno o più programmi documentati di protezione delle informazioni che includono collettivamente ciascuna delle parti dei requisiti applicabili nel CIP-011-3 Tabella R1 – Protezione delle informazioni. Parte 1.2: Metodi per proteggere e gestire in modo sicuro il BCSI per mitigare i rischi di compromissione della riservatezza.

s3-bucket-acl-prohibited

Questa regola verifica se le liste di controllo degli accessi (ACL) vengono utilizzate per il controllo degli accessi sui bucket Amazon S3. Gli ACL sono meccanismi di controllo degli accessi legacy per i bucket Amazon S3 AWS precedenti a Identity and Access Management (IAM). Invece delle ACL, è consigliabile utilizzare le policy IAM o le policy dei bucket S3 per gestire più facilmente l'accesso ai bucket S3.

Modello

Il modello è disponibile su GitHub: Operational Best Practices for NERC CIP BCSI.