Best practice operative per NIST 800-53 rev 5 - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice operative per NIST 800-53 rev 5

I Conformance Pack forniscono un framework di conformità generico progettato per consentire di creare controlli di governance relativi alla sicurezza, all'operatività o all'ottimizzazione dei costi utilizzando regole gestite o personalizzate e azioni correttive. AWS Config AWS Config I pacchetti di conformità, in quanto modelli di esempio, non sono pensati per garantire la piena conformità a uno specifico standard di governance o conformità. È tua responsabilità valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.

Di seguito viene fornito un esempio di mappatura tra l'NIST800-53 e le regole AWS Config gestite. Ogni regola Config si applica a una AWS risorsa specifica e si riferisce a uno o più NIST controlli 800-53. Un controllo NIST 800-53 può essere correlato a più regole Config. Consulta la tabella seguente per maggiori dettagli e indicazioni relativi a queste mappature.

ID controllo Descrizione del controllo AWS Regola di Config Linea guida
AC-2(4) Gestione degli account | Azioni di audit automatizzate

elasticsearch-logs-to-cloudwatch

Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e per diagnosticare i problemi di disponibilità.
AC-2(4) Gestione degli account | Azioni di audit automatizzate

multi-region-cloudtrail-enabled

AWS CloudTrail registra le azioni e le AWS chiamate della console di gestione. API È possibile identificare quali utenti e account hanno effettuato le chiamate AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di log da tutte le AWS regioni al tuo bucket S3 se MULTI _ _ _ _ REGION CLOUD TRAIL _ ENABLED è abilitato. Inoltre, all' AWS avvio di una nuova regione, CloudTrail creerà lo stesso percorso nella nuova regione. Di conseguenza, riceverai file di registro contenenti le API attività per la nuova regione senza intraprendere alcuna azione.
AC-2(4) Gestione degli account | Azioni di audit automatizzate

opensearch-logs-to-cloudwatch

Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità.
AC-2(4) Gestione degli account | Azioni di audit automatizzate

cloud-trail-cloud-watch-abilitati ai registri

Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle API chiamate all'interno del tuo Account AWS.
AC-2(4) Gestione degli account | Azioni di audit automatizzate

cloudtrail-enabled

AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni e le chiamate della Console AWS di gestione. API È possibile identificare gli utenti e chi Account AWS ha chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents.
AC-2(4) Gestione degli account | Azioni di audit automatizzate

cloudtrail-s3-dataevents-enabled

La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono Account AWS le informazioni relative all'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento.
AC-2(4) Gestione degli account | Azioni di audit automatizzate

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (RDSAmazon) sia abilitata. Con Amazon RDS Logging, puoi registrare eventi come connessioni, disconnessioni, query o tabelle interrogate.
AC-2(4) Gestione degli account | Azioni di audit automatizzate

redshift-cluster-configuration-check

Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default:TRUE) e ( loggingEnabled Config Default:). TRUE I valori effettivi devono riflettere le policy dell'organizzazione.
AC-2(4) Gestione degli account | Azioni di audit automatizzate

s3- bucket-logging-enabled

La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente.
AC-2(12) Gestione degli account | Monitoraggio degli account per uso atipico

guardduty-enabled-centralized

Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud.
AC-2 Gestione dell'account

iam-no-inline-policy-controlla

Assicurati che un utente, IAM ruolo o IAM gruppo di AWS Identity and Access Management (IAM) non disponga di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni.
AC-2 Gestione dell'account

iam-policy-no-statements-with-full-access

Assicurati che IAM le azioni siano limitate solo alle azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti.
AC-2 Gestione dell'account

iam-customer-policy-blocked-kms-azioni

AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi del servizio di gestione delle AWS chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle AWS migliori pratiche di sicurezza di base: kms: Decrypt,). kms: ReEncryptFrom I valori effettivi devono riflettere le policy dell'organizzazione.
AC-2 Gestione dell'account

iam-inline-policy-blocked-kms-azioni

Assicurati che un utente, IAM ruolo o IAM gruppo AWS Identity and Access Management (IAM) non disponga di una politica in linea per consentire azioni bloccate su tutte le chiavi del servizio di gestione delle AWS chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle AWS migliori pratiche di sicurezza di base: kms: Decrypt,). kms: ReEncryptFrom I valori effettivi devono riflettere le policy dell'organizzazione.
AC-2 Gestione dell'account

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti.
AC-2 Gestione dell'account

iam-user-group-membership-controlla

AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti.
AC-2 Gestione dell'account

iam-user-unused-credentials-controlla

AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando IAM le password e le chiavi di accesso che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione.
AC-3(15) Applicazione degli accessi | Controllo degli accessi discrezionale e obbligatorio

ec2-imdsv2-check

Assicurati che il metodo Instance Metadata Service versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud EC2 (Amazon). Il IMDSv2 metodo utilizza controlli basati sulla sessione. ConIMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze.
AC-3(15) Applicazione degli accessi | Controllo degli accessi discrezionale e obbligatorio

ec2- instance-profile-attached

EC2i profili di istanza passano un IAM ruolo a un'EC2istanza. L'associazione di un profilo dell'istanza alle istanze può facilitare la gestione delle autorizzazioni e del privilegio minimo.
AC-3(15) Applicazione degli accessi | Controllo degli accessi discrezionale e obbligatorio

ecs-containers-readonly-access

L'abilitazione dell'accesso in sola lettura ai contenitori Amazon Elastic Container Service (ECS) può aiutare a rispettare il principio del privilegio minimo. Questa opzione può ridurre i vettori di attacco poiché il file system dell'istanza di container non può essere modificato a meno che non disponga di autorizzazioni esplicite di lettura/scrittura.
AC-3(15) Applicazione degli accessi | Controllo degli accessi discrezionale e obbligatorio

ecs-task-definition-user-for-host-mode-check

Se una definizione di attività ha privilegi elevati, significa che il cliente ha scelto specificamente di accedere a tali configurazioni. Questo controllo verifica l'aumento imprevisto dei privilegi quando la rete host prevede una definizione di attività ma il cliente non ha scelto privilegi elevati.
AC-3(15) Applicazione degli accessi | Controllo degli accessi discrezionale e obbligatorio

iam-no-inline-policy-controlla

Assicurati che un utente, IAM ruolo o IAM gruppo di AWS Identity and Access Management (IAM) non disponga di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni.
AC-3(15) Applicazione degli accessi | Controllo degli accessi discrezionale e obbligatorio

iam-policy-no-statements-with-full-access

Assicurati che IAM le azioni siano limitate solo alle azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti.
AC-3(15) Applicazione degli accessi | Controllo degli accessi discrezionale e obbligatorio

access-keys-rotated

Le credenziali vengono verificate per i dispositivi, gli utenti e i processi autorizzati assicurando che le chiavi di IAM accesso vengano ruotate come specificato dalla politica organizzativa. La modifica delle chiavi di accesso a intervalli regolari è una best practice di sicurezza. Riduce il periodo di attività di una chiave di accesso e l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione delle chiavi di accesso (valore di configurazione predefinito: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione.
AC-3(15) Applicazione degli accessi | Controllo degli accessi discrezionale e obbligatorio

iam-customer-policy-blocked-kms-azioni

AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi del servizio di gestione delle AWS chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle AWS migliori pratiche di sicurezza di base: kms: Decrypt,). kms: ReEncryptFrom I valori effettivi devono riflettere le policy dell'organizzazione.
AC-3(15) Applicazione degli accessi | Controllo degli accessi discrezionale e obbligatorio

iam-inline-policy-blocked-kms-azioni

Assicurati che un utente, IAM ruolo o IAM gruppo AWS Identity and Access Management (IAM) non disponga di una politica in linea per consentire azioni bloccate su tutte le chiavi del servizio di gestione delle AWS chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle AWS migliori pratiche di sicurezza di base: kms: Decrypt,). kms: ReEncryptFrom I valori effettivi devono riflettere le policy dell'organizzazione.
AC-3(15) Applicazione degli accessi | Controllo degli accessi discrezionale e obbligatorio

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una politica organizzativa in materia di password. IAM Soddisfano o superano i requisiti indicati dallo standard NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per IAMPolitica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione.
AC-3(15) Applicazione degli accessi | Controllo degli accessi discrezionale e obbligatorio

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti.
AC-3(15) Applicazione degli accessi | Controllo degli accessi discrezionale e obbligatorio

iam-root-access-key-controlla

L'accesso ai sistemi e alle risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità.
AC-3(15) Applicazione degli accessi | Controllo degli accessi discrezionale e obbligatorio

iam-user-group-membership-controlla

AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti.
AC-3(15) Applicazione degli accessi | Controllo degli accessi discrezionale e obbligatorio

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel AWS cloud. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. MFAaggiunge un ulteriore livello di protezione alle credenziali di accesso. Riduci gli incidenti dovuti agli account compromessi richiedendo agli utenti. MFA
AC-3(15) Applicazione degli accessi | Controllo degli accessi discrezionale e obbligatorio

iam-user-unused-credentials-controlla

AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando IAM le password e le chiavi di accesso che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione.
AC-3(15) Applicazione degli accessi | Controllo degli accessi discrezionale e obbligatorio

mfa-enabled-for-iam-accesso alla console

Gestisci l'accesso alle risorse nel AWS Cloud assicurandoti che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFAaggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo MFA agli utenti, è possibile ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
AC-3(15) Applicazione degli accessi | Controllo degli accessi discrezionale e obbligatorio

root-account-hardware-mfa-abilitato

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'hardware MFA sia abilitato per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di compromissione. Account AWS
AC-3(15) Applicazione degli accessi | Controllo degli accessi discrezionale e obbligatorio

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che MFA sia abilitato per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di compromissione. Account AWS
AC-3(15) Applicazione degli accessi | Controllo degli accessi discrezionale e obbligatorio

secretsmanager-rotation-enabled-check

Questa regola garantisce che AWS i segreti di Secrets Manager abbiano la rotazione abilitata. La rotazione dei segreti secondo una pianificazione regolare può abbreviare il periodo di attività di un segreto e ridurre potenzialmente l'impatto aziendale in caso di compromissione del segreto.
AC-3 Applicazione degli accessi

autoscaling-launch-config-public-ip disabilitato

Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. EC2le risorse non devono essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso indesiderato alle applicazioni o ai server.
AC-3 Applicazione degli accessi

ec2-imdsv2-check

Assicurati che il metodo Instance Metadata Service versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud EC2 (Amazon). Il IMDSv2 metodo utilizza controlli basati sulla sessione. ConIMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze.
AC-3 Applicazione degli accessi

ec2- instance-profile-attached

EC2i profili di istanza passano un IAM ruolo a un'EC2istanza. L'associazione di un profilo dell'istanza alle istanze può facilitare la gestione delle autorizzazioni e del privilegio minimo.
AC-3 Applicazione degli accessi

ecs-containers-readonly-access

L'abilitazione dell'accesso in sola lettura ai contenitori Amazon Elastic Container Service (ECS) può aiutare a rispettare il principio del privilegio minimo. Questa opzione può ridurre i vettori di attacco poiché il file system dell'istanza di container non può essere modificato a meno che non disponga di autorizzazioni esplicite di lettura/scrittura.
AC-3 Applicazione degli accessi

ecs-task-definition-user-for-host-mode-check

Se una definizione di attività ha privilegi elevati, significa che il cliente ha scelto specificamente di accedere a tali configurazioni. Questo controllo verifica l'aumento imprevisto dei privilegi quando la rete host prevede una definizione di attività ma il cliente non ha scelto privilegi elevati.
AC-3 Applicazione degli accessi

iam-no-inline-policy-controlla

Assicurati che un utente, IAM ruolo o IAM gruppo di AWS Identity and Access Management (IAM) non disponga di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni.
AC-3 Applicazione degli accessi

iam-policy-no-statements-with-full-access

Assicurati che IAM le azioni siano limitate solo alle azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti.
AC-3 Applicazione degli accessi

ssm-document-not-public

Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso indesiderato ai tuoi SSM documenti. Un SSM documento pubblico può esporre informazioni sull'account, sulle risorse e sui processi interni.
AC-3 Applicazione degli accessi

dms-replication-not-public

Gestisci l'accesso al AWS cloud assicurando che le istanze di DMS replica non siano accessibili pubblicamente. DMSle istanze di replica possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
AC-3 Applicazione degli accessi

ebs-snapshot-public-restorable-controlla

Gestisci l'accesso al AWS cloud assicurando che le EBS istantanee non siano ripristinabili pubblicamente. EBSgli snapshot dei volumi possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
AC-3 Applicazione degli accessi

ec2- instance-no-public-ip

Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (AmazonEC2) non siano accessibili pubblicamente. EC2Le istanze Amazon possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
AC-3 Applicazione degli accessi

elasticsearch-in-vpc-only

Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (AmazonVPC). Un dominio di OpenSearch servizio all'interno VPC di Amazon consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un NAT dispositivo o una VPN connessione.
AC-3 Applicazione degli accessi

emr-master-no-public-ip

Gestisci l'accesso al AWS cloud assicurando che i nodi master EMR del cluster Amazon non siano accessibili pubblicamente. I nodi master EMR del cluster Amazon possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account.
AC-3 Applicazione degli accessi

iam-customer-policy-blocked-kms-azioni

AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi del servizio di gestione delle AWS chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle AWS migliori pratiche di sicurezza di base: kms: Decrypt,). kms: ReEncryptFrom I valori effettivi devono riflettere le policy dell'organizzazione.
AC-3 Applicazione degli accessi

iam-inline-policy-blocked-kms-azioni

Assicurati che un utente, IAM ruolo o IAM gruppo AWS Identity and Access Management (IAM) non disponga di una politica in linea per consentire azioni bloccate su tutte le chiavi del servizio di gestione delle AWS chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle AWS migliori pratiche di sicurezza di base: kms: Decrypt,). kms: ReEncryptFrom I valori effettivi devono riflettere le policy dell'organizzazione.
AC-3 Applicazione degli accessi

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti.
AC-3 Applicazione degli accessi

iam-user-group-membership-controlla

AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti.
AC-3 Applicazione degli accessi

iam-user-unused-credentials-controlla

AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando IAM le password e le chiavi di accesso che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione.
AC-3 Applicazione degli accessi

lambda-function-public-access-proibito

Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse.
AC-3 Applicazione degli accessi

lambda-inside-vpc

Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (VPCAmazon) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon. VPC Con questa configurazione, non è necessario un gateway Internet, un NAT dispositivo o VPN una connessione. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. A causa del loro isolamento logico, i domini che risiedono all'interno di Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un. VPC
AC-3 Applicazione degli accessi

opensearch-in-vpc-only

Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (AmazonVPC). Un dominio Amazon OpenSearch Service all'interno di Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un NAT dispositivo o una VPN connessione.
AC-3 Applicazione degli accessi

rds-instance-public-access-controlla

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (RDSAmazon) non siano pubbliche. Le istanze di RDS database Amazon possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi.
AC-3 Applicazione degli accessi

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (RDSAmazon) non siano pubbliche. Le istanze di RDS database Amazon possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi.
AC-3 Applicazione degli accessi

redshift-cluster-public-access-controlla

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi.
AC-3 Applicazione degli accessi

s3- -blocchi-periodici account-level-public-access

Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione.
AC-3 Applicazione degli accessi

bucket-level-public-accesss3- -proibito

Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
AC-3 Applicazione degli accessi

s3- bucket-public-read-prohibited

Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati.
AC-3 Applicazione degli accessi

s3- bucket-public-write-prohibited

Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati.
AC-3 Applicazione degli accessi

sagemaker-notebook-no-direct-accesso a Internet

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
AC-3 Applicazione degli accessi

subnet-auto-assign-public-IP disabilitato

Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato alla loro interfaccia di rete principale.
AC-4(26) Applicazione del flusso di informazioni | Azioni di filtraggio degli audit

elasticsearch-logs-to-cloudwatch

Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e per diagnosticare i problemi di disponibilità.
AC-4(26) Applicazione del flusso di informazioni | Azioni di filtraggio degli audit

multi-region-cloudtrail-enabled

AWS CloudTrail registra le azioni e le AWS chiamate della console di gestione. API È possibile identificare quali utenti e account hanno effettuato le chiamate AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di log da tutte le AWS regioni al tuo bucket S3 se MULTI _ _ _ _ REGION CLOUD TRAIL _ ENABLED è abilitato. Inoltre, all' AWS avvio di una nuova regione, CloudTrail creerà lo stesso percorso nella nuova regione. Di conseguenza, riceverai file di registro contenenti le API attività per la nuova regione senza intraprendere alcuna azione.
AC-4(26) Applicazione del flusso di informazioni | Azioni di filtraggio degli audit

opensearch-logs-to-cloudwatch

Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità.
AC-4(26) Applicazione del flusso di informazioni | Azioni di filtraggio degli audit

wafv2-logging-enabled

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilita AWS WAF (V2) la registrazione sul Web regionale e globale. ACLs AWS WAFla registrazione fornisce informazioni dettagliate sul traffico analizzato dal Web. ACL I registri registrano l'ora in cui è AWS WAF stata ricevuta la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta.
AC-4(26) Applicazione del flusso di informazioni | Azioni di filtraggio degli audit

api-gw-execution-logging-abilitato

APILa registrazione del gateway mostra viste dettagliate degli utenti che hanno effettuato l'accesso API e il modo in cui hanno effettuato l'accesso a. API Queste informazioni offrono visibilità sulle attività degli utenti.
AC-4(26) Applicazione del flusso di informazioni | Azioni di filtraggio degli audit

cloud-trail-cloud-watch-abilitato ai log

Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle API chiamate all'interno del tuo Account AWS.
AC-4(26) Applicazione del flusso di informazioni | Azioni di filtraggio degli audit

cloudtrail-enabled

AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni e le chiamate della Console AWS di gestione. API È possibile identificare gli utenti e chi Account AWS ha chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents.
AC-4(26) Applicazione del flusso di informazioni | Azioni di filtraggio degli audit

cloudtrail-s3-dataevents-enabled

La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono Account AWS le informazioni relative all'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento.
AC-4(26) Applicazione del flusso di informazioni | Azioni di filtraggio degli audit

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la ELB registrazione sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a. ELB Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
AC-4(26) Applicazione del flusso di informazioni | Azioni di filtraggio degli audit

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (RDSAmazon) sia abilitata. Con Amazon RDS Logging, puoi registrare eventi come connessioni, disconnessioni, query o tabelle interrogate.
AC-4(26) Applicazione del flusso di informazioni | Azioni di filtraggio degli audit

redshift-cluster-configuration-check

Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default:TRUE) e ( loggingEnabled Config Default:). TRUE I valori effettivi devono riflettere le policy dell'organizzazione.
AC-4(26) Applicazione del flusso di informazioni | Azioni di filtraggio degli audit

s3- bucket-logging-enabled

La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente.
AC-4(26) Applicazione del flusso di informazioni | Azioni di filtraggio degli audit

vpc-flow-logs-enabled

I log di VPC flusso forniscono registrazioni dettagliate per informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo Amazon Virtual Private Cloud (AmazonVPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
AC-5 Separazione dei compiti

ecs-containers-readonly-access

L'abilitazione dell'accesso in sola lettura ai contenitori Amazon Elastic Container Service (ECS) può aiutare a rispettare il principio del privilegio minimo. Questa opzione può ridurre i vettori di attacco poiché il file system dell'istanza di container non può essere modificato a meno che non disponga di autorizzazioni esplicite di lettura/scrittura.
AC-5 Separazione dei compiti

ecs-task-definition-user-for-host-mode-check

Se una definizione di attività ha privilegi elevati, significa che il cliente ha scelto specificamente di accedere a tali configurazioni. Questo controllo verifica l'aumento imprevisto dei privilegi quando la rete host prevede una definizione di attività ma il cliente non ha scelto privilegi elevati.
AC-5 Separazione dei compiti

iam-policy-no-statements-with-full-access

Assicurati che IAM le azioni siano limitate solo alle azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti.
AC-5 Separazione dei compiti

iam-customer-policy-blocked-kms-azioni

AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi del servizio di gestione delle AWS chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle AWS migliori pratiche di sicurezza di base: kms: Decrypt,). kms: ReEncryptFrom I valori effettivi devono riflettere le policy dell'organizzazione.
AC-5 Separazione dei compiti

iam-inline-policy-blocked-kms-azioni

Assicurati che un utente, IAM ruolo o IAM gruppo AWS Identity and Access Management (IAM) non disponga di una politica in linea per consentire azioni bloccate su tutte le chiavi del servizio di gestione delle AWS chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle AWS migliori pratiche di sicurezza di base: kms: Decrypt,). kms: ReEncryptFrom I valori effettivi devono riflettere le policy dell'organizzazione.
AC-5 Separazione dei compiti

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti.
AC-6(2) Privilegio minimo | Accesso senza privilegi per funzioni non legate alla sicurezza

iam-policy-no-statements-with-full-access

Assicurati che IAM le azioni siano limitate solo alle azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti.
AC-6(2) Privilegio minimo | Accesso senza privilegi per funzioni non legate alla sicurezza

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti.
AC-6(2) Privilegio minimo | Accesso senza privilegi per funzioni non legate alla sicurezza

iam-root-access-key-controlla

L'accesso ai sistemi e alle risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità.
AC-6(3) Privilegio minimo | Accesso alla rete per comandi con privilegi

iam-no-inline-policy-controlla

Assicurati che un utente, IAM ruolo o IAM gruppo di AWS Identity and Access Management (IAM) non disponga di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni.
AC-6(3) Privilegio minimo | Accesso alla rete per comandi con privilegi

iam-policy-no-statements-with-full-access

Assicurati che IAM le azioni siano limitate solo alle azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti.
AC-6(3) Privilegio minimo | Accesso alla rete per comandi con privilegi

iam-customer-policy-blocked-kms-azioni

AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi del servizio di gestione delle AWS chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle AWS migliori pratiche di sicurezza di base: kms: Decrypt,). kms: ReEncryptFrom I valori effettivi devono riflettere le policy dell'organizzazione.
AC-6(3) Privilegio minimo | Accesso alla rete per comandi con privilegi

iam-inline-policy-blocked-kms-azioni

Assicurati che un utente, IAM ruolo o IAM gruppo AWS Identity and Access Management (IAM) non disponga di una politica in linea per consentire azioni bloccate su tutte le chiavi del servizio di gestione delle AWS chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle AWS migliori pratiche di sicurezza di base: kms: Decrypt,). kms: ReEncryptFrom I valori effettivi devono riflettere le policy dell'organizzazione.
AC-6(3) Privilegio minimo | Accesso alla rete per comandi con privilegi

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti.
AC-6(3) Privilegio minimo | Accesso alla rete per comandi con privilegi

iam-user-group-membership-controlla

AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti.
AC-6(9) Privilegio minimo | Registrazione dell'utilizzo di funzioni con privilegi

elasticsearch-logs-to-cloudwatch

Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e per diagnosticare i problemi di disponibilità.
AC-6(9) Privilegio minimo | Registrazione dell'utilizzo di funzioni con privilegi

multi-region-cloudtrail-enabled

AWS CloudTrail registra le azioni e le AWS chiamate della console di gestione. API È possibile identificare quali utenti e account hanno effettuato le chiamate AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di log da tutte le AWS regioni al tuo bucket S3 se MULTI _ _ _ _ REGION CLOUD TRAIL _ ENABLED è abilitato. Inoltre, all' AWS avvio di una nuova regione, CloudTrail creerà lo stesso percorso nella nuova regione. Di conseguenza, riceverai file di registro contenenti le API attività per la nuova regione senza intraprendere alcuna azione.
AC-6(9) Privilegio minimo | Registrazione dell'utilizzo di funzioni con privilegi

opensearch-logs-to-cloudwatch

Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità.
AC-6(9) Privilegio minimo | Registrazione dell'utilizzo di funzioni con privilegi

cloud-trail-cloud-watch-abilitati ai registri

Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle API chiamate all'interno del tuo Account AWS.
AC-6(9) Privilegio minimo | Registrazione dell'utilizzo di funzioni con privilegi

cloudtrail-enabled

AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni e le chiamate della Console AWS di gestione. API È possibile identificare gli utenti e chi Account AWS ha chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents.
AC-6(9) Privilegio minimo | Registrazione dell'utilizzo di funzioni con privilegi

cloudtrail-s3-dataevents-enabled

La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono Account AWS le informazioni relative all'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento.
AC-6(9) Privilegio minimo | Registrazione dell'utilizzo di funzioni con privilegi

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (RDSAmazon) sia abilitata. Con Amazon RDS Logging, puoi registrare eventi come connessioni, disconnessioni, query o tabelle interrogate.
AC-6(9) Privilegio minimo | Registrazione dell'utilizzo di funzioni con privilegi

redshift-cluster-configuration-check

Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default:TRUE) e ( loggingEnabled Config Default:). TRUE I valori effettivi devono riflettere le policy dell'organizzazione.
AC-6(9) Privilegio minimo | Registrazione dell'utilizzo di funzioni con privilegi

s3- bucket-logging-enabled

La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente.
AC-6(10) Privilegio minimo | Divieto per gli utenti senza privilegi di eseguire funzioni con privilegi

iam-policy-no-statements-with-full-access

Assicurati che IAM le azioni siano limitate solo alle azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti.
AC-6(10) Privilegio minimo | Divieto per gli utenti senza privilegi di eseguire funzioni con privilegi

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarvi a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti.
AC-6(10) Privilegio minimo | Divieto per gli utenti senza privilegi di eseguire funzioni con privilegi

iam-root-access-key-controlla

L'accesso ai sistemi e alle risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità.
AC-17(2) Accesso remoto | Protezione della riservatezza e dell'integrità mediante crittografia

elbv2- acm-certificate-required

Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire TLS certificatiSSL/pubblici e privati con AWS servizi e risorse interne.
AC-17(2) Accesso remoto | Protezione della riservatezza e dell'integrità mediante crittografia

elb-tls-https-listeners-solo

Assicurati che i tuoi Elastic Load Balancers (ELBs) siano configurati con SSL i nostri listener. HTTPS Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
AC-17(2) Accesso remoto | Protezione della riservatezza e dell'integrità mediante crittografia

opensearch-https-required

Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon OpenSearch Service.
AC-17(2) Accesso remoto | Protezione della riservatezza e dell'integrità mediante crittografia

alb-http-to-https-controllo del reindirizzamento

Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste non crittografate a. HTTP HTTPS Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
AC-17(2) Accesso remoto | Protezione della riservatezza e dell'integrità mediante crittografia

api-gw-ssl-enabled

Assicurati che REST API le fasi di Amazon API Gateway siano configurate con SSL certificati per consentire ai sistemi di backend di autenticare che le richieste provengono da API Gateway.
AC-17(2) Accesso remoto | Protezione della riservatezza e dell'integrità mediante crittografia

elb-acm-certificate-required

Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire TLS certificatiSSL/pubblici e privati con AWS servizi e risorse interne.
AC-17(2) Accesso remoto | Protezione della riservatezza e dell'integrità mediante crittografia

s3- bucket-ssl-requests-only

Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste di utilizzo di Secure Socket Layer (). SSL Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
AC-21 Condivisione delle informazioni

autoscaling-launch-config-public-IP disabilitato

Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. EC2le risorse non devono essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso indesiderato alle applicazioni o ai server.
AC-21 Condivisione delle informazioni

ec2- instances-in-vpc

Implementa istanze Amazon Elastic Compute Cloud (AmazonEC2) all'interno di un Amazon Virtual Private Cloud (AmazonVPC) per consentire comunicazioni sicure tra un'istanza e altri servizi all'interno di AmazonVPC, senza richiedere un gateway Internet, un NAT dispositivo o una connessione. VPN Tutto il traffico rimane sicuro all'interno del cloud. AWS A causa del loro isolamento logico, i domini che risiedono all'interno di Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Assegna EC2 istanze Amazon a un Amazon per VPC gestire correttamente l'accesso.
AC-21 Condivisione delle informazioni

ssm-document-not-public

Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso indesiderato ai tuoi SSM documenti. Un SSM documento pubblico può esporre informazioni sull'account, sulle risorse e sui processi interni.
AC-21 Condivisione delle informazioni

dms-replication-not-public

Gestisci l'accesso al AWS cloud assicurando che le istanze di DMS replica non siano accessibili pubblicamente. DMSle istanze di replica possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
AC-21 Condivisione delle informazioni

ebs-snapshot-public-restorable-controlla

Gestisci l'accesso al AWS cloud assicurando che le EBS istantanee non siano ripristinabili pubblicamente. EBSgli snapshot dei volumi possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
AC-21 Condivisione delle informazioni

ec2- instance-no-public-ip

Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (AmazonEC2) non siano accessibili pubblicamente. EC2Le istanze Amazon possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
AC-21 Condivisione delle informazioni

elasticsearch-in-vpc-only

Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (AmazonVPC). Un dominio di OpenSearch servizio all'interno VPC di Amazon consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un NAT dispositivo o una VPN connessione.
AC-21 Condivisione delle informazioni

emr-master-no-public-ip

Gestisci l'accesso al AWS cloud assicurando che i nodi master EMR del cluster Amazon non siano accessibili pubblicamente. I nodi master EMR del cluster Amazon possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account.
AC-21 Condivisione delle informazioni

lambda-function-public-access-proibito

Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse.
AC-21 Condivisione delle informazioni

lambda-inside-vpc

Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (VPCAmazon) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon. VPC Con questa configurazione, non è necessario un gateway Internet, un NAT dispositivo o VPN una connessione. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. A causa del loro isolamento logico, i domini che risiedono all'interno di Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un. VPC
AC-21 Condivisione delle informazioni

opensearch-in-vpc-only

Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (AmazonVPC). Un dominio Amazon OpenSearch Service all'interno di Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un NAT dispositivo o una VPN connessione.
AC-21 Condivisione delle informazioni

rds-instance-public-access-controlla

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (RDSAmazon) non siano pubbliche. Le istanze di RDS database Amazon possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi.
AC-21 Condivisione delle informazioni

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (RDSAmazon) non siano pubbliche. Le istanze di RDS database Amazon possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi.
AC-21 Condivisione delle informazioni

redshift-cluster-public-access-controlla

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi.
AC-21 Condivisione delle informazioni

s3- -blocchi-periodici account-level-public-access

Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione.
AC-21 Condivisione delle informazioni

bucket-level-public-accesss3- -proibito

Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
AC-21 Condivisione delle informazioni

s3- bucket-public-read-prohibited

Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati.
AC-21 Condivisione delle informazioni

s3- bucket-public-write-prohibited

Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati.
AC-21 Condivisione delle informazioni

sagemaker-notebook-no-direct-accesso a Internet

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
AC-21 Condivisione delle informazioni

subnet-auto-assign-public-IP disabilitato

Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato alla loro interfaccia di rete principale.
AU-2 Registrazione degli eventi

elasticsearch-logs-to-cloudwatch

Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e per diagnosticare i problemi di disponibilità.
AU-2 Registrazione degli eventi

multi-region-cloudtrail-enabled

AWS CloudTrail registra le azioni e le AWS chiamate della console di gestione. API È possibile identificare quali utenti e account hanno effettuato le chiamate AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di log da tutte le AWS regioni al tuo bucket S3 se MULTI _ _ _ _ REGION CLOUD TRAIL _ ENABLED è abilitato. Inoltre, all' AWS avvio di una nuova regione, CloudTrail creerà lo stesso percorso nella nuova regione. Di conseguenza, riceverai file di registro contenenti le API attività per la nuova regione senza intraprendere alcuna azione.
AU-2 Registrazione degli eventi

opensearch-logs-to-cloudwatch

Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità.
AU-2 Registrazione degli eventi

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (RDSAmazon) sia abilitata. Con Amazon RDS Logging, puoi registrare eventi come connessioni, disconnessioni, query o tabelle interrogate.
AU-2 Registrazione degli eventi

wafv2-logging-enabled

Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sul Web regionale e globale. ACLs AWS WAFla registrazione fornisce informazioni dettagliate sul traffico analizzato dal Web. ACL I registri registrano l'ora in cui è AWS WAF stata ricevuta la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta.
AU-2 Registrazione degli eventi

api-gw-execution-logging-abilitato

APILa registrazione del gateway mostra viste dettagliate degli utenti che hanno effettuato l'accesso API e il modo in cui hanno effettuato l'accesso a. API Queste informazioni offrono visibilità sulle attività degli utenti.
AU-2 Registrazione degli eventi

cloud-trail-cloud-watch-abilitato ai log

Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle API chiamate all'interno del tuo Account AWS.
AU-2 Registrazione degli eventi

cloudtrail-enabled

AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni e le chiamate della Console AWS di gestione. API È possibile identificare gli utenti e chi Account AWS ha chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents.
AU-2 Registrazione degli eventi

cloudtrail-s3-dataevents-enabled

La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono Account AWS le informazioni relative all'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento.
AU-2 Registrazione degli eventi

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la ELB registrazione sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a. ELB Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
AU-2 Registrazione degli eventi

redshift-cluster-configuration-check

Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default:TRUE) e ( loggingEnabled Config Default:). TRUE I valori effettivi devono riflettere le policy dell'organizzazione.
AU-2 Registrazione degli eventi

s3- bucket-logging-enabled

La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente.
AU-2 Registrazione degli eventi

vpc-flow-logs-enabled

I log di VPC flusso forniscono registrazioni dettagliate per informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo Amazon Virtual Private Cloud (AmazonVPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
AU-3 Contenuto dei record di audit

elasticsearch-logs-to-cloudwatch

Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e per diagnosticare i problemi di disponibilità.
AU-3 Contenuto dei record di audit

multi-region-cloudtrail-enabled

AWS CloudTrail registra le azioni e le AWS chiamate della console di gestione. API È possibile identificare quali utenti e account hanno effettuato le chiamate AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di log da tutte le AWS regioni al tuo bucket S3 se MULTI _ _ _ _ REGION CLOUD TRAIL _ ENABLED è abilitato. Inoltre, all' AWS avvio di una nuova regione, CloudTrail creerà lo stesso percorso nella nuova regione. Di conseguenza, riceverai file di registro contenenti le API attività per la nuova regione senza intraprendere alcuna azione.
AU-3 Contenuto dei record di audit

opensearch-logs-to-cloudwatch

Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità.
AU-3 Contenuto dei record di audit

wafv2-logging-enabled

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilita AWS WAF (V2) la registrazione sul Web regionale e globale. ACLs AWS WAFla registrazione fornisce informazioni dettagliate sul traffico analizzato dal Web. ACL I registri registrano l'ora in cui è AWS WAF stata ricevuta la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta.
AU-3 Contenuto dei record di audit

api-gw-execution-logging-abilitato

APILa registrazione del gateway mostra viste dettagliate degli utenti che hanno effettuato l'accesso API e il modo in cui hanno effettuato l'accesso a. API Queste informazioni offrono visibilità sulle attività degli utenti.
AU-3 Contenuto dei record di audit

cloud-trail-cloud-watch-abilitato ai log

Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle API chiamate all'interno del tuo Account AWS.
AU-3 Contenuto dei record di audit

cloudtrail-enabled

AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni e le chiamate della Console AWS di gestione. API È possibile identificare gli utenti e chi Account AWS ha chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents.
AU-3 Contenuto dei record di audit

cloudtrail-s3-dataevents-enabled

La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono Account AWS le informazioni relative all'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento.
AU-3 Contenuto dei record di audit

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la ELB registrazione sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a. ELB Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
AU-3 Contenuto dei record di audit

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (RDSAmazon) sia abilitata. Con Amazon RDS Logging, puoi registrare eventi come connessioni, disconnessioni, query o tabelle interrogate.
AU-3 Contenuto dei record di audit

redshift-cluster-configuration-check

Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default:TRUE) e ( loggingEnabled Config Default:). TRUE I valori effettivi devono riflettere le policy dell'organizzazione.
AU-3 Contenuto dei record di audit

s3- bucket-logging-enabled

La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente.
AU-3 Contenuto dei record di audit

vpc-flow-logs-enabled

I log di VPC flusso forniscono registrazioni dettagliate per informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo Amazon Virtual Private Cloud (AmazonVPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
AU-6(1) Revisione, analisi e reportistica dei record di audit | Integrazione automatizzata dei processi

cloud-trail-cloud-watch-abilitati ai log

Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle API chiamate all'interno del tuo Account AWS.
AU-6(1) Revisione, analisi e reportistica dei record di audit | Integrazione automatizzata dei processi

guardduty-enabled-centralized

Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud.
AU-6(1) Revisione, analisi e reportistica dei record di audit | Integrazione automatizzata dei processi

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management IAM () Access Analyzer e Firewall AWS Manager e soluzioni Partner. AWS
AU-6(1) Revisione, analisi e reportistica dei record di audit | Integrazione automatizzata dei processi

cloudwatch-alarm-action-check

Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente.
AU-6(3) Revisione, analisi e reportistica dei record di audit | Correlazione dei repository dei record di audit

elasticsearch-logs-to-cloudwatch

Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e per diagnosticare i problemi di disponibilità.
AU-6(3) Revisione, analisi e reportistica dei record di audit | Correlazione dei repository dei record di audit

multi-region-cloudtrail-enabled

AWS CloudTrail registra le azioni e le AWS chiamate della console di gestione. API È possibile identificare quali utenti e account hanno effettuato le chiamate AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di log da tutte le AWS regioni al tuo bucket S3 se MULTI _ _ _ _ REGION CLOUD TRAIL _ ENABLED è abilitato. Inoltre, all' AWS avvio di una nuova regione, CloudTrail creerà lo stesso percorso nella nuova regione. Di conseguenza, riceverai file di registro contenenti le API attività per la nuova regione senza intraprendere alcuna azione.
AU-6(3) Revisione, analisi e reportistica dei record di audit | Correlazione dei repository dei record di audit

opensearch-logs-to-cloudwatch

Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità.
AU-6(3) Revisione, analisi e reportistica dei record di audit | Correlazione dei repository dei record di audit

wafv2-logging-enabled

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilita AWS WAF (V2) la registrazione sul Web regionale e globale. ACLs AWS WAFla registrazione fornisce informazioni dettagliate sul traffico analizzato dal Web. ACL I registri registrano l'ora in cui è AWS WAF stata ricevuta la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta.
AU-6(3) Revisione, analisi e reportistica dei record di audit | Correlazione dei repository dei record di audit

api-gw-execution-logging-abilitato

APILa registrazione del gateway mostra viste dettagliate degli utenti che hanno effettuato l'accesso API e il modo in cui hanno effettuato l'accesso a. API Queste informazioni offrono visibilità sulle attività degli utenti.
AU-6(3) Revisione, analisi e reportistica dei record di audit | Correlazione dei repository dei record di audit

cloud-trail-cloud-watch-abilitato ai log

Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle API chiamate all'interno del tuo Account AWS.
AU-6(3) Revisione, analisi e reportistica dei record di audit | Correlazione dei repository dei record di audit

cloudtrail-enabled

AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni e le chiamate della Console AWS di gestione. API È possibile identificare gli utenti e chi Account AWS ha chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents.
AU-6(3) Revisione, analisi e reportistica dei record di audit | Correlazione dei repository dei record di audit

cloudtrail-s3-dataevents-enabled

La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono Account AWS le informazioni relative all'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento.
AU-6(3) Revisione, analisi e reportistica dei record di audit | Correlazione dei repository dei record di audit

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la ELB registrazione sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a. ELB Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
AU-6(3) Revisione, analisi e reportistica dei record di audit | Correlazione dei repository dei record di audit

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (RDSAmazon) sia abilitata. Con Amazon RDS Logging, puoi registrare eventi come connessioni, disconnessioni, query o tabelle interrogate.
AU-6(3) Revisione, analisi e reportistica dei record di audit | Correlazione dei repository dei record di audit

redshift-cluster-configuration-check

Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default:TRUE) e ( loggingEnabled Config Default:). TRUE I valori effettivi devono riflettere le policy dell'organizzazione.
AU-6(3) Revisione, analisi e reportistica dei record di audit | Correlazione dei repository dei record di audit

s3- bucket-logging-enabled

La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente.
AU-6(3) Revisione, analisi e reportistica dei record di audit | Correlazione dei repository dei record di audit

vpc-flow-logs-enabled

I log di VPC flusso forniscono registrazioni dettagliate per informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo Amazon Virtual Private Cloud (AmazonVPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
AU-6(4) Revisione, analisi e reportistica dei record di audit | Revisione e analisi centralizzate

elasticsearch-logs-to-cloudwatch

Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e per diagnosticare i problemi di disponibilità.
AU-6(4) Revisione, analisi e reportistica dei record di audit | Revisione e analisi centralizzate

multi-region-cloudtrail-enabled

AWS CloudTrail registra le azioni e le AWS chiamate della console di gestione. API È possibile identificare quali utenti e account hanno effettuato le chiamate AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di log da tutte le AWS regioni al tuo bucket S3 se MULTI _ _ _ _ REGION CLOUD TRAIL _ ENABLED è abilitato. Inoltre, all' AWS avvio di una nuova regione, CloudTrail creerà lo stesso percorso nella nuova regione. Di conseguenza, riceverai file di registro contenenti le API attività per la nuova regione senza intraprendere alcuna azione.
AU-6(4) Revisione, analisi e reportistica dei record di audit | Revisione e analisi centralizzate

opensearch-logs-to-cloudwatch

Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità.
AU-6(4) Revisione, analisi e reportistica dei record di audit | Revisione e analisi centralizzate

wafv2-logging-enabled

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilita AWS WAF (V2) la registrazione sul Web regionale e globale. ACLs AWS WAFla registrazione fornisce informazioni dettagliate sul traffico analizzato dal Web. ACL I registri registrano l'ora in cui è AWS WAF stata ricevuta la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta.
AU-6(4) Revisione, analisi e reportistica dei record di audit | Revisione e analisi centralizzate

api-gw-execution-logging-abilitato

APILa registrazione del gateway mostra viste dettagliate degli utenti che hanno effettuato l'accesso API e il modo in cui hanno effettuato l'accesso a. API Queste informazioni offrono visibilità sulle attività degli utenti.
AU-6(4) Revisione, analisi e reportistica dei record di audit | Revisione e analisi centralizzate

cloud-trail-cloud-watch-abilitato ai log

Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle API chiamate all'interno del tuo Account AWS.
AU-6(4) Revisione, analisi e reportistica dei record di audit | Revisione e analisi centralizzate

cloudtrail-enabled

AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni e le chiamate della Console AWS di gestione. API È possibile identificare gli utenti e chi Account AWS ha chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents.
AU-6(4) Revisione, analisi e reportistica dei record di audit | Revisione e analisi centralizzate

cloudtrail-s3-dataevents-enabled

La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono Account AWS le informazioni relative all'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento.
AU-6(4) Revisione, analisi e reportistica dei record di audit | Revisione e analisi centralizzate

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la ELB registrazione sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a. ELB Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
AU-6(4) Revisione, analisi e reportistica dei record di audit | Revisione e analisi centralizzate

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (RDSAmazon) sia abilitata. Con Amazon RDS Logging, puoi registrare eventi come connessioni, disconnessioni, query o tabelle interrogate.
AU-6(4) Revisione, analisi e reportistica dei record di audit | Revisione e analisi centralizzate

redshift-cluster-configuration-check

Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default:TRUE) e ( loggingEnabled Config Default:). TRUE I valori effettivi devono riflettere le policy dell'organizzazione.
AU-6(4) Revisione, analisi e reportistica dei record di audit | Revisione e analisi centralizzate

s3- bucket-logging-enabled

La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente.
AU-6(4) Revisione, analisi e reportistica dei record di audit | Revisione e analisi centralizzate

vpc-flow-logs-enabled

I log di VPC flusso forniscono registrazioni dettagliate per informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo Amazon Virtual Private Cloud (AmazonVPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
AU-6(5) Revisione, analisi e reportistica dei record di audit | Analisi integrata dei record di audit

cloud-trail-cloud-watch-abilitati ai log

Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle API chiamate all'interno del tuo Account AWS.
AU-6(5) Revisione, analisi e reportistica dei record di audit | Analisi integrata dei record di audit

guardduty-enabled-centralized

Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud.
AU-6(5) Revisione, analisi e reportistica dei record di audit | Analisi integrata dei record di audit

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management IAM () Access Analyzer e Firewall AWS Manager e soluzioni Partner. AWS
AU-6(5) Revisione, analisi e reportistica dei record di audit | Analisi integrata dei record di audit

cloudwatch-alarm-action-check

Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente.
AU-7(1) Riduzione dei record di audit e generazione di report | Elaborazione automatica

cloud-trail-cloud-watch-abilitato ai registri

Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle API chiamate all'interno del tuo Account AWS.
AU-9(2) Protezione delle informazioni di audit | Archiviazione su sistemi o componenti fisici separati

s-3 version-lifecycle-policy-check

Assicurati che le policy del ciclo di vita Amazon S3 siano configurate per definire le operazioni che deve eseguire Amazon S3 durante il ciclo di vita di un oggetto, ad esempio la transizione di oggetti in un'altra classe di storage, la relativa archiviazione o l'eliminazione dopo un periodo di tempo specificato.
AU-9(2) Protezione delle informazioni di audit | Archiviazione su sistemi o componenti fisici separati

s3- bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication CRR () supporta il mantenimento di capacità e disponibilità adeguate. CRRconsente la copia automatica e asincrona degli oggetti tra i bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
AU-9(2) Protezione delle informazioni di audit | Archiviazione su sistemi o componenti fisici separati

s3- bucket-versioning-enabled

Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti.
AU-9(7) Protezione delle informazioni di audit | Archiviazione su un componente con sistema operativo diverso

cloud-trail-cloud-watch-abilitato ai log

Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle API chiamate all'interno del tuo Account AWS.
AU-9 Protezione delle informazioni di audit

s-3 default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati.
AU-9 Protezione delle informazioni di audit

cloudtrail-enabled

AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni e le chiamate della Console di AWS gestione. API È possibile identificare gli utenti e chi Account AWS ha chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents.
AU-9 Protezione delle informazioni di audit

cloud-trail-encryption-enabled

Poiché possono esistere dati sensibili e per contribuire a proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CloudTrail percorsi.
AU-9 Protezione delle informazioni di audit

cloud-trail-log-file-abilitato alla convalida

Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei log. CloudTrail La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa funzionalità è creata utilizzando algoritmi standard del settore: SHA -256 per l'hashing e SHA -256 per la firma digitale. RSA Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail
AU-9 Protezione delle informazioni di audit

abilitato a s3 bucket-server-side-encryption

Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati.
AU-10 Non ripudio

elasticsearch-logs-to-cloudwatch

Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e per diagnosticare i problemi di disponibilità.
AU-10 Non ripudio

multi-region-cloudtrail-enabled

AWS CloudTrail registra le azioni e le AWS chiamate della console di gestione. API È possibile identificare quali utenti e account hanno effettuato le chiamate AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di log da tutte le AWS regioni al tuo bucket S3 se MULTI _ _ _ _ REGION CLOUD TRAIL _ ENABLED è abilitato. Inoltre, all' AWS avvio di una nuova regione, CloudTrail creerà lo stesso percorso nella nuova regione. Di conseguenza, riceverai file di registro contenenti le API attività per la nuova regione senza intraprendere alcuna azione.
AU-10 Non ripudio

opensearch-logs-to-cloudwatch

Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità.
AU-10 Non ripudio

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (RDSAmazon) sia abilitata. Con Amazon RDS Logging, puoi registrare eventi come connessioni, disconnessioni, query o tabelle interrogate.
AU-10 Non ripudio

wafv2-logging-enabled

Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sul Web regionale e globale. ACLs AWS WAFla registrazione fornisce informazioni dettagliate sul traffico analizzato dal Web. ACL I registri registrano l'ora in cui è AWS WAF stata ricevuta la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta.
AU-10 Non ripudio

api-gw-execution-logging-abilitato

APILa registrazione del gateway mostra viste dettagliate degli utenti che hanno effettuato l'accesso API e il modo in cui hanno effettuato l'accesso a. API Queste informazioni offrono visibilità sulle attività degli utenti.
AU-10 Non ripudio

cloud-trail-cloud-watch-abilitato ai log

Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle API chiamate all'interno del tuo Account AWS.
AU-10 Non ripudio

cloudtrail-enabled

AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni e le chiamate della Console AWS di gestione. API È possibile identificare gli utenti e chi Account AWS ha chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents.
AU-10 Non ripudio

cloudtrail-s3-dataevents-enabled

La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono Account AWS le informazioni relative all'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento.
AU-10 Non ripudio

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la ELB registrazione sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a. ELB Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
AU-10 Non ripudio

redshift-cluster-configuration-check

Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default:TRUE) e ( loggingEnabled Config Default:). TRUE I valori effettivi devono riflettere le policy dell'organizzazione.
AU-10 Non ripudio

s3- bucket-logging-enabled

La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente.
AU-12 Generazione di record di audit

elasticsearch-logs-to-cloudwatch

Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e per diagnosticare i problemi di disponibilità.
AU-12 Generazione di record di audit

multi-region-cloudtrail-enabled

AWS CloudTrail registra le azioni e le AWS chiamate della console di gestione. API È possibile identificare quali utenti e account hanno effettuato le chiamate AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di log da tutte le AWS regioni al tuo bucket S3 se MULTI _ _ _ _ REGION CLOUD TRAIL _ ENABLED è abilitato. Inoltre, all' AWS avvio di una nuova regione, CloudTrail creerà lo stesso percorso nella nuova regione. Di conseguenza, riceverai file di registro contenenti le API attività per la nuova regione senza intraprendere alcuna azione.
AU-12 Generazione di record di audit

opensearch-logs-to-cloudwatch

Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità.
AU-12 Generazione di record di audit

wafv2-logging-enabled

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilita AWS WAF (V2) la registrazione sul Web regionale e globale. ACLs AWS WAFla registrazione fornisce informazioni dettagliate sul traffico analizzato dal Web. ACL I registri registrano l'ora in cui è AWS WAF stata ricevuta la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta.
AU-12 Generazione di record di audit

api-gw-execution-logging-abilitato

APILa registrazione del gateway mostra viste dettagliate degli utenti che hanno effettuato l'accesso API e il modo in cui hanno effettuato l'accesso a. API Queste informazioni offrono visibilità sulle attività degli utenti.
AU-12 Generazione di record di audit

cloud-trail-cloud-watch-abilitato ai log

Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle API chiamate all'interno del tuo Account AWS.
AU-12 Generazione di record di audit

cloudtrail-enabled

AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni e le chiamate della Console AWS di gestione. API È possibile identificare gli utenti e chi Account AWS ha chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents.
AU-12 Generazione di record di audit

cloudtrail-s3-dataevents-enabled

La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono Account AWS le informazioni relative all'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento.
AU-12 Generazione di record di audit

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la ELB registrazione sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a. ELB Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
AU-12 Generazione di record di audit

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (RDSAmazon) sia abilitata. Con Amazon RDS Logging, puoi registrare eventi come connessioni, disconnessioni, query o tabelle interrogate.
AU-12 Generazione di record di audit

redshift-cluster-configuration-check

Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default:TRUE) e ( loggingEnabled Config Default:). TRUE I valori effettivi devono riflettere le policy dell'organizzazione.
AU-12 Generazione di record di audit

s3- bucket-logging-enabled

La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente.
AU-12 Generazione di record di audit

vpc-flow-logs-enabled

I log di VPC flusso forniscono registrazioni dettagliate per informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo Amazon Virtual Private Cloud (AmazonVPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
AU-14(1) Audit della sessione | Avvio del sistema

cloudtrail-enabled

AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni e le chiamate della Console di gestione AWS . API È possibile identificare gli utenti e chi Account AWS ha chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents.
CA-7 Monitoraggio continuo

elasticsearch-logs-to-cloudwatch

Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e per diagnosticare i problemi di disponibilità.
CA-7 Monitoraggio continuo

lambda-dlq-check

Abilita questa regola per informare il personale appropriato tramite Amazon Simple Queue Service (AmazonSQS) o Amazon Simple Notification Service (AmazonSNS) quando una funzione non funziona.
CA-7 Monitoraggio continuo

multi-region-cloudtrail-enabled

AWS CloudTrail registra le azioni e le API chiamate della Console di AWS gestione. È possibile identificare quali utenti e account hanno effettuato le chiamate AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di log da tutte le AWS regioni al tuo bucket S3 se MULTI _ _ _ _ REGION CLOUD TRAIL _ ENABLED è abilitato. Inoltre, all' AWS avvio di una nuova regione, CloudTrail creerà lo stesso percorso nella nuova regione. Di conseguenza, riceverai file di registro contenenti le API attività per la nuova regione senza intraprendere alcuna azione.
CA-7 Monitoraggio continuo

opensearch-logs-to-cloudwatch

Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità.
CA-7 Monitoraggio continuo

rds-enhanced-monitoring-enabled

Abilita Amazon Relational Database Service (RDSAmazon) per monitorare la disponibilità di RDS Amazon. Ciò fornisce una visibilità dettagliata sullo stato delle istanze di RDS database Amazon. Quando lo RDS storage Amazon utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ogni dispositivo. Inoltre, quando l'istanza del RDS database Amazon è in esecuzione in una distribuzione Multi-AZ, vengono raccolti i dati per ogni dispositivo sull'host secondario e le metriche dell'host secondario.
CA-7 Monitoraggio continuo

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (RDSAmazon) sia abilitata. Con Amazon RDS Logging, puoi registrare eventi come connessioni, disconnessioni, query o tabelle interrogate.
CA-7 Monitoraggio continuo

s3- event-notifications-enabled

Le notifiche degli eventi di Amazon S3 possono notificare al personale competente eventuali modifiche accidentali o intenzionali agli oggetti del bucket. Gli avvisi includono: creazione di un nuovo oggetto, rimozione di oggetti, ripristino di oggetti, oggetti persi e replicati.
CA-7 Monitoraggio continuo

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management IAM () Access Analyzer e Firewall AWS Manager e soluzioni Partner. AWS
CA-7 Monitoraggio continuo

wafv2-logging-enabled

Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sul Web regionale e globale. ACLs AWS WAFla registrazione fornisce informazioni dettagliate sul traffico analizzato dal Web. ACL I registri registrano l'ora in cui è AWS WAF stata ricevuta la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta.
CA-7 Monitoraggio continuo

api-gw-execution-logging-abilitato

APILa registrazione del gateway mostra viste dettagliate degli utenti che hanno effettuato l'accesso API e il modo in cui hanno effettuato l'accesso a. API Queste informazioni offrono visibilità sulle attività degli utenti.
CA-7 Monitoraggio continuo

autoscaling-group-elb-healthcheck-obbligatorio

I controlli di integrità di Elastic Load Balancer (ELB) per i gruppi Amazon Elastic Compute Cloud (Amazon) Auto EC2 Scaling supportano il mantenimento di capacità e disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ping, tenta connessioni o invia richieste per testare lo stato delle EC2 istanze Amazon in un gruppo di auto-scaling. Se un'istanza non restituisce i dati, il traffico viene inviato a una nuova EC2 istanza Amazon.
CA-7 Monitoraggio continuo

beanstalk-enhanced-health-reporting-abilitato

AWS La reportistica avanzata sullo stato di Elastic Beanstalk consente una risposta più rapida ai cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione. Il reporting avanzato sull'integrità di Elastic Beanstalk fornisce un descrittore dello stato per valutare la gravità dei problemi identificati e per individuare le possibili cause su cui indagare.
CA-7 Monitoraggio continuo

cloud-trail-cloud-watch-abilitato ai log

Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle API chiamate all'interno del tuo Account AWS.
CA-7 Monitoraggio continuo

cloudtrail-enabled

AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni e le chiamate della Console AWS di gestione. API È possibile identificare gli utenti e chi Account AWS ha chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents.
CA-7 Monitoraggio continuo

cloudtrail-s3-dataevents-enabled

La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono Account AWS le informazioni relative all'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento.
CA-7 Monitoraggio continuo

cloudwatch-alarm-action-check

Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente.
CA-7 Monitoraggio continuo

dynamodb-throughput-limit-check

Abilita questa regola per assicurarti che la capacità effettiva di trasmissione assegnata sia verificata nelle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura e scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando la velocità di trasmissione effettiva si avvicina al limite massimo per l'account di un cliente. Questa regola consente di impostare facoltativamente i parametri accountRCUThreshold Percentage (Config Default: 80) accountWCUThreshold e Percentage (Config Default: 80). I valori effettivi devono riflettere le policy dell'organizzazione.
CA-7 Monitoraggio continuo

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la ELB registrazione sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a. ELB Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
CA-7 Monitoraggio continuo

guardduty-enabled-centralized

Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud.
CA-7 Monitoraggio continuo

redshift-cluster-configuration-check

Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default:TRUE) e ( loggingEnabled Config Default:). TRUE I valori effettivi devono riflettere le policy dell'organizzazione.
CA-7 Monitoraggio continuo

s3- bucket-logging-enabled

La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente.
CA-7 Monitoraggio continuo

vpc-flow-logs-enabled

I log di VPC flusso forniscono registrazioni dettagliate per informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo Amazon Virtual Private Cloud (AmazonVPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
CA-9(1) Connessioni interne al sistema | Controlli di conformità

account-part-of-organizations

La gestione centralizzata Account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. L'assenza di una governance centralizzata degli account può comportare configurazioni incoerenti di account, il che può mettere a rischio risorse e dati sensibili.
CA-9(1) Connessioni interne al sistema | Controlli di conformità

codebuild-project-artifact-encryption

Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi artefatti. AWS CodeBuild
CA-9(1) Connessioni interne al sistema | Controlli di conformità

dynamodb-table-encrypted-kms

Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Data la possibile presenza di dati sensibili a riposo in queste tabelle, abilita la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con AWS una chiave master del cliente di proprietà (). CMK
CA-9(1) Connessioni interne al sistema | Controlli di conformità

ec2- ebs-encryption-by-default

Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (AmazonEBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati.
CA-9(1) Connessioni interne al sistema | Controlli di conformità

kinesis-stream-encrypted

Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i flussi di Amazon Kinesis.
CA-9(1) Connessioni interne al sistema | Controlli di conformità

rds-instance-default-admin-controlla

Poiché i nomi utente predefiniti sono di dominio pubblico, la modifica dei nomi utente predefiniti può aiutare a ridurre la superficie di attacco per le istanze di database Amazon Relational Database Service (AmazonRDS).
CA-9(1) Connessioni interne al sistema | Controlli di conformità

rds-snapshot-encrypted

Assicurati che la crittografia sia abilitata per le tue istantanee di Amazon Relational Database Service (RDSAmazon). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati.
CA-9(1) Connessioni interne al sistema | Controlli di conformità

s-3 default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati.
CA-9(1) Connessioni interne al sistema | Controlli di conformità

sagemaker-notebook-instance-kms-configurato a chiave

Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo notebook. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati.
CA-9(1) Connessioni interne al sistema | Controlli di conformità

sns-encrypted-kms

Per proteggere i dati archiviati, assicurati che gli argomenti di Amazon Simple Notification Service (AmazonSNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Data la possibile presenza di dati sensibili a riposo nei messaggi pubblicati, abilita la crittografia a riposo per proteggere tali dati.
CA-9(1) Connessioni interne al sistema | Controlli di conformità

api-gw-cache-enabled-e crittografato

Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per la cache di API Gateway Stage. Poiché con questo API metodo è possibile acquisire dati sensibili, abilita la crittografia a riposo per proteggere tali dati.
CA-9(1) Connessioni interne al sistema | Controlli di conformità

cloud-trail-encryption-enabled

Poiché possono esistere dati sensibili e per contribuire a proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CloudTrail percorsi.
CA-9(1) Connessioni interne al sistema | Controlli di conformità

ec2- -manager instance-managed-by-systems

Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (AmazonEC2) con AWS Systems Manager. Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
CA-9(1) Connessioni interne al sistema | Controlli di conformità

ec2- -controlla managedinstance-association-compliance-status

Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee di base dei livelli di patch del sistema operativo, delle installazioni software, delle configurazioni delle applicazioni e altri dettagli sull'ambiente.
CA-9(1) Connessioni interne al sistema | Controlli di conformità

ec2-stopped-instance

Abilita questa regola per facilitare la configurazione di base delle istanze Amazon Elastic Compute Cloud EC2 (Amazon) controllando se le istanze Amazon EC2 sono state interrotte per più del numero di giorni consentito, in base agli standard della tua organizzazione.
CA-9(1) Connessioni interne al sistema | Controlli di conformità

ec2- volume-inuse-check

Questa regola garantisce che i volumi di Amazon Elastic Block Store collegati alle istanze di Amazon Elastic Compute Cloud (AmazonEC2) siano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un EBS volume Amazon non viene eliminato quando l'istanza a cui è collegato viene terminata, potrebbe violare il concetto di funzionalità minima.
CA-9(1) Connessioni interne al sistema | Controlli di conformità

efs-encrypted-check

Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS).
CA-9(1) Connessioni interne al sistema | Controlli di conformità

elasticsearch-encrypted-at-rest

Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch OpenSearch Service (Service).
CA-9(1) Connessioni interne al sistema | Controlli di conformità

elb-deletion-protection-enabled

Questa regola garantisce che per Elastic Load Balancing sia abilitata la protezione da eliminazione. Utilizza questa funzionalità per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni.
CA-9(1) Connessioni interne al sistema | Controlli di conformità

encrypted-volumes

Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (AmazonEBS).
CA-9(1) Connessioni interne al sistema | Controlli di conformità

opensearch-encrypted-at-rest

Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service.
CA-9(1) Connessioni interne al sistema | Controlli di conformità

rds-storage-encrypted

Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per le tue istanze di Amazon Relational Database Service (RDSAmazon). Poiché i dati sensibili possono esistere inattivi nelle RDS istanze Amazon, abilita la crittografia a memoria inattiva per proteggere tali dati.
CA-9(1) Connessioni interne al sistema | Controlli di conformità

redshift-cluster-configuration-check

Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default:TRUE) e ( loggingEnabled Config Default:). TRUE I valori effettivi devono riflettere le policy dell'organizzazione.
CA-9(1) Connessioni interne al sistema | Controlli di conformità

redshift-cluster-kms-enabled

Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo cluster Amazon Redshift. Data la possibile presenza di dati sensibili a riposo nei cluster Redshift, abilita la crittografia a riposo per proteggere tali dati.
CA-9(1) Connessioni interne al sistema | Controlli di conformità

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno finestre di manutenzione preferite e periodi di conservazione automatica degli snapshot per il database. Questa regola richiede di impostare il allowVersionUpgrade. Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sab: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le policy dell'organizzazione.
CA-9(1) Connessioni interne al sistema | Controlli di conformità

redshift-default-admin-check

Poiché i nomi utente predefiniti sono di dominio pubblico, la loro modifica può aiutare a ridurre la superficie di attacco dei cluster Amazon Redshift.
CA-9(1) Connessioni interne al sistema | Controlli di conformità

restricted-common-ports

Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (AmazonEC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente da blockedPort 1 a blockedPort 5 parametri (Config Defaults: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione.
CA-9(1) Connessioni interne al sistema | Controlli di conformità

abilitato a s-3 bucket-server-side-encryption

Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati.
CA-9(1) Connessioni interne al sistema | Controlli di conformità

sagemaker-endpoint-configuration-kms-configurato con chiave

Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia dei dati inattivi per proteggere tali dati.
CA-9(1) Connessioni interne al sistema | Controlli di conformità

secretsmanager-using-cmk

Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per AWS i segreti di Secrets Manager. Data la possibile presenza di dati sensibili a riposo nei segreti di Secrets Manager, abilita la crittografia a riposo per proteggere tali dati.
CM-2(2) Configurazione di base | Supporto dell'automazione per accuratezza e aggiornamento

ec2- -manager instance-managed-by-systems

Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (AmazonEC2) con AWS Systems Manager. Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
CM-2(2) Configurazione di base | Supporto dell'automazione per accuratezza e aggiornamento

ec2- -controlla managedinstance-association-compliance-status

Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee di base dei livelli di patch del sistema operativo, delle installazioni software, delle configurazioni delle applicazioni e altri dettagli sull'ambiente.
CM-2(2) Configurazione di base | Supporto dell'automazione per accuratezza e aggiornamento

ec2-stopped-instance

Abilita questa regola per facilitare la configurazione di base delle istanze Amazon Elastic Compute Cloud EC2 (Amazon) controllando se le istanze Amazon EC2 sono state interrotte per più del numero di giorni consentito, in base agli standard della tua organizzazione.
CM-2(2) Configurazione di base | Supporto dell'automazione per accuratezza e aggiornamento

ec2- volume-inuse-check

Questa regola garantisce che i volumi di Amazon Elastic Block Store collegati alle istanze di Amazon Elastic Compute Cloud (AmazonEC2) siano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un EBS volume Amazon non viene eliminato quando l'istanza a cui è collegato viene terminata, potrebbe violare il concetto di funzionalità minima.
CM-2(2) Configurazione di base | Supporto dell'automazione per accuratezza e aggiornamento

elb-deletion-protection-enabled

Questa regola garantisce che per Elastic Load Balancing sia abilitata la protezione da eliminazione. Utilizza questa funzionalità per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni.
CM-2(2) Configurazione di base | Supporto dell'automazione per accuratezza e aggiornamento

restricted-common-ports

Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (AmazonEC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente da blockedPort 1 a blockedPort 5 parametri (Config Defaults: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione.
CM-2 Configurazione di base

account-part-of-organizations

La gestione centralizzata Account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. L'assenza di una governance centralizzata degli account può comportare configurazioni incoerenti di account, il che può mettere a rischio risorse e dati sensibili.
CM-2 Configurazione di base

rds-instance-default-admin-controlla

Poiché i nomi utente predefiniti sono di dominio pubblico, la modifica dei nomi utente predefiniti può aiutare a ridurre la superficie di attacco per le istanze di database Amazon Relational Database Service (AmazonRDS).
CM-2 Configurazione di base

ec2- -manager instance-managed-by-systems

Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (AmazonEC2) con AWS Systems Manager. Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
CM-2 Configurazione di base

ec2- -controlla managedinstance-association-compliance-status

Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee di base dei livelli di patch del sistema operativo, delle installazioni software, delle configurazioni delle applicazioni e altri dettagli sull'ambiente.
CM-2 Configurazione di base

ec2-stopped-instance

Abilita questa regola per facilitare la configurazione di base delle istanze Amazon Elastic Compute Cloud EC2 (Amazon) controllando se le istanze Amazon EC2 sono state interrotte per più del numero di giorni consentito, in base agli standard della tua organizzazione.
CM-2 Configurazione di base

ec2- volume-inuse-check

Questa regola garantisce che i volumi di Amazon Elastic Block Store collegati alle istanze di Amazon Elastic Compute Cloud (AmazonEC2) siano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un EBS volume Amazon non viene eliminato quando l'istanza a cui è collegato viene terminata, potrebbe violare il concetto di funzionalità minima.
CM-2 Configurazione di base

elb-deletion-protection-enabled

Questa regola garantisce che per Elastic Load Balancing sia abilitata la protezione da eliminazione. Utilizza questa funzionalità per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni.
CM-2 Configurazione di base

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno finestre di manutenzione preferite e periodi di conservazione automatica degli snapshot per il database. Questa regola richiede di impostare il. allowVersionUpgrade Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sab: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le policy dell'organizzazione.
CM-2 Configurazione di base

redshift-default-admin-check

Poiché i nomi utente predefiniti sono di dominio pubblico, la loro modifica può aiutare a ridurre la superficie di attacco dei cluster Amazon Redshift.
CM-2 Configurazione di base

restricted-common-ports

Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (AmazonEC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente da blockedPort 1 a blockedPort 5 parametri (Config Defaults: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione.
CM-3(6) Controllo delle modifiche alla configurazione | Gestione della crittografia

codebuild-project-artifact-encryption

Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi artefatti. AWS CodeBuild
CM-3(6) Controllo delle modifiche alla configurazione | Gestione della crittografia

dynamodb-table-encrypted-kms

Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Data la possibile presenza di dati sensibili a riposo in queste tabelle, abilita la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con AWS una chiave master del cliente di proprietà (). CMK
CM-3(6) Controllo delle modifiche alla configurazione | Gestione della crittografia

ec2- ebs-encryption-by-default

Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (AmazonEBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati.
CM-3(6) Controllo delle modifiche alla configurazione | Gestione della crittografia

kinesis-stream-encrypted

Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i flussi di Amazon Kinesis.
CM-3(6) Controllo delle modifiche alla configurazione | Gestione della crittografia

rds-snapshot-encrypted

Assicurati che la crittografia sia abilitata per le tue istantanee di Amazon Relational Database Service (RDSAmazon). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati.
CM-3(6) Controllo delle modifiche alla configurazione | Gestione della crittografia

s-3 default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati.
CM-3(6) Controllo delle modifiche alla configurazione | Gestione della crittografia

sagemaker-notebook-instance-kms-configurato a chiave

Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo notebook. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati.
CM-3(6) Controllo delle modifiche alla configurazione | Gestione della crittografia

sns-encrypted-kms

Per proteggere i dati archiviati, assicurati che gli argomenti di Amazon Simple Notification Service (AmazonSNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Data la possibile presenza di dati sensibili a riposo nei messaggi pubblicati, abilita la crittografia a riposo per proteggere tali dati.
CM-3(6) Controllo delle modifiche alla configurazione | Gestione della crittografia

api-gw-cache-enabled-e crittografato

Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per la cache di API Gateway Stage. Poiché con questo API metodo è possibile acquisire dati sensibili, abilita la crittografia a riposo per proteggere tali dati.
CM-3(6) Controllo delle modifiche alla configurazione | Gestione della crittografia

cloud-trail-encryption-enabled

Poiché possono esistere dati sensibili e per contribuire a proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CloudTrail percorsi.
CM-3(6) Controllo delle modifiche alla configurazione | Gestione della crittografia

efs-encrypted-check

Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS).
CM-3(6) Controllo delle modifiche alla configurazione | Gestione della crittografia

elasticsearch-encrypted-at-rest

Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch OpenSearch Service (Service).
CM-3(6) Controllo delle modifiche alla configurazione | Gestione della crittografia

encrypted-volumes

Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (AmazonEBS).
CM-3(6) Controllo delle modifiche alla configurazione | Gestione della crittografia

opensearch-encrypted-at-rest

Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service.
CM-3(6) Controllo delle modifiche alla configurazione | Gestione della crittografia

rds-storage-encrypted

Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per le tue istanze di Amazon Relational Database Service (RDSAmazon). Poiché i dati sensibili possono esistere inattivi nelle RDS istanze Amazon, abilita la crittografia a memoria inattiva per proteggere tali dati.
CM-3(6) Controllo delle modifiche alla configurazione | Gestione della crittografia

redshift-cluster-configuration-check

Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default:TRUE) e ( loggingEnabled Config Default:). TRUE I valori effettivi devono riflettere le policy dell'organizzazione.
CM-3(6) Controllo delle modifiche alla configurazione | Gestione della crittografia

redshift-cluster-kms-enabled

Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo cluster Amazon Redshift. Data la possibile presenza di dati sensibili a riposo nei cluster Redshift, abilita la crittografia a riposo per proteggere tali dati.
CM-3(6) Controllo delle modifiche alla configurazione | Gestione della crittografia

abilitato a s3 bucket-server-side-encryption

Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati.
CM-3(6) Controllo delle modifiche alla configurazione | Gestione della crittografia

sagemaker-endpoint-configuration-kms-configurato con chiave

Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia dei dati inattivi per proteggere tali dati.
CM-3(6) Controllo delle modifiche alla configurazione | Gestione della crittografia

secretsmanager-using-cmk

Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per AWS i segreti di Secrets Manager. Data la possibile presenza di dati sensibili a riposo nei segreti di Secrets Manager, abilita la crittografia a riposo per proteggere tali dati.
CM-3 Controllo delle modifiche alla configurazione

elb-deletion-protection-enabled

Questa regola garantisce che per Elastic Load Balancing sia abilitata la protezione da eliminazione. Utilizza questa funzionalità per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni.
CM-3 Controllo delle modifiche alla configurazione

rds-instance-deletion-protection-abilitato

Assicurati che le istanze di Amazon Relational Database Service (RDSAmazon) abbiano la protezione da eliminazione abilitata. Usa la protezione dall'eliminazione per evitare che le tue RDS istanze Amazon vengano eliminate accidentalmente o intenzionalmente, il che può portare alla perdita di disponibilità delle tue applicazioni.
CM-7 Funzionalità minima

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (AmazonEC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto.
CM-7 Funzionalità minima

no-unrestricted-route-to-igw

Assicurati che le tabelle di EC2 routing di Amazon non abbiano percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPCs può ridurre gli accessi involontari all'interno del tuo ambiente.
CM-7 Funzionalità minima

restricted-common-ports

Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (AmazonEC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente da blockedPort 1 a blockedPort 5 parametri (Config Defaults: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione.
CM-8(1) Inventario dei componenti di sistema | Aggiornamenti durante l'installazione e la rimozione

ec2- -manager instance-managed-by-systems

Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (AmazonEC2) con AWS Systems Manager. Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
CM-8(1) Inventario dei componenti di sistema | Aggiornamenti durante l'installazione e la rimozione

ec2- -controlla managedinstance-association-compliance-status

Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee di base dei livelli di patch del sistema operativo, delle installazioni software, delle configurazioni delle applicazioni e altri dettagli sull'ambiente.
CM-8(2) Inventario dei componenti di sistema | Manutenzione automatizzata

ec2- -manager instance-managed-by-systems

Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (AmazonEC2) con AWS Systems Manager. Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
CM-8(3) Inventario dei componenti di sistema | Rilevamento automatico dei componenti non autorizzati

ec2- -manager instance-managed-by-systems

Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (AmazonEC2) con AWS Systems Manager. Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
CM-8(3) Inventario dei componenti di sistema | Rilevamento automatico dei componenti non autorizzati

ec2- -controlla managedinstance-association-compliance-status

Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee di base dei livelli di patch del sistema operativo, delle installazioni software, delle configurazioni delle applicazioni e altri dettagli sull'ambiente.
CM-8(3) Inventario dei componenti di sistema | Rilevamento automatico dei componenti non autorizzati

ec2- -controlla managedinstance-patch-compliance-status

Abilita questa regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (AmazonEC2). La regola verifica se le patch delle EC2 istanze Amazon sono conformi in AWS Systems Manager, come richiesto dalle politiche e dalle procedure della tua organizzazione.
CM-8(3) Inventario dei componenti di sistema | Rilevamento automatico dei componenti non autorizzati

guardduty-enabled-centralized

Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud.
CM-8 Inventario dei componenti di sistema

ec2- -manager instance-managed-by-systems

Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (AmazonEC2) con AWS Systems Manager. Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
CM-8 Inventario dei componenti di sistema

ec2- -controlla managedinstance-association-compliance-status

Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee di base dei livelli di patch del sistema operativo, delle installazioni software, delle configurazioni delle applicazioni e altri dettagli sull'ambiente.
CP-2(2) Piano di emergenza | Pianificazione della capacità

autoscaling-group-elb-healthcheck-obbligatorio

I controlli di integrità di Elastic Load Balancer (ELB) per i gruppi Amazon Elastic Compute Cloud (Amazon) Auto EC2 Scaling supportano il mantenimento di capacità e disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ping, tenta connessioni o invia richieste per testare lo stato delle EC2 istanze Amazon in un gruppo di auto-scaling. Se un'istanza non restituisce i dati, il traffico viene inviato a una nuova EC2 istanza Amazon.
CP-2(2) Piano di emergenza | Pianificazione della capacità

dynamodb-autoscaling-enabled

La scalabilità automatica di Amazon DynamoDB utilizza il servizio Application AWS Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura e scrittura assegnata per gestire improvvisi aumenti di traffico, senza alcuna limitazione (della larghezza di banda della rete).
CP-6(1) Sito di archiviazione alternativo | Separazione dal sito primario

dynamodb-in-backup-plan

Per facilitare i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup.
CP-6(1) Sito di archiviazione alternativo | Separazione dal sito primario

ebs-in-backup-plan

Per facilitare i processi di backup dei dati, assicurati che i volumi di Amazon Elastic Block Store (AmazonEBS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup.
CP-6(1) Sito di archiviazione alternativo | Separazione dal sito primario

efs-in-backup-plan

Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (AmazonEFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup.
CP-6(1) Sito di archiviazione alternativo | Separazione dal sito primario

redshift-backup-enabled

Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Amazon Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per ogni nodo di modifica dei dati o per qualsiasi evento che si verifica per primo.
CP-6(1) Sito di archiviazione alternativo | Separazione dal sito primario

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon crea RDS automaticamente uno snapshot del volume di storage dell'istanza DB, eseguendo il backup dell'intera istanza DB. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
CP-6(1) Sito di archiviazione alternativo | Separazione dal sito primario

elasticache-redis-cluster-automatic-controllo del backup

Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere mantenuto per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente.
CP-6(1) Sito di archiviazione alternativo | Separazione dal sito primario

s-3 bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication CRR () supporta il mantenimento di capacità e disponibilità adeguate. CRRconsente la copia automatica e asincrona degli oggetti tra i bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
CP-6(1) Sito di archiviazione alternativo | Separazione dal sito primario

s3- bucket-versioning-enabled

Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti.
CP-6(2) Sito di archiviazione alternativo | Obiettivi di tempo di ripristino e punto di ripristino

dynamodb-in-backup-plan

Per facilitare i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup.
CP-6(2) Sito di archiviazione alternativo | Obiettivi di tempo di ripristino e punto di ripristino

ebs-in-backup-plan

Per facilitare i processi di backup dei dati, assicurati che i volumi di Amazon Elastic Block Store (AmazonEBS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup.
CP-6(2) Sito di archiviazione alternativo | Obiettivi di tempo di ripristino e punto di ripristino

efs-in-backup-plan

Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (AmazonEFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup.
CP-6(2) Sito di archiviazione alternativo | Obiettivi di tempo di ripristino e punto di ripristino

elb-cross-zone-load- abilitato al bilanciamento

Abilita il bilanciamento del carico tra zone per Elastic Load Balancers (ELBs) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze.
CP-6(2) Sito di archiviazione alternativo | Obiettivi di tempo di ripristino e punto di ripristino

redshift-backup-enabled

Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Amazon Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per ogni nodo di modifica dei dati o per qualsiasi evento che si verifica per primo.
CP-6(2) Sito di archiviazione alternativo | Obiettivi di tempo di ripristino e punto di ripristino

s-3 version-lifecycle-policy-check

Assicurati che le policy del ciclo di vita Amazon S3 siano configurate per definire le operazioni che deve eseguire Amazon S3 durante il ciclo di vita di un oggetto, ad esempio la transizione di oggetti in un'altra classe di storage, la relativa archiviazione o l'eliminazione dopo un periodo di tempo specificato.
CP-6(2) Sito di archiviazione alternativo | Obiettivi di tempo di ripristino e punto di ripristino

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon crea RDS automaticamente uno snapshot del volume di storage dell'istanza DB, eseguendo il backup dell'intera istanza DB. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
CP-6(2) Sito di archiviazione alternativo | Obiettivi di tempo di ripristino e punto di ripristino

dynamodb-autoscaling-enabled

La scalabilità automatica di Amazon DynamoDB utilizza il servizio Application AWS Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura e scrittura assegnata per gestire improvvisi aumenti di traffico, senza alcuna limitazione (della larghezza di banda della rete).
CP-6(2) Sito di archiviazione alternativo | Obiettivi di tempo di ripristino e punto di ripristino

dynamodb-pitr-enabled

Abilita questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella degli ultimi 35 giorni.
CP-6(2) Sito di archiviazione alternativo | Obiettivi di tempo di ripristino e punto di ripristino

elasticache-redis-cluster-automatic-controllo del backup

Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere mantenuto per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente.
CP-6(2) Sito di archiviazione alternativo | Obiettivi di tempo di ripristino e punto di ripristino

rds-multi-az-support

Il supporto Multi-AZ in Amazon Relational Database Service (RDSAmazon) offre disponibilità e durabilità avanzate per le istanze di database. Quando effettui il provisioning di un'istanza di database Multi-AZ, Amazon crea RDS automaticamente un'istanza di database principale e replica in modo sincrono i dati su un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico verso lo standby in modo da poter riprendere le operazioni del database non appena il failover è completo.
CP-6(2) Sito di archiviazione alternativo | Obiettivi di tempo di ripristino e punto di ripristino

s3- bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication CRR () supporta il mantenimento di capacità e disponibilità adeguate. CRRconsente la copia automatica e asincrona degli oggetti tra i bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
CP-6(2) Sito di archiviazione alternativo | Obiettivi di tempo di ripristino e punto di ripristino

s3- bucket-versioning-enabled

Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti.
CP-6(2) Sito di archiviazione alternativo | Obiettivi di tempo di ripristino e punto di ripristino

vpc-vpn-2-tunnels-up

È possibile implementare Site-to-Site VPN tunnel ridondanti per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso in cui una delle connessioni non sia disponibile. Site-to-Site VPN Per proteggerti dalla perdita di connettività, nel caso in cui il gateway per i clienti non sia disponibile, puoi configurare una seconda Site-to-Site VPN connessione al tuo Amazon Virtual Private Cloud (AmazonVPC) e al gateway privato virtuale utilizzando un secondo gateway cliente.
CP-6 Sito di archiviazione alternativo

dynamodb-in-backup-plan

Per facilitare i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup.
CP-6 Sito di archiviazione alternativo

ebs-in-backup-plan

Per facilitare i processi di backup dei dati, assicurati che i volumi di Amazon Elastic Block Store (AmazonEBS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup.
CP-6 Sito di archiviazione alternativo

efs-in-backup-plan

Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (AmazonEFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup.
CP-6 Sito di archiviazione alternativo

redshift-backup-enabled

Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Amazon Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per ogni nodo di modifica dei dati o per qualsiasi evento che si verifica per primo.
CP-6 Sito di archiviazione alternativo

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon crea RDS automaticamente uno snapshot del volume di storage dell'istanza DB, eseguendo il backup dell'intera istanza DB. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
CP-6 Sito di archiviazione alternativo

elasticache-redis-cluster-automatic-controllo del backup

Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere mantenuto per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente.
CP-6 Sito di archiviazione alternativo

s-3 bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication CRR () supporta il mantenimento di capacità e disponibilità adeguate. CRRconsente la copia automatica e asincrona degli oggetti tra i bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
CP-6 Sito di archiviazione alternativo

s3- bucket-versioning-enabled

Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti.
CP-9 Backup del sistema

dynamodb-in-backup-plan

Per facilitare i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup.
CP-9 Backup del sistema

ebs-in-backup-plan

Per facilitare i processi di backup dei dati, assicurati che i volumi di Amazon Elastic Block Store (AmazonEBS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup.
CP-9 Backup del sistema

efs-in-backup-plan

Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (AmazonEFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup.
CP-9 Backup del sistema

redshift-backup-enabled

Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Amazon Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per ogni nodo di modifica dei dati o per qualsiasi evento che si verifica per primo.
CP-9 Backup del sistema

s-3 version-lifecycle-policy-check

Assicurati che le policy del ciclo di vita Amazon S3 siano configurate per definire le operazioni che deve eseguire Amazon S3 durante il ciclo di vita di un oggetto, ad esempio la transizione di oggetti in un'altra classe di storage, la relativa archiviazione o l'eliminazione dopo un periodo di tempo specificato.
CP-9 Backup del sistema

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon crea RDS automaticamente uno snapshot del volume di storage dell'istanza DB, eseguendo il backup dell'intera istanza DB. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
CP-9 Backup del sistema

dynamodb-pitr-enabled

Abilita questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella degli ultimi 35 giorni.
CP-9 Backup del sistema

ebs-optimized-instance

Un'istanza ottimizzata in Amazon Elastic Block Store (AmazonEBS) fornisce capacità aggiuntiva e dedicata per le operazioni di EBS I/O di Amazon. Questa ottimizzazione offre le prestazioni più efficienti per i tuoi EBS volumi riducendo al minimo i conflitti tra le operazioni di EBS I/O di Amazon e altro traffico proveniente dall'istanza.
CP-9 Backup del sistema

elasticache-redis-cluster-automatic-controllo del backup

Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere mantenuto per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente.
CP-9 Backup del sistema

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno finestre di manutenzione preferite e periodi di conservazione automatica degli snapshot per il database. Questa regola richiede di impostare il allowVersionUpgrade. Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sab: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le policy dell'organizzazione.
CP-9 Backup del sistema

s3- bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication CRR () supporta il mantenimento di capacità e disponibilità adeguate. CRRconsente la copia automatica e asincrona degli oggetti tra i bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
CP-9 Backup del sistema

s3- bucket-versioning-enabled

Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti.
CP-10 Ripristino e ricostituzione del sistema

dynamodb-in-backup-plan

Per facilitare i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup.
CP-10 Ripristino e ricostituzione del sistema

ebs-in-backup-plan

Per facilitare i processi di backup dei dati, assicurati che i volumi di Amazon Elastic Block Store (AmazonEBS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup.
CP-10 Ripristino e ricostituzione del sistema

efs-in-backup-plan

Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (AmazonEFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup.
CP-10 Ripristino e ricostituzione del sistema

elb-cross-zone-load- abilitato al bilanciamento

Abilita il bilanciamento del carico tra zone per Elastic Load Balancers (ELBs) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze.
CP-10 Ripristino e ricostituzione del sistema

redshift-backup-enabled

Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Amazon Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per ogni nodo di modifica dei dati o per qualsiasi evento che si verifica per primo.
CP-10 Ripristino e ricostituzione del sistema

s-3 version-lifecycle-policy-check

Assicurati che le policy del ciclo di vita Amazon S3 siano configurate per definire le operazioni che deve eseguire Amazon S3 durante il ciclo di vita di un oggetto, ad esempio la transizione di oggetti in un'altra classe di storage, la relativa archiviazione o l'eliminazione dopo un periodo di tempo specificato.
CP-10 Ripristino e ricostituzione del sistema

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon crea RDS automaticamente uno snapshot del volume di storage dell'istanza DB, eseguendo il backup dell'intera istanza DB. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
CP-10 Ripristino e ricostituzione del sistema

dynamodb-autoscaling-enabled

La scalabilità automatica di Amazon DynamoDB utilizza il servizio Application AWS Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura e scrittura assegnata per gestire improvvisi aumenti di traffico, senza alcuna limitazione (della larghezza di banda della rete).
CP-10 Ripristino e ricostituzione del sistema

dynamodb-pitr-enabled

Abilita questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella degli ultimi 35 giorni.
CP-10 Ripristino e ricostituzione del sistema

ebs-optimized-instance

Un'istanza ottimizzata in Amazon Elastic Block Store (AmazonEBS) fornisce capacità aggiuntiva e dedicata per le operazioni di EBS I/O di Amazon. Questa ottimizzazione offre le prestazioni più efficienti per i tuoi EBS volumi riducendo al minimo i conflitti tra le operazioni di EBS I/O di Amazon e altro traffico proveniente dall'istanza.
CP-10 Ripristino e ricostituzione del sistema

elasticache-redis-cluster-automatic-controllo del backup

Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere mantenuto per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente.
CP-10 Ripristino e ricostituzione del sistema

rds-multi-az-support

Il supporto Multi-AZ in Amazon Relational Database Service (RDSAmazon) offre disponibilità e durabilità avanzate per le istanze di database. Quando effettui il provisioning di un'istanza di database Multi-AZ, Amazon crea RDS automaticamente un'istanza di database principale e replica in modo sincrono i dati su un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico verso lo standby in modo da poter riprendere le operazioni del database non appena il failover è completo.
CP-10 Ripristino e ricostituzione del sistema

s3- bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication CRR () supporta il mantenimento di capacità e disponibilità adeguate. CRRconsente la copia automatica e asincrona degli oggetti tra i bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
CP-10 Ripristino e ricostituzione del sistema

s3- bucket-versioning-enabled

Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti.
CP-10 Ripristino e ricostituzione del sistema

vpc-vpn-2-tunnels-up

È possibile implementare Site-to-Site VPN tunnel ridondanti per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso in cui una delle connessioni non sia disponibile. Site-to-Site VPN Per proteggerti dalla perdita di connettività, nel caso in cui il gateway per i clienti non sia disponibile, puoi configurare una seconda Site-to-Site VPN connessione al tuo Amazon Virtual Private Cloud (AmazonVPC) e al gateway privato virtuale utilizzando un secondo gateway cliente.
IA-2(1) Identificazione e autenticazione (utenti dell'organizzazione) | Autenticazione a più fattori su account con privilegi

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel AWS cloud. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. MFAaggiunge un ulteriore livello di protezione alle credenziali di accesso. Riduci gli incidenti dovuti agli account compromessi richiedendo agli utenti. MFA
IA-2(1) Identificazione e autenticazione (utenti dell'organizzazione) | Autenticazione a più fattori su account con privilegi

mfa-enabled-for-iam-accesso da console

Gestisci l'accesso alle risorse nel AWS Cloud assicurandoti che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFAaggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo MFA agli utenti, è possibile ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
IA-2(1) Identificazione e autenticazione (utenti dell'organizzazione) | Autenticazione a più fattori su account con privilegi

root-account-hardware-mfa-abilitato

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'hardware MFA sia abilitato per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di compromissione. Account AWS
IA-2(1) Identificazione e autenticazione (utenti dell'organizzazione) | Autenticazione a più fattori su account con privilegi

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che MFA sia abilitato per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di compromissione. Account AWS
IA-2(2) Identificazione e autenticazione (utenti dell'organizzazione) | Autenticazione a più fattori su account senza privilegi

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel AWS cloud. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. MFAaggiunge un ulteriore livello di protezione alle credenziali di accesso. Riduci gli incidenti dovuti agli account compromessi richiedendo agli utenti. MFA
IA-2(2) Identificazione e autenticazione (utenti dell'organizzazione) | Autenticazione a più fattori su account senza privilegi

mfa-enabled-for-iam-accesso da console

Gestisci l'accesso alle risorse nel AWS Cloud assicurandoti che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFAaggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo MFA agli utenti, è possibile ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
IA-2(2) Identificazione e autenticazione (utenti dell'organizzazione) | Autenticazione a più fattori su account senza privilegi

root-account-hardware-mfa-abilitato

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'hardware MFA sia abilitato per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di compromissione. Account AWS
IA-2(2) Identificazione e autenticazione (utenti dell'organizzazione) | Autenticazione a più fattori su account senza privilegi

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che MFA sia abilitato per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di compromissione. Account AWS
IA-2(6) Identificazione e autenticazione (utenti dell'organizzazione) | Accesso agli account: dispositivo separato

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel AWS cloud. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. MFAaggiunge un ulteriore livello di protezione alle credenziali di accesso. Riduci gli incidenti dovuti agli account compromessi richiedendo agli utenti. MFA
IA-2(6) Identificazione e autenticazione (utenti dell'organizzazione) | Accesso agli account: dispositivo separato

mfa-enabled-for-iam-accesso da console

Gestisci l'accesso alle risorse nel AWS Cloud assicurandoti che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFAaggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo MFA agli utenti, è possibile ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
IA-2(6) Identificazione e autenticazione (utenti dell'organizzazione) | Accesso agli account: dispositivo separato

root-account-hardware-mfa-abilitato

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'hardware MFA sia abilitato per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di compromissione. Account AWS
IA-2(6) Identificazione e autenticazione (utenti dell'organizzazione) | Accesso agli account: dispositivo separato

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che MFA sia abilitato per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di compromissione. Account AWS
IA-2(8) Identificazione e autenticazione (utenti dell'organizzazione) | Accesso agli account: resistenza a replay

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel AWS cloud. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. MFAaggiunge un ulteriore livello di protezione alle credenziali di accesso. Riduci gli incidenti dovuti agli account compromessi richiedendo agli utenti. MFA
IA-2(8) Identificazione e autenticazione (utenti dell'organizzazione) | Accesso agli account: resistenza a replay

mfa-enabled-for-iam-accesso da console

Gestisci l'accesso alle risorse nel AWS Cloud assicurandoti che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFAaggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo MFA agli utenti, è possibile ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
IA-2(8) Identificazione e autenticazione (utenti dell'organizzazione) | Accesso agli account: resistenza a replay

root-account-hardware-mfa-abilitato

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'hardware MFA sia abilitato per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di compromissione. Account AWS
IA-2(8) Identificazione e autenticazione (utenti dell'organizzazione) | Accesso agli account: resistenza a replay

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che MFA sia abilitato per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. MFAAggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo MFA l'accesso all'utente root, è possibile ridurre i casi di compromissione. Account AWS
IA-5(1) Gestione degli autenticatori | Autenticazione basata su password

elb-tls-https-listeners-solo

Assicurati che i tuoi Elastic Load Balancers (ELBs) siano configurati con SSL i nostri listener. HTTPS Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
IA-5(1) Gestione degli autenticatori | Autenticazione basata su password

opensearch-https-required

Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon OpenSearch Service.
IA-5(1) Gestione degli autenticatori | Autenticazione basata su password

alb-http-to-https-controllo del reindirizzamento

Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste non crittografate a. HTTP HTTPS Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
IA-5(1) Gestione degli autenticatori | Autenticazione basata su password

api-gw-ssl-enabled

Assicurati che REST API le fasi di Amazon API Gateway siano configurate con SSL certificati per consentire ai sistemi di backend di autenticare che le richieste provengono da API Gateway.
IA-5(1) Gestione degli autenticatori | Autenticazione basata su password

elb-acm-certificate-required

Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire TLS certificatiSSL/pubblici e privati con AWS servizi e risorse interne.
IA-5(1) Gestione degli autenticatori | Autenticazione basata su password

elbv2- acm-certificate-required

Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire TLS certificatiSSL/pubblici e privati con AWS servizi e risorse interne.
IA-5(1) Gestione degli autenticatori | Autenticazione basata su password

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una politica aziendale IAM in materia di password. Soddisfano o superano i requisiti indicati dallo standard NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per IAMPolitica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione.
IA-5(1) Gestione degli autenticatori | Autenticazione basata su password

s-3 bucket-ssl-requests-only

Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste di utilizzo di Secure Socket Layer (). SSL Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
IA-5(7) Gestione degli autenticatori | Nessun autenticatore statico non crittografato incorporato

codebuild-project-envvar-awscred-controlla

Garantisce che le credenziali AWS_ACCESS_KEY_ID di autenticazione AWS_SECRET_ACCESS_KEY non esistano negli ambienti del progetto AWS Codebuild. Non archiviare queste variabili con testo in chiaro. L'archiviazione di queste variabili con testo in chiaro porta all'esposizione involontaria dei dati e all'accesso non autorizzato.
IR-4(1) Gestione degli incidenti | Processi di gestione degli incidenti automatizzati

cloudwatch-alarm-action-check

Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente.
IR-4(5) Gestione degli incidenti | Disattivazione automatica del sistema

cloudwatch-alarm-action-check

Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente.
RA-3(4) Valutazione del rischio | Analisi informatica predittiva

guardduty-enabled-centralized

Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud.
SA-3 Ciclo di vita di sviluppo del sistema

codebuild-project-envvar-awscred-controlla

Garantisce che le credenziali AWS_ACCESS_KEY_ID di autenticazione AWS_SECRET_ACCESS_KEY non esistano negli ambienti del progetto AWS Codebuild. Non archiviare queste variabili con testo in chiaro. L'archiviazione di queste variabili con testo in chiaro porta all'esposizione involontaria dei dati e all'accesso non autorizzato.
SA-3 Ciclo di vita di sviluppo del sistema

ec2- -manager instance-managed-by-systems

Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (AmazonEC2) con AWS Systems Manager. Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
SA-8(19) Principi di progettazione della sicurezza e della privacy | Protezione continua

guardduty-enabled-centralized

Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud.
SA-8(21) Principi di progettazione della sicurezza e della privacy | Autoanalisi

guardduty-enabled-centralized

Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud.
SA-8(22) Principi di progettazione della sicurezza e della privacy | Responsabilità e tracciabilità

cloudtrail-enabled

AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni e le chiamate della Console di AWS gestione. API È possibile identificare gli utenti e chi Account AWS ha chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents.
SA-8(25) Principi di progettazione della sicurezza e della privacy | Sicurezza economica

guardduty-enabled-centralized

Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud.
SA-11(1) Test e valutazione per sviluppatori | Analisi statica del codice

guardduty-enabled-centralized

Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud.
SA-11(6) Test e valutazione per sviluppatori | Esame della superficie di attacco

guardduty-enabled-centralized

Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud.
SA-15(2) Processo, standard e strumenti di sviluppo | Strumenti di monitoraggio della sicurezza e della privacy

ec2- -manager instance-managed-by-systems

Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (AmazonEC2) con AWS Systems Manager. Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
SA-15(2) Processo, standard e strumenti di sviluppo | Strumenti di monitoraggio della sicurezza e della privacy

guardduty-enabled-centralized

Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud.
SA-15(8) Processo, standard e strumenti di sviluppo | Riutilizzo delle informazioni su minacce e vulnerabilità

ec2- -manager instance-managed-by-systems

Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (AmazonEC2) con AWS Systems Manager. Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
SA-15(8) Processo, standard e strumenti di sviluppo | Riutilizzo delle informazioni su minacce e vulnerabilità

guardduty-enabled-centralized

Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud.
SC-5(1) Denial-of-service Protezione | Limita la capacità di attaccare altri sistemi

guardduty-enabled-centralized

Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud.
SC-5(2) Denial-of-service Protezione | Capacità, larghezza di banda e ridondanza

dynamodb-in-backup-plan

Per facilitare i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup.
SC-5(2) Denial-of-service Protezione | Capacità, larghezza di banda e ridondanza

ebs-in-backup-plan

Per facilitare i processi di backup dei dati, assicurati che i volumi di Amazon Elastic Block Store (AmazonEBS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup.
SC-5(2) Denial-of-service Protezione | Capacità, larghezza di banda e ridondanza

efs-in-backup-plan

Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (AmazonEFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup.
SC-5(2) Denial-of-service Protezione | Capacità, larghezza di banda e ridondanza

elb-cross-zone-load- abilitato al bilanciamento

Abilita il bilanciamento del carico tra zone per Elastic Load Balancers (ELBs) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze.
SC-5(2) Denial-of-service Protezione | Capacità, larghezza di banda e ridondanza

rds-instance-deletion-protection-abilitato

Assicurati che le istanze di Amazon Relational Database Service (RDSAmazon) abbiano la protezione da eliminazione abilitata. Usa la protezione dall'eliminazione per evitare che le tue RDS istanze Amazon vengano eliminate accidentalmente o intenzionalmente, il che può portare alla perdita di disponibilità delle tue applicazioni.
SC-5(2) Denial-of-service Protezione | Capacità, larghezza di banda e ridondanza

redshift-backup-enabled

Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Amazon Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per ogni nodo di modifica dei dati o per qualsiasi evento che si verifica per primo.
SC-5(2) Denial-of-service Protezione | Capacità, larghezza di banda e ridondanza

s-3 version-lifecycle-policy-check

Assicurati che le policy del ciclo di vita Amazon S3 siano configurate per definire le operazioni che deve eseguire Amazon S3 durante il ciclo di vita di un oggetto, ad esempio la transizione di oggetti in un'altra classe di storage, la relativa archiviazione o l'eliminazione dopo un periodo di tempo specificato.
SC-5(2) Denial-of-service Protezione | Capacità, larghezza di banda e ridondanza

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon crea RDS automaticamente uno snapshot del volume di storage dell'istanza DB, eseguendo il backup dell'intera istanza DB. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
SC-5(2) Denial-of-service Protezione | Capacità, larghezza di banda e ridondanza

dynamodb-autoscaling-enabled

La scalabilità automatica di Amazon DynamoDB utilizza il servizio Application AWS Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura e scrittura assegnata per gestire improvvisi aumenti di traffico, senza alcuna limitazione (della larghezza di banda della rete).
SC-5(2) Denial-of-service Protezione | Capacità, larghezza di banda e ridondanza

dynamodb-pitr-enabled

Abilita questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella degli ultimi 35 giorni.
SC-5(2) Denial-of-service Protezione | Capacità, larghezza di banda e ridondanza

ebs-optimized-instance

Un'istanza ottimizzata in Amazon Elastic Block Store (AmazonEBS) fornisce capacità aggiuntiva e dedicata per le operazioni di EBS I/O di Amazon. Questa ottimizzazione offre le prestazioni più efficienti per i tuoi EBS volumi riducendo al minimo i conflitti tra le operazioni di EBS I/O di Amazon e altro traffico proveniente dall'istanza.
SC-5(2) Denial-of-service Protezione | Capacità, larghezza di banda e ridondanza

elasticache-redis-cluster-automatic-controllo di backup

Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere mantenuto per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente.
SC-5(2) Denial-of-service Protezione | Capacità, larghezza di banda e ridondanza

elb-deletion-protection-enabled

Questa regola garantisce che per Elastic Load Balancing sia abilitata la protezione da eliminazione. Utilizza questa funzionalità per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni.
SC-5(2) Denial-of-service Protezione | Capacità, larghezza di banda e ridondanza

rds-multi-az-support

Il supporto Multi-AZ in Amazon Relational Database Service (RDSAmazon) offre disponibilità e durabilità avanzate per le istanze di database. Quando effettui il provisioning di un'istanza di database Multi-AZ, Amazon crea RDS automaticamente un'istanza di database principale e replica in modo sincrono i dati su un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico verso lo standby in modo da poter riprendere le operazioni del database non appena il failover è completo.
SC-5(2) Denial-of-service Protezione | Capacità, larghezza di banda e ridondanza

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno finestre di manutenzione preferite e periodi di conservazione automatica degli snapshot per il database. Questa regola richiede l'impostazione di. allowVersionUpgrade Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sab: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le policy dell'organizzazione.
SC-5(2) Denial-of-service Protezione | Capacità, larghezza di banda e ridondanza

s-3 bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication CRR () supporta il mantenimento di capacità e disponibilità adeguate. CRRconsente la copia automatica e asincrona degli oggetti tra i bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
SC-5(2) Denial-of-service Protezione | Capacità, larghezza di banda e ridondanza

s-3 bucket-versioning-enabled

Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti.
SC-5(2) Denial-of-service Protezione | Capacità, larghezza di banda e ridondanza

vpc-vpn-2-tunnels-up

È possibile implementare Site-to-Site VPN tunnel ridondanti per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso in cui una delle connessioni non sia disponibile. Site-to-Site VPN Per proteggerti dalla perdita di connettività, nel caso in cui il gateway per i clienti non sia disponibile, puoi configurare una seconda Site-to-Site VPN connessione al tuo Amazon Virtual Private Cloud (AmazonVPC) e al gateway privato virtuale utilizzando un secondo gateway cliente.
SC-5(3) Denial-of-service Protezione | Rilevamento e monitoraggio

guardduty-enabled-centralized

Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud.
SC-5 Denial-of-service Protezione

guardduty-enabled-centralized

Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud.
SC-7(3) Protezione dei confini | Punti di accesso

autoscaling-launch-config-public-ip-disabilitato

Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. EC2le risorse non devono essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso indesiderato alle applicazioni o ai server.
SC-7(3) Protezione dei confini | Punti di accesso

ec2- instances-in-vpc

Implementa istanze Amazon Elastic Compute Cloud (AmazonEC2) all'interno di un Amazon Virtual Private Cloud (AmazonVPC) per consentire comunicazioni sicure tra un'istanza e altri servizi all'interno di AmazonVPC, senza richiedere un gateway Internet, un NAT dispositivo o una connessione. VPN Tutto il traffico rimane sicuro all'interno del cloud. AWS A causa del loro isolamento logico, i domini che risiedono all'interno di Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Assegna EC2 istanze Amazon a un Amazon per VPC gestire correttamente l'accesso.
SC-7(3) Protezione dei confini | Punti di accesso

ssm-document-not-public

Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso indesiderato ai tuoi SSM documenti. Un SSM documento pubblico può esporre informazioni sull'account, sulle risorse e sui processi interni.
SC-7(3) Protezione dei confini | Punti di accesso

dms-replication-not-public

Gestisci l'accesso al AWS cloud assicurando che le istanze di DMS replica non siano accessibili pubblicamente. DMSle istanze di replica possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
SC-7(3) Protezione dei confini | Punti di accesso

ebs-snapshot-public-restorable-controlla

Gestisci l'accesso al AWS cloud assicurando che le EBS istantanee non siano ripristinabili pubblicamente. EBSgli snapshot dei volumi possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
SC-7(3) Protezione dei confini | Punti di accesso

ec2- instance-no-public-ip

Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (AmazonEC2) non siano accessibili pubblicamente. EC2Le istanze Amazon possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
SC-7(3) Protezione dei confini | Punti di accesso

elasticsearch-in-vpc-only

Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (AmazonVPC). Un dominio di OpenSearch servizio all'interno VPC di Amazon consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un NAT dispositivo o una VPN connessione.
SC-7(3) Protezione dei confini | Punti di accesso

emr-master-no-public-ip

Gestisci l'accesso al AWS cloud assicurando che i nodi master EMR del cluster Amazon non siano accessibili pubblicamente. I nodi master EMR del cluster Amazon possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account.
SC-7(3) Protezione dei confini | Punti di accesso

lambda-function-public-access-proibito

Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse.
SC-7(3) Protezione dei confini | Punti di accesso

lambda-inside-vpc

Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (VPCAmazon) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon. VPC Con questa configurazione, non è necessario un gateway Internet, un NAT dispositivo o VPN una connessione. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. A causa del loro isolamento logico, i domini che risiedono all'interno di Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un. VPC
SC-7(3) Protezione dei confini | Punti di accesso

opensearch-in-vpc-only

Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (AmazonVPC). Un dominio Amazon OpenSearch Service all'interno di Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un NAT dispositivo o una VPN connessione.
SC-7(3) Protezione dei confini | Punti di accesso

rds-instance-public-access-controlla

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (RDSAmazon) non siano pubbliche. Le istanze di RDS database Amazon possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi.
SC-7(3) Protezione dei confini | Punti di accesso

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (RDSAmazon) non siano pubbliche. Le istanze di RDS database Amazon possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi.
SC-7(3) Protezione dei confini | Punti di accesso

redshift-cluster-public-access-controlla

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi.
SC-7(3) Protezione dei confini | Punti di accesso

s3- -blocchi-periodici account-level-public-access

Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione.
SC-7(3) Protezione dei confini | Punti di accesso

bucket-level-public-accesss3- -proibito

Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
SC-7(3) Protezione dei confini | Punti di accesso

s3- bucket-public-read-prohibited

Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati.
SC-7(3) Protezione dei confini | Punti di accesso

s3- bucket-public-write-prohibited

Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati.
SC-7(3) Protezione dei confini | Punti di accesso

sagemaker-notebook-no-direct-accesso a Internet

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
SC-7(3) Protezione dei confini | Punti di accesso

subnet-auto-assign-public-IP disabilitato

Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato alla loro interfaccia di rete principale.
SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni

autoscaling-launch-config-public-IP disabilitato

Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. EC2le risorse non devono essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso indesiderato alle applicazioni o ai server.
SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni

elasticsearch-node-to-node-controllo della crittografia

Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. Node-to-nodela crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (AmazonVPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni

elb-tls-https-listeners-solo

Assicurati che i tuoi Elastic Load Balancers (ELBs) siano configurati con SSL i nostri listener. HTTPS Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (AmazonEC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto.
SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni

ec2- instances-in-vpc

Implementa istanze Amazon Elastic Compute Cloud (AmazonEC2) all'interno di un Amazon Virtual Private Cloud (AmazonVPC) per consentire comunicazioni sicure tra un'istanza e altri servizi all'interno di AmazonVPC, senza richiedere un gateway Internet, un NAT dispositivo o una connessione. VPN Tutto il traffico rimane sicuro all'interno del cloud. AWS A causa del loro isolamento logico, i domini che risiedono all'interno di Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Assegna EC2 istanze Amazon a un Amazon per VPC gestire correttamente l'accesso.
SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni

no-unrestricted-route-to-igw

Assicurati che le tabelle di EC2 routing di Amazon non abbiano percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPCs può ridurre gli accessi involontari all'interno del tuo ambiente.
SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni

opensearch-https-required

Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon OpenSearch Service.
SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni

opensearch-node-to-node-controllo della crittografia

Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. Node-to-nodela crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (AmazonVPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni

redshift-enhanced-vpc-routing-abilitato

Il VPC routing avanzato impone a tutto COPY il UNLOAD traffico tra il cluster e gli archivi di dati di passare attraverso Amazon. VPC Puoi quindi utilizzare VPC funzionalità come i gruppi di sicurezza e gli elenchi di controllo degli accessi alla rete per proteggere il traffico di rete. È inoltre possibile utilizzare i registri di VPC flusso per monitorare il traffico di rete.
SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni

ssm-document-not-public

Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso indesiderato ai tuoi SSM documenti. Un SSM documento pubblico può esporre informazioni sull'account, sulle risorse e sui processi interni.
SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni

alb-http-to-https-controllo del reindirizzamento

Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste non crittografate a. HTTP HTTPS Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni

api-gw-ssl-enabled

Assicurati che REST API le fasi di Amazon API Gateway siano configurate con SSL certificati per consentire ai sistemi di backend di autenticare che le richieste provengono da API Gateway.
SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni

dms-replication-not-public

Gestisci l'accesso al AWS cloud assicurando che le istanze di DMS replica non siano accessibili pubblicamente. DMSle istanze di replica possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni

ebs-snapshot-public-restorable-controlla

Gestisci l'accesso al AWS cloud assicurando che le EBS istantanee non siano ripristinabili pubblicamente. EBSgli snapshot dei volumi possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni

ec2- instance-no-public-ip

Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (AmazonEC2) non siano accessibili pubblicamente. EC2Le istanze Amazon possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni

elasticsearch-in-vpc-only

Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (AmazonVPC). Un dominio di OpenSearch servizio all'interno VPC di Amazon consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un NAT dispositivo o una VPN connessione.
SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni

elb-acm-certificate-required

Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire TLS certificatiSSL/pubblici e privati con AWS servizi e risorse interne.
SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni

elbv2- acm-certificate-required

Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire TLS certificatiSSL/pubblici e privati con AWS servizi e risorse interne.
SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni

emr-master-no-public-ip

Gestisci l'accesso al AWS cloud assicurando che i nodi master EMR del cluster Amazon non siano accessibili pubblicamente. I nodi master EMR del cluster Amazon possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account.
SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni

lambda-function-public-access-proibito

Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse.
SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni

lambda-inside-vpc

Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (VPCAmazon) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon. VPC Con questa configurazione, non è necessario un gateway Internet, un NAT dispositivo o VPN una connessione. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. A causa del loro isolamento logico, i domini che risiedono all'interno di Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un. VPC
SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni

opensearch-in-vpc-only

Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (AmazonVPC). Un dominio Amazon OpenSearch Service all'interno di Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un NAT dispositivo o una VPN connessione.
SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni

rds-instance-public-access-controlla

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (RDSAmazon) non siano pubbliche. Le istanze di RDS database Amazon possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi.
SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (RDSAmazon) non siano pubbliche. Le istanze di RDS database Amazon possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi.
SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni

redshift-cluster-public-access-controlla

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi.
SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni

redshift-require-tls-ssl

Assicurati che i tuoi cluster Amazon Redshift richiedano la SSL crittografiaTLS/per connettersi ai client. SQL Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni

restricted-common-ports

Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (AmazonEC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente da blockedPort 1 a blockedPort 5 parametri (Config Defaults: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione.
SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni

account-level-public-accesss3- -blocchi-periodici

Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione.
SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni

bucket-level-public-accesss3- -proibito

Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni

s3- bucket-public-read-prohibited

Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati.
SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni

s3- bucket-public-write-prohibited

Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati.
SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni

s3- bucket-ssl-requests-only

Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste di utilizzo di Secure Socket Layer (). SSL Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni

sagemaker-notebook-no-direct-accesso a Internet

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni

subnet-auto-assign-public-IP disabilitato

Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato alla loro interfaccia di rete principale.
SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni

vpc-default-security-group-chiuso

I gruppi di sicurezza di Amazon Elastic Compute Cloud (AmazonEC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS
SC-7(4) Protezione dei confini | Servizi di telecomunicazione esterni

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (AmazonEC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni.
SC-7(5) Protezione dei confini | Rifiuto per impostazione predefinita e consenso in via eccezionale

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (AmazonEC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto.
SC-7(5) Protezione dei confini | Rifiuto per impostazione predefinita e consenso in via eccezionale

restricted-common-ports

Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (AmazonEC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente da blockedPort 1 a blockedPort 5 parametri (Config Defaults: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione.
SC-7(5) Protezione dei confini | Rifiuto per impostazione predefinita e consenso in via eccezionale

vpc-default-security-group-chiuso

I gruppi di sicurezza di Amazon Elastic Compute Cloud (AmazonEC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS
SC-7(5) Protezione dei confini | Rifiuto per impostazione predefinita e consenso in via eccezionale

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (AmazonEC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni.
SC-7(9) Protezione dei confini | Limitazione del traffico di comunicazioni minacciose in uscita

autoscaling-launch-config-public-ip-disabilitato

Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. EC2le risorse non devono essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso indesiderato alle applicazioni o ai server.
SC-7(9) Protezione dei confini | Limitazione del traffico di comunicazioni minacciose in uscita

elasticsearch-logs-to-cloudwatch

Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e per diagnosticare i problemi di disponibilità.
SC-7(9) Protezione dei confini | Limitazione del traffico di comunicazioni minacciose in uscita

ec2- instances-in-vpc

Implementa istanze Amazon Elastic Compute Cloud (AmazonEC2) all'interno di un Amazon Virtual Private Cloud (AmazonVPC) per consentire comunicazioni sicure tra un'istanza e altri servizi all'interno di AmazonVPC, senza richiedere un gateway Internet, un NAT dispositivo o una connessione. VPN Tutto il traffico rimane sicuro all'interno del cloud. AWS A causa del loro isolamento logico, i domini che risiedono all'interno di Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Assegna EC2 istanze Amazon a un Amazon per VPC gestire correttamente l'accesso.
SC-7(9) Protezione dei confini | Limitazione del traffico di comunicazioni minacciose in uscita

multi-region-cloudtrail-enabled

AWS CloudTrail registra le azioni e API le chiamate della console di AWS gestione. È possibile identificare quali utenti e account hanno effettuato le chiamate AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di log da tutte le AWS regioni al tuo bucket S3 se MULTI _ _ _ _ REGION CLOUD TRAIL _ ENABLED è abilitato. Inoltre, all' AWS avvio di una nuova regione, CloudTrail creerà lo stesso percorso nella nuova regione. Di conseguenza, riceverai file di registro contenenti le API attività per la nuova regione senza intraprendere alcuna azione.
SC-7(9) Protezione dei confini | Limitazione del traffico di comunicazioni minacciose in uscita

opensearch-logs-to-cloudwatch

Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità.
SC-7(9) Protezione dei confini | Limitazione del traffico di comunicazioni minacciose in uscita

redshift-enhanced-vpc-routing-abilitato

Il VPC routing avanzato impone a tutto COPY il UNLOAD traffico tra il cluster e gli archivi di dati di passare attraverso Amazon. VPC Puoi quindi utilizzare VPC funzionalità come i gruppi di sicurezza e gli elenchi di controllo degli accessi alla rete per proteggere il traffico di rete. È inoltre possibile utilizzare i registri di VPC flusso per monitorare il traffico di rete.
SC-7(9) Protezione dei confini | Limitazione del traffico di comunicazioni minacciose in uscita

ssm-document-not-public

Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso indesiderato ai tuoi SSM documenti. Un SSM documento pubblico può esporre informazioni sull'account, sulle risorse e sui processi interni.
SC-7(9) Protezione dei confini | Limitazione del traffico di comunicazioni minacciose in uscita

wafv2-logging-enabled

Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita AWS WAF (V2) la registrazione sul Web regionale e globale. ACLs AWS WAFla registrazione fornisce informazioni dettagliate sul traffico analizzato dal Web. ACL I registri registrano l'ora in cui è AWS WAF stata ricevuta la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta.
SC-7(9) Protezione dei confini | Limitazione del traffico di comunicazioni minacciose in uscita

api-gw-execution-logging-abilitato

APILa registrazione del gateway mostra viste dettagliate degli utenti che hanno effettuato l'accesso API e il modo in cui hanno effettuato l'accesso a. API Queste informazioni offrono visibilità sulle attività degli utenti.
SC-7(9) Protezione dei confini | Limitazione del traffico di comunicazioni minacciose in uscita

cloud-trail-cloud-watch-abilitato ai log

Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle API chiamate all'interno del tuo Account AWS.
SC-7(9) Protezione dei confini | Limitazione del traffico di comunicazioni minacciose in uscita

cloudtrail-enabled

AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni e le chiamate della Console AWS di gestione. API È possibile identificare gli utenti e chi Account AWS ha chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents.
SC-7(9) Protezione dei confini | Limitazione del traffico di comunicazioni minacciose in uscita

cloudtrail-s3-dataevents-enabled

La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono Account AWS le informazioni relative all'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento.
SC-7(9) Protezione dei confini | Limitazione del traffico di comunicazioni minacciose in uscita

dms-replication-not-public

Gestisci l'accesso al AWS cloud assicurando che le istanze di DMS replica non siano accessibili pubblicamente. DMSle istanze di replica possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
SC-7(9) Protezione dei confini | Limitazione del traffico di comunicazioni minacciose in uscita

ebs-snapshot-public-restorable-controlla

Gestisci l'accesso al AWS cloud assicurando che le EBS istantanee non siano ripristinabili pubblicamente. EBSgli snapshot dei volumi possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
SC-7(9) Protezione dei confini | Limitazione del traffico di comunicazioni minacciose in uscita

ec2- instance-no-public-ip

Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (AmazonEC2) non siano accessibili pubblicamente. EC2Le istanze Amazon possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
SC-7(9) Protezione dei confini | Limitazione del traffico di comunicazioni minacciose in uscita

elasticsearch-in-vpc-only

Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (AmazonVPC). Un dominio di OpenSearch servizio all'interno VPC di Amazon consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un NAT dispositivo o una VPN connessione.
SC-7(9) Protezione dei confini | Limitazione del traffico di comunicazioni minacciose in uscita

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che ELB la registrazione sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a. ELB Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
SC-7(9) Protezione dei confini | Limitazione del traffico di comunicazioni minacciose in uscita

emr-master-no-public-ip

Gestisci l'accesso al AWS cloud assicurando che i nodi master EMR del cluster Amazon non siano accessibili pubblicamente. I nodi master EMR del cluster Amazon possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account.
SC-7(9) Protezione dei confini | Limitazione del traffico di comunicazioni minacciose in uscita

lambda-function-public-access-proibito

Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse.
SC-7(9) Protezione dei confini | Limitazione del traffico di comunicazioni minacciose in uscita

lambda-inside-vpc

Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (VPCAmazon) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon. VPC Con questa configurazione, non è necessario un gateway Internet, un NAT dispositivo o VPN una connessione. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. A causa del loro isolamento logico, i domini che risiedono all'interno di Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un. VPC
SC-7(9) Protezione dei confini | Limitazione del traffico di comunicazioni minacciose in uscita

opensearch-in-vpc-only

Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (AmazonVPC). Un dominio Amazon OpenSearch Service all'interno di Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un NAT dispositivo o una VPN connessione.
SC-7(9) Protezione dei confini | Limitazione del traffico di comunicazioni minacciose in uscita

rds-instance-public-access-controlla

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (RDSAmazon) non siano pubbliche. Le istanze di RDS database Amazon possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi.
SC-7(9) Protezione dei confini | Limitazione del traffico di comunicazioni minacciose in uscita

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (RDSAmazon) sia abilitata. Con Amazon RDS Logging, puoi registrare eventi come connessioni, disconnessioni, query o tabelle interrogate.
SC-7(9) Protezione dei confini | Limitazione del traffico di comunicazioni minacciose in uscita

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (RDSAmazon) non siano pubbliche. Le istanze di RDS database Amazon possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi.
SC-7(9) Protezione dei confini | Limitazione del traffico di comunicazioni minacciose in uscita

redshift-cluster-configuration-check

Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default:TRUE) e ( loggingEnabled Config Default:). TRUE I valori effettivi devono riflettere le policy dell'organizzazione.
SC-7(9) Protezione dei confini | Limitazione del traffico di comunicazioni minacciose in uscita

redshift-cluster-public-access-controlla

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi.
SC-7(9) Protezione dei confini | Limitazione del traffico di comunicazioni minacciose in uscita

s3- -blocchi-periodici account-level-public-access

Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione.
SC-7(9) Protezione dei confini | Limitazione del traffico di comunicazioni minacciose in uscita

bucket-level-public-accesss3- -proibito

Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
SC-7(9) Protezione dei confini | Limitazione del traffico di comunicazioni minacciose in uscita

s3- bucket-logging-enabled

La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente.
SC-7(9) Protezione dei confini | Limitazione del traffico di comunicazioni minacciose in uscita

s3- bucket-public-read-prohibited

Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati.
SC-7(9) Protezione dei confini | Limitazione del traffico di comunicazioni minacciose in uscita

s3- bucket-public-write-prohibited

Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati.
SC-7(9) Protezione dei confini | Limitazione del traffico di comunicazioni minacciose in uscita

sagemaker-notebook-no-direct-accesso a Internet

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
SC-7(9) Protezione dei confini | Limitazione del traffico di comunicazioni minacciose in uscita

subnet-auto-assign-public-IP disabilitato

Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato alla loro interfaccia di rete principale.
SC-7(10) Protezione dei confini | Prevenzione dell'esfiltrazione

cloud-trail-encryption-enabled

Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi percorsi. AWS CloudTrail
SC-7(10) Protezione dei confini | Prevenzione dell'esfiltrazione

dynamodb-table-encrypted-kms

Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Data la possibile presenza di dati sensibili a riposo in queste tabelle, abilita la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con AWS una chiave master del cliente di proprietà (). CMK
SC-7(10) Protezione dei confini | Prevenzione dell'esfiltrazione

ec2- ebs-encryption-by-default

Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (AmazonEBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati.
SC-7(10) Protezione dei confini | Prevenzione dell'esfiltrazione

efs-encrypted-check

Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS).
SC-7(10) Protezione dei confini | Prevenzione dell'esfiltrazione

elasticsearch-encrypted-at-rest

Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch OpenSearch Service (Service).
SC-7(10) Protezione dei confini | Prevenzione dell'esfiltrazione

encrypted-volumes

Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (AmazonEBS).
SC-7(10) Protezione dei confini | Prevenzione dell'esfiltrazione

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (RDSAmazon) sia abilitata. Con Amazon RDS Logging, puoi registrare eventi come connessioni, disconnessioni, query o tabelle interrogate.
SC-7(10) Protezione dei confini | Prevenzione dell'esfiltrazione

rds-snapshot-encrypted

Assicurati che la crittografia sia abilitata per le tue istantanee di Amazon Relational Database Service (RDSAmazon). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati.
SC-7(10) Protezione dei confini | Prevenzione dell'esfiltrazione

rds-storage-encrypted

Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per le tue istanze di Amazon Relational Database Service (RDSAmazon). Poiché i dati sensibili possono esistere inattivi nelle RDS istanze Amazon, abilita la crittografia a memoria inattiva per proteggere tali dati.
SC-7(10) Protezione dei confini | Prevenzione dell'esfiltrazione

redshift-backup-enabled

Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Amazon Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per ogni nodo di modifica dei dati o per qualsiasi evento che si verifica per primo.
SC-7(10) Protezione dei confini | Prevenzione dell'esfiltrazione

redshift-cluster-configuration-check

Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default:TRUE) e ( loggingEnabled Config Default:). TRUE I valori effettivi devono riflettere le policy dell'organizzazione.
SC-7(10) Protezione dei confini | Prevenzione dell'esfiltrazione

abilitato a s3 bucket-server-side-encryption

Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati.
SC-7(10) Protezione dei confini | Prevenzione dell'esfiltrazione

s3- default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati.
SC-7(10) Protezione dei confini | Prevenzione dell'esfiltrazione

sagemaker-endpoint-configuration-kms-configurato a chiave

Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia dei dati inattivi per proteggere tali dati.
SC-7(10) Protezione dei confini | Prevenzione dell'esfiltrazione

sagemaker-notebook-instance-kms-configurato con chiave

Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo notebook. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati.
SC-7(10) Protezione dei confini | Prevenzione dell'esfiltrazione

sns-encrypted-kms

Per proteggere i dati archiviati, assicurati che gli argomenti di Amazon Simple Notification Service (AmazonSNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Data la possibile presenza di dati sensibili a riposo nei messaggi pubblicati, abilita la crittografia a riposo per proteggere tali dati.
SC-7(10) Protezione dei confini | Prevenzione dell'esfiltrazione

wafv2-logging-enabled

Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita AWS WAF (V2) la registrazione sul Web regionale e globale. ACLs AWS WAFla registrazione fornisce informazioni dettagliate sul traffico analizzato dal Web. ACL I registri registrano l'ora in cui è AWS WAF stata ricevuta la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta.
SC-7(10) Protezione dei confini | Prevenzione dell'esfiltrazione

kinesis-stream-encrypted

Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i flussi di Amazon Kinesis.
SC-7(11) Protezione dei confini | Limitazione del traffico di comunicazioni in entrata

autoscaling-launch-config-public-ip-disabilitato

Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. EC2le risorse non devono essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso indesiderato alle applicazioni o ai server.
SC-7(11) Protezione dei confini | Limitazione del traffico di comunicazioni in entrata

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (AmazonEC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto.
SC-7(11) Protezione dei confini | Limitazione del traffico di comunicazioni in entrata

ec2- instances-in-vpc

Implementa istanze Amazon Elastic Compute Cloud (AmazonEC2) all'interno di un Amazon Virtual Private Cloud (AmazonVPC) per consentire comunicazioni sicure tra un'istanza e altri servizi all'interno di AmazonVPC, senza richiedere un gateway Internet, un NAT dispositivo o una connessione. VPN Tutto il traffico rimane sicuro all'interno del cloud. AWS A causa del loro isolamento logico, i domini che risiedono all'interno di Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Assegna EC2 istanze Amazon a un Amazon per VPC gestire correttamente l'accesso.
SC-7(11) Protezione dei confini | Limitazione del traffico di comunicazioni in entrata

no-unrestricted-route-to-igw

Assicurati che le tabelle di EC2 routing di Amazon non abbiano percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPCs può ridurre gli accessi involontari all'interno del tuo ambiente.
SC-7(11) Protezione dei confini | Limitazione del traffico di comunicazioni in entrata

redshift-enhanced-vpc-routing-abilitato

Il VPC routing avanzato impone a tutto COPY il UNLOAD traffico tra il cluster e gli archivi di dati di passare attraverso Amazon. VPC Puoi quindi utilizzare VPC funzionalità come i gruppi di sicurezza e gli elenchi di controllo degli accessi alla rete per proteggere il traffico di rete. È inoltre possibile utilizzare i registri di VPC flusso per monitorare il traffico di rete.
SC-7(11) Protezione dei confini | Limitazione del traffico di comunicazioni in entrata

ssm-document-not-public

Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso indesiderato ai tuoi SSM documenti. Un SSM documento pubblico può esporre informazioni sull'account, sulle risorse e sui processi interni.
SC-7(11) Protezione dei confini | Limitazione del traffico di comunicazioni in entrata

dms-replication-not-public

Gestisci l'accesso al AWS cloud assicurando che le istanze di DMS replica non siano accessibili pubblicamente. DMSle istanze di replica possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
SC-7(11) Protezione dei confini | Limitazione del traffico di comunicazioni in entrata

ebs-snapshot-public-restorable-controlla

Gestisci l'accesso al AWS cloud assicurando che le EBS istantanee non siano ripristinabili pubblicamente. EBSgli snapshot dei volumi possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
SC-7(11) Protezione dei confini | Limitazione del traffico di comunicazioni in entrata

ec2- instance-no-public-ip

Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (AmazonEC2) non siano accessibili pubblicamente. EC2Le istanze Amazon possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
SC-7(11) Protezione dei confini | Limitazione del traffico di comunicazioni in entrata

elasticsearch-in-vpc-only

Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (AmazonVPC). Un dominio di OpenSearch servizio all'interno VPC di Amazon consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un NAT dispositivo o una VPN connessione.
SC-7(11) Protezione dei confini | Limitazione del traffico di comunicazioni in entrata

emr-master-no-public-ip

Gestisci l'accesso al AWS cloud assicurando che i nodi master EMR del cluster Amazon non siano accessibili pubblicamente. I nodi master EMR del cluster Amazon possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account.
SC-7(11) Protezione dei confini | Limitazione del traffico di comunicazioni in entrata

lambda-function-public-access-proibito

Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse.
SC-7(11) Protezione dei confini | Limitazione del traffico di comunicazioni in entrata

lambda-inside-vpc

Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (VPCAmazon) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon. VPC Con questa configurazione, non è necessario un gateway Internet, un NAT dispositivo o VPN una connessione. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. A causa del loro isolamento logico, i domini che risiedono all'interno di Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un. VPC
SC-7(11) Protezione dei confini | Limitazione del traffico di comunicazioni in entrata

opensearch-in-vpc-only

Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (AmazonVPC). Un dominio Amazon OpenSearch Service all'interno di Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un NAT dispositivo o una VPN connessione.
SC-7(11) Protezione dei confini | Limitazione del traffico di comunicazioni in entrata

rds-instance-public-access-controlla

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (RDSAmazon) non siano pubbliche. Le istanze di RDS database Amazon possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi.
SC-7(11) Protezione dei confini | Limitazione del traffico di comunicazioni in entrata

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (RDSAmazon) non siano pubbliche. Le istanze di RDS database Amazon possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi.
SC-7(11) Protezione dei confini | Limitazione del traffico di comunicazioni in entrata

redshift-cluster-public-access-controlla

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi.
SC-7(11) Protezione dei confini | Limitazione del traffico di comunicazioni in entrata

restricted-common-ports

Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (AmazonEC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente da blockedPort 1 a blockedPort 5 parametri (Config Defaults: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione.
SC-7(11) Protezione dei confini | Limitazione del traffico di comunicazioni in entrata

account-level-public-accesss3- -blocchi-periodici

Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione.
SC-7(11) Protezione dei confini | Limitazione del traffico di comunicazioni in entrata

bucket-level-public-accesss3- -proibito

Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
SC-7(11) Protezione dei confini | Limitazione del traffico di comunicazioni in entrata

s3- bucket-public-read-prohibited

Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati.
SC-7(11) Protezione dei confini | Limitazione del traffico di comunicazioni in entrata

s3- bucket-public-write-prohibited

Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati.
SC-7(11) Protezione dei confini | Limitazione del traffico di comunicazioni in entrata

sagemaker-notebook-no-direct-accesso a Internet

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
SC-7(11) Protezione dei confini | Limitazione del traffico di comunicazioni in entrata

subnet-auto-assign-public-IP disabilitato

Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato alla loro interfaccia di rete principale.
SC-7(11) Protezione dei confini | Limitazione del traffico di comunicazioni in entrata

vpc-default-security-group-chiuso

I gruppi di sicurezza di Amazon Elastic Compute Cloud (AmazonEC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS
SC-7(11) Protezione dei confini | Limitazione del traffico di comunicazioni in entrata

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (AmazonEC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni.
SC-7(16) Protezione dei confini | Prevenzione del rilevamento dei componenti di sistema

autoscaling-launch-config-public-ip-disabilitato

Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. EC2le risorse non devono essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso indesiderato alle applicazioni o ai server.
SC-7(16) Protezione dei confini | Prevenzione del rilevamento dei componenti di sistema

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (AmazonEC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto.
SC-7(16) Protezione dei confini | Prevenzione del rilevamento dei componenti di sistema

ec2- instances-in-vpc

Implementa istanze Amazon Elastic Compute Cloud (AmazonEC2) all'interno di un Amazon Virtual Private Cloud (AmazonVPC) per consentire comunicazioni sicure tra un'istanza e altri servizi all'interno di AmazonVPC, senza richiedere un gateway Internet, un NAT dispositivo o una connessione. VPN Tutto il traffico rimane sicuro all'interno del cloud. AWS A causa del loro isolamento logico, i domini che risiedono all'interno di Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Assegna EC2 istanze Amazon a un Amazon per VPC gestire correttamente l'accesso.
SC-7(16) Protezione dei confini | Prevenzione del rilevamento dei componenti di sistema

no-unrestricted-route-to-igw

Assicurati che le tabelle di EC2 routing di Amazon non abbiano percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPCs può ridurre gli accessi involontari all'interno del tuo ambiente.
SC-7(16) Protezione dei confini | Prevenzione del rilevamento dei componenti di sistema

ssm-document-not-public

Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso indesiderato ai tuoi SSM documenti. Un SSM documento pubblico può esporre informazioni sull'account, sulle risorse e sui processi interni.
SC-7(16) Protezione dei confini | Prevenzione del rilevamento dei componenti di sistema

acm-certificate-expiration-check

Assicurati che l'integrità della rete sia protetta assicurando che i certificati X509 vengano emessi da. AWS ACM Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore per daysToExpiration (valore AWS Foundational Security Best Practices: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione.
SC-7(16) Protezione dei confini | Prevenzione del rilevamento dei componenti di sistema

dms-replication-not-public

Gestisci l'accesso al AWS cloud assicurando che le istanze di DMS replica non siano accessibili pubblicamente. DMSle istanze di replica possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
SC-7(16) Protezione dei confini | Prevenzione del rilevamento dei componenti di sistema

ebs-snapshot-public-restorable-controlla

Gestisci l'accesso al AWS cloud assicurando che le EBS istantanee non siano ripristinabili pubblicamente. EBSgli snapshot dei volumi possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
SC-7(16) Protezione dei confini | Prevenzione del rilevamento dei componenti di sistema

ec2- instance-no-public-ip

Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (AmazonEC2) non siano accessibili pubblicamente. EC2Le istanze Amazon possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
SC-7(16) Protezione dei confini | Prevenzione del rilevamento dei componenti di sistema

elasticsearch-in-vpc-only

Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (AmazonVPC). Un dominio di OpenSearch servizio all'interno VPC di Amazon consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un NAT dispositivo o una VPN connessione.
SC-7(16) Protezione dei confini | Prevenzione del rilevamento dei componenti di sistema

emr-master-no-public-ip

Gestisci l'accesso al AWS cloud assicurando che i nodi master EMR del cluster Amazon non siano accessibili pubblicamente. I nodi master EMR del cluster Amazon possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account.
SC-7(16) Protezione dei confini | Prevenzione del rilevamento dei componenti di sistema

lambda-function-public-access-proibito

Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse.
SC-7(16) Protezione dei confini | Prevenzione del rilevamento dei componenti di sistema

lambda-inside-vpc

Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (VPCAmazon) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon. VPC Con questa configurazione, non è necessario un gateway Internet, un NAT dispositivo o VPN una connessione. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. A causa del loro isolamento logico, i domini che risiedono all'interno di Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un. VPC
SC-7(16) Protezione dei confini | Prevenzione del rilevamento dei componenti di sistema

opensearch-in-vpc-only

Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (AmazonVPC). Un dominio Amazon OpenSearch Service all'interno di Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un NAT dispositivo o una VPN connessione.
SC-7(16) Protezione dei confini | Prevenzione del rilevamento dei componenti di sistema

rds-instance-public-access-controlla

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (RDSAmazon) non siano pubbliche. Le istanze di RDS database Amazon possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi.
SC-7(16) Protezione dei confini | Prevenzione del rilevamento dei componenti di sistema

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (RDSAmazon) non siano pubbliche. Le istanze di RDS database Amazon possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi.
SC-7(16) Protezione dei confini | Prevenzione del rilevamento dei componenti di sistema

redshift-cluster-public-access-controlla

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi.
SC-7(16) Protezione dei confini | Prevenzione del rilevamento dei componenti di sistema

restricted-common-ports

Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (AmazonEC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente da blockedPort 1 a blockedPort 5 parametri (Config Defaults: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione.
SC-7(16) Protezione dei confini | Prevenzione del rilevamento dei componenti di sistema

account-level-public-accesss3- -blocchi-periodici

Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione.
SC-7(16) Protezione dei confini | Prevenzione del rilevamento dei componenti di sistema

bucket-level-public-accesss3- -proibito

Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
SC-7(16) Protezione dei confini | Prevenzione del rilevamento dei componenti di sistema

s3- bucket-public-read-prohibited

Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati.
SC-7(16) Protezione dei confini | Prevenzione del rilevamento dei componenti di sistema

s3- bucket-public-write-prohibited

Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati.
SC-7(16) Protezione dei confini | Prevenzione del rilevamento dei componenti di sistema

sagemaker-notebook-no-direct-accesso a Internet

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
SC-7(16) Protezione dei confini | Prevenzione del rilevamento dei componenti di sistema

subnet-auto-assign-public-IP disabilitato

Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato alla loro interfaccia di rete principale.
SC-7(16) Protezione dei confini | Prevenzione del rilevamento dei componenti di sistema

vpc-default-security-group-chiuso

I gruppi di sicurezza di Amazon Elastic Compute Cloud (AmazonEC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS
SC-7(16) Protezione dei confini | Prevenzione del rilevamento dei componenti di sistema

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (AmazonEC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni.
SC-7(21) Protezione dei confini | Isolamento dei componenti di sistema

autoscaling-launch-config-public-ip-disabilitato

Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. EC2le risorse non devono essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso indesiderato alle applicazioni o ai server.
SC-7(21) Protezione dei confini | Isolamento dei componenti di sistema

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (AmazonEC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto.
SC-7(21) Protezione dei confini | Isolamento dei componenti di sistema

ec2- instances-in-vpc

Implementa istanze Amazon Elastic Compute Cloud (AmazonEC2) all'interno di un Amazon Virtual Private Cloud (AmazonVPC) per consentire comunicazioni sicure tra un'istanza e altri servizi all'interno di AmazonVPC, senza richiedere un gateway Internet, un NAT dispositivo o una connessione. VPN Tutto il traffico rimane sicuro all'interno del cloud. AWS A causa del loro isolamento logico, i domini che risiedono all'interno di Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Assegna EC2 istanze Amazon a un Amazon per VPC gestire correttamente l'accesso.
SC-7(21) Protezione dei confini | Isolamento dei componenti di sistema

no-unrestricted-route-to-igw

Assicurati che le tabelle di EC2 routing di Amazon non abbiano percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPCs può ridurre gli accessi involontari all'interno del tuo ambiente.
SC-7(21) Protezione dei confini | Isolamento dei componenti di sistema

redshift-enhanced-vpc-routing-abilitato

Il VPC routing avanzato impone a tutto COPY il UNLOAD traffico tra il cluster e gli archivi di dati di passare attraverso Amazon. VPC Puoi quindi utilizzare VPC funzionalità come i gruppi di sicurezza e gli elenchi di controllo degli accessi alla rete per proteggere il traffico di rete. È inoltre possibile utilizzare i registri di VPC flusso per monitorare il traffico di rete.
SC-7(21) Protezione dei confini | Isolamento dei componenti di sistema

ssm-document-not-public

Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso indesiderato ai tuoi SSM documenti. Un SSM documento pubblico può esporre informazioni sull'account, sulle risorse e sui processi interni.
SC-7(21) Protezione dei confini | Isolamento dei componenti di sistema

dms-replication-not-public

Gestisci l'accesso al AWS cloud assicurando che le istanze di DMS replica non siano accessibili pubblicamente. DMSle istanze di replica possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
SC-7(21) Protezione dei confini | Isolamento dei componenti di sistema

ebs-snapshot-public-restorable-controlla

Gestisci l'accesso al AWS cloud assicurando che le EBS istantanee non siano ripristinabili pubblicamente. EBSgli snapshot dei volumi possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
SC-7(21) Protezione dei confini | Isolamento dei componenti di sistema

ec2- instance-no-public-ip

Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (AmazonEC2) non siano accessibili pubblicamente. EC2Le istanze Amazon possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
SC-7(21) Protezione dei confini | Isolamento dei componenti di sistema

elasticsearch-in-vpc-only

Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (AmazonVPC). Un dominio di OpenSearch servizio all'interno VPC di Amazon consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un NAT dispositivo o una VPN connessione.
SC-7(21) Protezione dei confini | Isolamento dei componenti di sistema

emr-master-no-public-ip

Gestisci l'accesso al AWS cloud assicurando che i nodi master EMR del cluster Amazon non siano accessibili pubblicamente. I nodi master EMR del cluster Amazon possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account.
SC-7(21) Protezione dei confini | Isolamento dei componenti di sistema

lambda-function-public-access-proibito

Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse.
SC-7(21) Protezione dei confini | Isolamento dei componenti di sistema

lambda-inside-vpc

Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (VPCAmazon) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon. VPC Con questa configurazione, non è necessario un gateway Internet, un NAT dispositivo o VPN una connessione. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. A causa del loro isolamento logico, i domini che risiedono all'interno di Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un. VPC
SC-7(21) Protezione dei confini | Isolamento dei componenti di sistema

opensearch-in-vpc-only

Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (AmazonVPC). Un dominio Amazon OpenSearch Service all'interno di Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un NAT dispositivo o una VPN connessione.
SC-7(21) Protezione dei confini | Isolamento dei componenti di sistema

rds-instance-public-access-controlla

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (RDSAmazon) non siano pubbliche. Le istanze di RDS database Amazon possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi.
SC-7(21) Protezione dei confini | Isolamento dei componenti di sistema

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (RDSAmazon) non siano pubbliche. Le istanze di RDS database Amazon possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi.
SC-7(21) Protezione dei confini | Isolamento dei componenti di sistema

redshift-cluster-public-access-controlla

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi.
SC-7(21) Protezione dei confini | Isolamento dei componenti di sistema

restricted-common-ports

Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (AmazonEC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente da blockedPort 1 a blockedPort 5 parametri (Config Defaults: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione.
SC-7(21) Protezione dei confini | Isolamento dei componenti di sistema

account-level-public-accesss3- -blocchi-periodici

Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione.
SC-7(21) Protezione dei confini | Isolamento dei componenti di sistema

bucket-level-public-accesss3- -proibito

Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
SC-7(21) Protezione dei confini | Isolamento dei componenti di sistema

s3- bucket-public-read-prohibited

Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati.
SC-7(21) Protezione dei confini | Isolamento dei componenti di sistema

s3- bucket-public-write-prohibited

Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati.
SC-7(21) Protezione dei confini | Isolamento dei componenti di sistema

sagemaker-notebook-no-direct-accesso a Internet

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
SC-7(21) Protezione dei confini | Isolamento dei componenti di sistema

subnet-auto-assign-public-IP disabilitato

Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato alla loro interfaccia di rete principale.
SC-7(21) Protezione dei confini | Isolamento dei componenti di sistema

vpc-default-security-group-chiuso

I gruppi di sicurezza di Amazon Elastic Compute Cloud (AmazonEC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS
SC-7(21) Protezione dei confini | Isolamento dei componenti di sistema

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (AmazonEC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni.
SC-7 Protezione dei confini

autoscaling-launch-config-public-ip-disabilitato

Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. EC2le risorse non devono essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso indesiderato alle applicazioni o ai server.
SC-7 Protezione dei confini

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (AmazonEC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto.
SC-7 Protezione dei confini

ec2- instances-in-vpc

Implementa istanze Amazon Elastic Compute Cloud (AmazonEC2) all'interno di un Amazon Virtual Private Cloud (AmazonVPC) per consentire comunicazioni sicure tra un'istanza e altri servizi all'interno di AmazonVPC, senza richiedere un gateway Internet, un NAT dispositivo o una connessione. VPN Tutto il traffico rimane sicuro all'interno del cloud. AWS A causa del loro isolamento logico, i domini che risiedono all'interno di Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Assegna EC2 istanze Amazon a un Amazon per VPC gestire correttamente l'accesso.
SC-7 Protezione dei confini

no-unrestricted-route-to-igw

Assicurati che le tabelle di EC2 routing di Amazon non abbiano percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPCs può ridurre gli accessi involontari all'interno del tuo ambiente.
SC-7 Protezione dei confini

redshift-enhanced-vpc-routing-abilitato

Il VPC routing avanzato impone a tutto COPY il UNLOAD traffico tra il cluster e gli archivi di dati di passare attraverso Amazon. VPC Puoi quindi utilizzare VPC funzionalità come i gruppi di sicurezza e gli elenchi di controllo degli accessi alla rete per proteggere il traffico di rete. È inoltre possibile utilizzare i registri di VPC flusso per monitorare il traffico di rete.
SC-7 Protezione dei confini

ssm-document-not-public

Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso indesiderato ai tuoi SSM documenti. Un SSM documento pubblico può esporre informazioni sull'account, sulle risorse e sui processi interni.
SC-7 Protezione dei confini

dms-replication-not-public

Gestisci l'accesso al AWS cloud assicurando che le istanze di DMS replica non siano accessibili pubblicamente. DMSle istanze di replica possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
SC-7 Protezione dei confini

ebs-snapshot-public-restorable-controlla

Gestisci l'accesso al AWS cloud assicurando che le EBS istantanee non siano ripristinabili pubblicamente. EBSgli snapshot dei volumi possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
SC-7 Protezione dei confini

ec2- instance-no-public-ip

Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (AmazonEC2) non siano accessibili pubblicamente. EC2Le istanze Amazon possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
SC-7 Protezione dei confini

elasticsearch-in-vpc-only

Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (AmazonVPC). Un dominio di OpenSearch servizio all'interno VPC di Amazon consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un NAT dispositivo o una VPN connessione.
SC-7 Protezione dei confini

emr-master-no-public-ip

Gestisci l'accesso al AWS cloud assicurando che i nodi master EMR del cluster Amazon non siano accessibili pubblicamente. I nodi master EMR del cluster Amazon possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account.
SC-7 Protezione dei confini

lambda-function-public-access-proibito

Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse.
SC-7 Protezione dei confini

lambda-inside-vpc

Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (VPCAmazon) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon. VPC Con questa configurazione, non è necessario un gateway Internet, un NAT dispositivo o VPN una connessione. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. A causa del loro isolamento logico, i domini che risiedono all'interno di Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un. VPC
SC-7 Protezione dei confini

opensearch-in-vpc-only

Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (AmazonVPC). Un dominio Amazon OpenSearch Service all'interno di Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un NAT dispositivo o una VPN connessione.
SC-7 Protezione dei confini

rds-instance-public-access-controlla

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (RDSAmazon) non siano pubbliche. Le istanze di RDS database Amazon possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi.
SC-7 Protezione dei confini

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (RDSAmazon) non siano pubbliche. Le istanze di RDS database Amazon possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi.
SC-7 Protezione dei confini

redshift-cluster-public-access-controlla

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi.
SC-7 Protezione dei confini

restricted-common-ports

Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (AmazonEC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente da blockedPort 1 a blockedPort 5 parametri (Config Defaults: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione.
SC-7 Protezione dei confini

account-level-public-accesss3- -blocchi-periodici

Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione.
SC-7 Protezione dei confini

bucket-level-public-accesss3- -proibito

Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
SC-7 Protezione dei confini

s3- bucket-public-read-prohibited

Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati.
SC-7 Protezione dei confini

s3- bucket-public-write-prohibited

Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati.
SC-7 Protezione dei confini

sagemaker-notebook-no-direct-accesso a Internet

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
SC-7 Protezione dei confini

subnet-auto-assign-public-IP disabilitato

Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato alla loro interfaccia di rete principale.
SC-7 Protezione dei confini

vpc-default-security-group-chiuso

I gruppi di sicurezza di Amazon Elastic Compute Cloud (AmazonEC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS
SC-7 Protezione dei confini

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (AmazonEC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni.
SC-8(1) Riservatezza e integrità della trasmissione | Protezione crittografica

elasticsearch-node-to-node-controllo della crittografia

Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. Node-to-nodela crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (AmazonVPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-8(1) Riservatezza e integrità della trasmissione | Protezione crittografica

elbv2- acm-certificate-required

Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire TLS certificatiSSL/pubblici e privati con AWS servizi e risorse interne.
SC-8(1) Riservatezza e integrità della trasmissione | Protezione crittografica

elb-tls-https-listeners-solo

Assicurati che i tuoi Elastic Load Balancers (ELBs) siano configurati con SSL i nostri listener. HTTPS Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-8(1) Riservatezza e integrità della trasmissione | Protezione crittografica

opensearch-https-required

Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon OpenSearch Service.
SC-8(1) Riservatezza e integrità della trasmissione | Protezione crittografica

opensearch-node-to-node-controllo della crittografia

Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. Node-to-nodela crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (AmazonVPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-8(1) Riservatezza e integrità della trasmissione | Protezione crittografica

alb-http-to-https-controllo del reindirizzamento

Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste non crittografate a. HTTP HTTPS Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-8(1) Riservatezza e integrità della trasmissione | Protezione crittografica

api-gw-ssl-enabled

Assicurati che REST API le fasi di Amazon API Gateway siano configurate con SSL certificati per consentire ai sistemi di backend di autenticare che le richieste provengono da API Gateway.
SC-8(1) Riservatezza e integrità della trasmissione | Protezione crittografica

elb-acm-certificate-required

Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire TLS certificatiSSL/pubblici e privati con AWS servizi e risorse interne.
SC-8(1) Riservatezza e integrità della trasmissione | Protezione crittografica

redshift-require-tls-ssl

Assicurati che i tuoi cluster Amazon Redshift richiedano la SSL crittografiaTLS/per connettersi ai client. SQL Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-8(1) Riservatezza e integrità della trasmissione | Protezione crittografica

s3- bucket-ssl-requests-only

Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste di utilizzo di Secure Socket Layer (). SSL Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-8(2) Riservatezza e integrità della trasmissione | Gestione prima e dopo la trasmissione

elasticsearch-node-to-node-controllo della crittografia

Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. Node-to-nodela crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (AmazonVPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-8(2) Riservatezza e integrità della trasmissione | Gestione prima e dopo la trasmissione

elb-tls-https-listeners-solo

Assicurati che i tuoi Elastic Load Balancers (ELBs) siano configurati con SSL i nostri listener. HTTPS Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-8(2) Riservatezza e integrità della trasmissione | Gestione prima e dopo la trasmissione

opensearch-https-required

Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon OpenSearch Service.
SC-8(2) Riservatezza e integrità della trasmissione | Gestione prima e dopo la trasmissione

opensearch-node-to-node-controllo della crittografia

Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. Node-to-nodela crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (AmazonVPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-8(2) Riservatezza e integrità della trasmissione | Gestione prima e dopo la trasmissione

alb-http-to-https-controllo del reindirizzamento

Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste non crittografate a. HTTP HTTPS Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-8(2) Riservatezza e integrità della trasmissione | Gestione prima e dopo la trasmissione

api-gw-ssl-enabled

Assicurati che REST API le fasi di Amazon API Gateway siano configurate con SSL certificati per consentire ai sistemi di backend di autenticare che le richieste provengono da API Gateway.
SC-8(2) Riservatezza e integrità della trasmissione | Gestione prima e dopo la trasmissione

elb-acm-certificate-required

Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire TLS certificatiSSL/pubblici e privati con AWS servizi e risorse interne.
SC-8(2) Riservatezza e integrità della trasmissione | Gestione prima e dopo la trasmissione

elbv2- acm-certificate-required

Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire TLS certificatiSSL/pubblici e privati con AWS servizi e risorse interne.
SC-8(2) Riservatezza e integrità della trasmissione | Gestione prima e dopo la trasmissione

redshift-require-tls-ssl

Assicurati che i tuoi cluster Amazon Redshift richiedano la SSL crittografiaTLS/per connettersi ai client. SQL Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-8(2) Riservatezza e integrità della trasmissione | Gestione prima e dopo la trasmissione

s3- bucket-ssl-requests-only

Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste di utilizzo di Secure Socket Layer (). SSL Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-8 Riservatezza e integrità della trasmissione

elasticsearch-node-to-node-controllo della crittografia

Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. Node-to-nodela crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (AmazonVPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-8 Riservatezza e integrità della trasmissione

elbv2- acm-certificate-required

Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire TLS certificatiSSL/pubblici e privati con AWS servizi e risorse interne.
SC-8 Riservatezza e integrità della trasmissione

elb-tls-https-listeners-solo

Assicurati che i tuoi Elastic Load Balancers (ELBs) siano configurati con SSL i nostri listener. HTTPS Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-8 Riservatezza e integrità della trasmissione

opensearch-https-required

Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon OpenSearch Service.
SC-8 Riservatezza e integrità della trasmissione

opensearch-node-to-node-controllo della crittografia

Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. Node-to-nodela crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (AmazonVPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-8 Riservatezza e integrità della trasmissione

alb-http-to-https-controllo del reindirizzamento

Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste non crittografate a. HTTP HTTPS Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-8 Riservatezza e integrità della trasmissione

api-gw-ssl-enabled

Assicurati che REST API le fasi di Amazon API Gateway siano configurate con SSL certificati per consentire ai sistemi di backend di autenticare che le richieste provengono da API Gateway.
SC-8 Riservatezza e integrità della trasmissione

elb-acm-certificate-required

Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire TLS certificatiSSL/pubblici e privati con AWS servizi e risorse interne.
SC-8 Riservatezza e integrità della trasmissione

redshift-require-tls-ssl

Assicurati che i tuoi cluster Amazon Redshift richiedano la SSL crittografiaTLS/per connettersi ai client. SQL Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-8 Riservatezza e integrità della trasmissione

s3- bucket-ssl-requests-only

Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste di utilizzo di Secure Socket Layer (). SSL Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-12(2) Creazione e gestione delle chiavi crittografiche | Chiavi simmetriche

cmk-backing-key-rotation-abilitato

Abilita la rotazione delle chiavi per garantire che le chiavi vengano ruotate dopo aver raggiunto la fine del periodo crittografico.
SC-12(2) Creazione e gestione delle chiavi crittografiche | Chiavi simmetriche

kms-cmk-not-scheduled-per la cancellazione

Per proteggere i dati archiviati, assicurati che le chiavi master del cliente necessarie (CMKs) non siano pianificate per l'eliminazione in AWS Key Management Service ().AWS KMS Poiché a volte l'eliminazione delle chiavi è necessaria, questa regola può aiutare a verificare tutte le chiavi per le quali è pianificata l'eliminazione, nel caso in cui una chiave sia stata pianificata in modo non intenzionale.
SC-12(3) Creazione e gestione delle chiavi crittografiche | Chiavi asimmetriche

elbv2- acm-certificate-required

Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire TLS certificatiSSL/pubblici e privati con AWS servizi e risorse interne.
SC-12(3) Creazione e gestione delle chiavi crittografiche | Chiavi asimmetriche

elb-tls-https-listeners-solo

Assicurati che i tuoi Elastic Load Balancers (ELBs) siano configurati con SSL i nostri listener. HTTPS Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-12(3) Creazione e gestione delle chiavi crittografiche | Chiavi asimmetriche

opensearch-https-required

Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon OpenSearch Service.
SC-12(3) Creazione e gestione delle chiavi crittografiche | Chiavi asimmetriche

alb-http-to-https-controllo del reindirizzamento

Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste non crittografate a. HTTP HTTPS Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-12(3) Creazione e gestione delle chiavi crittografiche | Chiavi asimmetriche

api-gw-ssl-enabled

Assicurati che REST API le fasi di Amazon API Gateway siano configurate con SSL certificati per consentire ai sistemi di backend di autenticare che le richieste provengono da API Gateway.
SC-12(3) Creazione e gestione delle chiavi crittografiche | Chiavi asimmetriche

elb-acm-certificate-required

Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire TLS certificatiSSL/pubblici e privati con AWS servizi e risorse interne.
SC-12(3) Creazione e gestione delle chiavi crittografiche | Chiavi asimmetriche

s3- bucket-ssl-requests-only

Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste di utilizzo di Secure Socket Layer (). SSL Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-12 Creazione e gestione delle chiavi crittografiche

cmk-backing-key-rotation-abilitato

Abilita la rotazione delle chiavi per garantire che le chiavi vengano ruotate dopo aver raggiunto la fine del periodo crittografico.
SC-12 Creazione e gestione delle chiavi crittografiche

kms-cmk-not-scheduled-per la cancellazione

Per proteggere i dati archiviati, assicurati che le chiavi master del cliente necessarie (CMKs) non siano pianificate per l'eliminazione in AWS Key Management Service ().AWS KMS Poiché a volte l'eliminazione delle chiavi è necessaria, questa regola può aiutare a verificare tutte le chiavi per le quali è pianificata l'eliminazione, nel caso in cui una chiave sia stata pianificata in modo non intenzionale.
SC-13 Protezione crittografica

codebuild-project-artifact-encryption

Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CodeBuild artefatti.
SC-13 Protezione crittografica

dynamodb-table-encrypted-kms

Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Data la possibile presenza di dati sensibili a riposo in queste tabelle, abilita la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con AWS una chiave master del cliente di proprietà (). CMK
SC-13 Protezione crittografica

ec2- ebs-encryption-by-default

Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (AmazonEBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati.
SC-13 Protezione crittografica

elasticsearch-node-to-node-controllo della crittografia

Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. Node-to-nodela crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (AmazonVPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-13 Protezione crittografica

elb-tls-https-listeners-solo

Assicurati che i tuoi Elastic Load Balancers (ELBs) siano configurati con SSL i nostri listener. HTTPS Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-13 Protezione crittografica

kinesis-stream-encrypted

Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i flussi di Amazon Kinesis.
SC-13 Protezione crittografica

opensearch-https-required

Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon OpenSearch Service.
SC-13 Protezione crittografica

opensearch-node-to-node-controllo della crittografia

Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. Node-to-nodela crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (AmazonVPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-13 Protezione crittografica

rds-snapshot-encrypted

Assicurati che la crittografia sia abilitata per le tue istantanee di Amazon Relational Database Service (RDSAmazon). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati.
SC-13 Protezione crittografica

s-3 default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati.
SC-13 Protezione crittografica

sagemaker-notebook-instance-kms-configurato a chiave

Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo notebook. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati.
SC-13 Protezione crittografica

sns-encrypted-kms

Per proteggere i dati archiviati, assicurati che gli argomenti di Amazon Simple Notification Service (AmazonSNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Data la possibile presenza di dati sensibili a riposo nei messaggi pubblicati, abilita la crittografia a riposo per proteggere tali dati.
SC-13 Protezione crittografica

alb-http-to-https-controllo del reindirizzamento

Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste non crittografate a. HTTP HTTPS Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-13 Protezione crittografica

api-gw-cache-enabled-e crittografato

Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per la cache di API Gateway Stage. Poiché con questo API metodo è possibile acquisire dati sensibili, abilita la crittografia a riposo per proteggere tali dati.
SC-13 Protezione crittografica

api-gw-ssl-enabled

Assicurati che REST API le fasi di Amazon API Gateway siano configurate con SSL certificati per consentire ai sistemi di backend di autenticare che le richieste provengono da API Gateway.
SC-13 Protezione crittografica

cloud-trail-encryption-enabled

Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CloudTrail percorsi.
SC-13 Protezione crittografica

efs-encrypted-check

Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS).
SC-13 Protezione crittografica

elasticsearch-encrypted-at-rest

Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch OpenSearch Service (Service).
SC-13 Protezione crittografica

elb-acm-certificate-required

Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire TLS certificatiSSL/pubblici e privati con AWS servizi e risorse interne.
SC-13 Protezione crittografica

elbv2- acm-certificate-required

Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire TLS certificatiSSL/pubblici e privati con AWS servizi e risorse interne.
SC-13 Protezione crittografica

encrypted-volumes

Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (AmazonEBS).
SC-13 Protezione crittografica

opensearch-encrypted-at-rest

Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service.
SC-13 Protezione crittografica

rds-storage-encrypted

Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per le tue istanze di Amazon Relational Database Service (RDSAmazon). Poiché i dati sensibili possono esistere inattivi nelle RDS istanze Amazon, abilita la crittografia a memoria inattiva per proteggere tali dati.
SC-13 Protezione crittografica

redshift-cluster-configuration-check

Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default:TRUE) e ( loggingEnabled Config Default:). TRUE I valori effettivi devono riflettere le policy dell'organizzazione.
SC-13 Protezione crittografica

redshift-cluster-kms-enabled

Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo cluster Amazon Redshift. Data la possibile presenza di dati sensibili a riposo nei cluster Redshift, abilita la crittografia a riposo per proteggere tali dati.
SC-13 Protezione crittografica

redshift-require-tls-ssl

Assicurati che i tuoi cluster Amazon Redshift richiedano la SSL crittografiaTLS/per connettersi ai client. SQL Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-13 Protezione crittografica

abilitato per s3 bucket-server-side-encryption

Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati.
SC-13 Protezione crittografica

s3- bucket-ssl-requests-only

Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste di utilizzo di Secure Socket Layer (). SSL Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-13 Protezione crittografica

sagemaker-endpoint-configuration-kms-configurato con chiave

Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia dei dati inattivi per proteggere tali dati.
SC-13 Protezione crittografica

secretsmanager-using-cmk

Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per AWS i segreti di Secrets Manager. Data la possibile presenza di dati sensibili a riposo nei segreti di Secrets Manager, abilita la crittografia a riposo per proteggere tali dati.
SC-23(3) Autenticità della sessione | Identificatori di sessione univoci generati dal sistema

elasticsearch-node-to-node-controllo della crittografia

Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. Node-to-nodela crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (AmazonVPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-23(3) Autenticità della sessione | Identificatori di sessione univoci generati dal sistema

elb-tls-https-listeners-solo

Assicurati che i tuoi Elastic Load Balancers (ELBs) siano configurati con SSL i nostri listener. HTTPS Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-23(3) Autenticità della sessione | Identificatori di sessione univoci generati dal sistema

opensearch-https-required

Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon OpenSearch Service.
SC-23(3) Autenticità della sessione | Identificatori di sessione univoci generati dal sistema

opensearch-node-to-node-controllo della crittografia

Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. Node-to-nodela crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (AmazonVPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-23(3) Autenticità della sessione | Identificatori di sessione univoci generati dal sistema

alb-http-to-https-controllo del reindirizzamento

Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste non crittografate a. HTTP HTTPS Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-23(3) Autenticità della sessione | Identificatori di sessione univoci generati dal sistema

api-gw-ssl-enabled

Assicurati che REST API le fasi di Amazon API Gateway siano configurate con SSL certificati per consentire ai sistemi di backend di autenticare che le richieste provengono da API Gateway.
SC-23(3) Autenticità della sessione | Identificatori di sessione univoci generati dal sistema

elbv2- acm-certificate-required

Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire TLS certificatiSSL/pubblici e privati con AWS servizi e risorse interne.
SC-23(3) Autenticità della sessione | Identificatori di sessione univoci generati dal sistema

redshift-require-tls-ssl

Assicurati che i tuoi cluster Amazon Redshift richiedano la SSL crittografiaTLS/per connettersi ai client. SQL Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-23(3) Autenticità della sessione | Identificatori di sessione univoci generati dal sistema

s3- bucket-ssl-requests-only

Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste di utilizzo di Secure Socket Layer (). SSL Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-23(5) Autenticità della sessione | Autorità di certificazione consentite

elbv2- acm-certificate-required

Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire TLS certificatiSSL/pubblici e privati con AWS servizi e risorse interne.
SC-23(5) Autenticità della sessione | Autorità di certificazione consentite

elb-acm-certificate-required

Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire TLS certificatiSSL/pubblici e privati con AWS servizi e risorse interne.
SC-23 Autenticità della sessione

elasticsearch-node-to-node-controllo della crittografia

Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. Node-to-nodela crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (AmazonVPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-23 Autenticità della sessione

elb-tls-https-listeners-solo

Assicurati che i tuoi Elastic Load Balancers (ELBs) siano configurati con SSL i nostri listener. HTTPS Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-23 Autenticità della sessione

opensearch-https-required

Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon OpenSearch Service.
SC-23 Autenticità della sessione

opensearch-node-to-node-controllo della crittografia

Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. Node-to-nodela crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (AmazonVPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-23 Autenticità della sessione

alb-http-to-https-controllo del reindirizzamento

Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste non crittografate a. HTTP HTTPS Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-23 Autenticità della sessione

api-gw-ssl-enabled

Assicurati che REST API le fasi di Amazon API Gateway siano configurate con SSL certificati per consentire ai sistemi di backend di autenticare che le richieste provengono da API Gateway.
SC-23 Autenticità della sessione

elb-acm-certificate-required

Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire TLS certificatiSSL/pubblici e privati con AWS servizi e risorse interne.
SC-23 Autenticità della sessione

elbv2- acm-certificate-required

Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire TLS certificatiSSL/pubblici e privati con AWS servizi e risorse interne.
SC-23 Autenticità della sessione

redshift-require-tls-ssl

Assicurati che i tuoi cluster Amazon Redshift richiedano la SSL crittografiaTLS/per connettersi ai client. SQL Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-23 Autenticità della sessione

s3- bucket-ssl-requests-only

Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste di utilizzo di Secure Socket Layer (). SSL Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SC-28(1) Protezione delle informazioni a riposo | Protezione crittografica

codebuild-project-artifact-encryption

Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CodeBuild artefatti.
SC-28(1) Protezione delle informazioni a riposo | Protezione crittografica

dynamodb-table-encrypted-kms

Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Data la possibile presenza di dati sensibili a riposo in queste tabelle, abilita la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con AWS una chiave master del cliente di proprietà (). CMK
SC-28(1) Protezione delle informazioni a riposo | Protezione crittografica

ec2- ebs-encryption-by-default

Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (AmazonEBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati.
SC-28(1) Protezione delle informazioni a riposo | Protezione crittografica

kinesis-stream-encrypted

Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i flussi di Amazon Kinesis.
SC-28(1) Protezione delle informazioni a riposo | Protezione crittografica

rds-snapshot-encrypted

Assicurati che la crittografia sia abilitata per le tue istantanee di Amazon Relational Database Service (RDSAmazon). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati.
SC-28(1) Protezione delle informazioni a riposo | Protezione crittografica

s-3 default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati.
SC-28(1) Protezione delle informazioni a riposo | Protezione crittografica

sagemaker-notebook-instance-kms-configurato a chiave

Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo notebook. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati.
SC-28(1) Protezione delle informazioni a riposo | Protezione crittografica

sns-encrypted-kms

Per proteggere i dati archiviati, assicurati che gli argomenti di Amazon Simple Notification Service (AmazonSNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Data la possibile presenza di dati sensibili a riposo nei messaggi pubblicati, abilita la crittografia a riposo per proteggere tali dati.
SC-28(1) Protezione delle informazioni a riposo | Protezione crittografica

api-gw-cache-enabled-e crittografato

Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per la cache di API Gateway Stage. Poiché con questo API metodo è possibile acquisire dati sensibili, abilita la crittografia a riposo per proteggere tali dati.
SC-28(1) Protezione delle informazioni a riposo | Protezione crittografica

cloud-trail-encryption-enabled

Poiché possono esistere dati sensibili e per contribuire a proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CloudTrail percorsi.
SC-28(1) Protezione delle informazioni a riposo | Protezione crittografica

efs-encrypted-check

Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS).
SC-28(1) Protezione delle informazioni a riposo | Protezione crittografica

elasticsearch-encrypted-at-rest

Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch OpenSearch Service (Service).
SC-28(1) Protezione delle informazioni a riposo | Protezione crittografica

encrypted-volumes

Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (AmazonEBS).
SC-28(1) Protezione delle informazioni a riposo | Protezione crittografica

opensearch-encrypted-at-rest

Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service.
SC-28(1) Protezione delle informazioni a riposo | Protezione crittografica

rds-storage-encrypted

Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per le tue istanze di Amazon Relational Database Service (RDSAmazon). Poiché i dati sensibili possono esistere inattivi nelle RDS istanze Amazon, abilita la crittografia a memoria inattiva per proteggere tali dati.
SC-28(1) Protezione delle informazioni a riposo | Protezione crittografica

redshift-cluster-configuration-check

Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default:TRUE) e ( loggingEnabled Config Default:). TRUE I valori effettivi devono riflettere le policy dell'organizzazione.
SC-28(1) Protezione delle informazioni a riposo | Protezione crittografica

redshift-cluster-kms-enabled

Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo cluster Amazon Redshift. Data la possibile presenza di dati sensibili a riposo nei cluster Redshift, abilita la crittografia a riposo per proteggere tali dati.
SC-28(1) Protezione delle informazioni a riposo | Protezione crittografica

abilitato a s3 bucket-server-side-encryption

Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati.
SC-28(1) Protezione delle informazioni a riposo | Protezione crittografica

sagemaker-endpoint-configuration-kms-configurato con chiave

Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia dei dati inattivi per proteggere tali dati.
SC-28(1) Protezione delle informazioni a riposo | Protezione crittografica

secretsmanager-using-cmk

Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per AWS i segreti di Secrets Manager. Data la possibile presenza di dati sensibili a riposo nei segreti di Secrets Manager, abilita la crittografia a riposo per proteggere tali dati.
SC-28(3) Protezione delle informazioni a riposo | Chiavi crittografiche

acm-certificate-expiration-check

Assicurati che l'integrità della rete sia protetta assicurando che i certificati X509 vengano emessi da. AWS ACM Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore per daysToExpiration (valore AWS Foundational Security Best Practices: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione.
SC-28(3) Protezione delle informazioni a riposo | Chiavi crittografiche

cmk-backing-key-rotation-abilitato

Abilita la rotazione delle chiavi per garantire che le chiavi vengano ruotate dopo aver raggiunto la fine del periodo crittografico.
SC-28 Protezione delle informazioni a riposo

codebuild-project-artifact-encryption

Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CodeBuild artefatti.
SC-28 Protezione delle informazioni a riposo

dynamodb-table-encrypted-kms

Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Data la possibile presenza di dati sensibili a riposo in queste tabelle, abilita la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con AWS una chiave master del cliente di proprietà (). CMK
SC-28 Protezione delle informazioni a riposo

ec2- ebs-encryption-by-default

Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (AmazonEBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati.
SC-28 Protezione delle informazioni a riposo

kinesis-stream-encrypted

Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i flussi di Amazon Kinesis.
SC-28 Protezione delle informazioni a riposo

rds-snapshot-encrypted

Assicurati che la crittografia sia abilitata per le tue istantanee di Amazon Relational Database Service (RDSAmazon). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati.
SC-28 Protezione delle informazioni a riposo

s-3 default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati.
SC-28 Protezione delle informazioni a riposo

sagemaker-notebook-instance-kms-configurato a chiave

Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo notebook. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati.
SC-28 Protezione delle informazioni a riposo

sns-encrypted-kms

Per proteggere i dati archiviati, assicurati che gli argomenti di Amazon Simple Notification Service (AmazonSNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Data la possibile presenza di dati sensibili a riposo nei messaggi pubblicati, abilita la crittografia a riposo per proteggere tali dati.
SC-28 Protezione delle informazioni a riposo

api-gw-cache-enabled-e crittografato

Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per la cache di API Gateway Stage. Poiché con questo API metodo è possibile acquisire dati sensibili, abilita la crittografia a riposo per proteggere tali dati.
SC-28 Protezione delle informazioni a riposo

cloud-trail-encryption-enabled

Poiché possono esistere dati sensibili e per contribuire a proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CloudTrail percorsi.
SC-28 Protezione delle informazioni a riposo

efs-encrypted-check

Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS).
SC-28 Protezione delle informazioni a riposo

elasticsearch-encrypted-at-rest

Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch OpenSearch Service (Service).
SC-28 Protezione delle informazioni a riposo

encrypted-volumes

Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (AmazonEBS).
SC-28 Protezione delle informazioni a riposo

opensearch-encrypted-at-rest

Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service.
SC-28 Protezione delle informazioni a riposo

rds-storage-encrypted

Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per le tue istanze di Amazon Relational Database Service (RDSAmazon). Poiché i dati sensibili possono esistere inattivi nelle RDS istanze Amazon, abilita la crittografia a memoria inattiva per proteggere tali dati.
SC-28 Protezione delle informazioni a riposo

redshift-cluster-configuration-check

Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default:TRUE) e ( loggingEnabled Config Default:). TRUE I valori effettivi devono riflettere le policy dell'organizzazione.
SC-28 Protezione delle informazioni a riposo

redshift-cluster-kms-enabled

Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo cluster Amazon Redshift. Data la possibile presenza di dati sensibili a riposo nei cluster Redshift, abilita la crittografia a riposo per proteggere tali dati.
SC-28 Protezione delle informazioni a riposo

abilitato a s3 bucket-server-side-encryption

Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati.
SC-28 Protezione delle informazioni a riposo

sagemaker-endpoint-configuration-kms-configurato con chiave

Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia dei dati inattivi per proteggere tali dati.
SC-28 Protezione delle informazioni a riposo

secretsmanager-using-cmk

Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per AWS i segreti di Secrets Manager. Data la possibile presenza di dati sensibili a riposo nei segreti di Secrets Manager, abilita la crittografia a riposo per proteggere tali dati.
SC-36(2) Elaborazione e archiviazione distribuite | Sincronizzazione

s3- bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication CRR () supporta il mantenimento di capacità e disponibilità adeguate. CRRconsente la copia automatica e asincrona degli oggetti tra i bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
SC-36 Elaborazione e archiviazione distribuite

elb-cross-zone-load-abilitato al bilanciamento

Abilita il bilanciamento del carico tra zone per Elastic Load Balancers (ELBs) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze.
SC-36 Elaborazione e archiviazione distribuite

dynamodb-autoscaling-enabled

La scalabilità automatica di Amazon DynamoDB utilizza il servizio Application AWS Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura e scrittura assegnata per gestire improvvisi aumenti di traffico, senza alcuna limitazione (della larghezza di banda della rete).
SC-36 Elaborazione e archiviazione distribuite

rds-multi-az-support

Il supporto Multi-AZ in Amazon Relational Database Service (RDSAmazon) offre disponibilità e durabilità avanzate per le istanze di database. Quando effettui il provisioning di un'istanza di database Multi-AZ, Amazon crea RDS automaticamente un'istanza di database principale e replica in modo sincrono i dati su un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico verso lo standby in modo da poter riprendere le operazioni del database non appena il failover è completo.
SC-36 Elaborazione e archiviazione distribuite

vpc-vpn-2-tunnels-up

È possibile implementare Site-to-Site VPN tunnel ridondanti per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso in cui una delle connessioni non sia disponibile. Site-to-Site VPN Per proteggerti dalla perdita di connettività, nel caso in cui il gateway per i clienti non sia disponibile, puoi configurare una seconda Site-to-Site VPN connessione al tuo Amazon Virtual Private Cloud (AmazonVPC) e al gateway privato virtuale utilizzando un secondo gateway cliente.
SI-2(2) Correzione dei difetti | Stato della correzione automatizzata dei difetti

ec2- -controlla managedinstance-patch-compliance-status

Abilita questa regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (AmazonEC2). La regola verifica se le patch delle EC2 istanze Amazon sono conformi in AWS Systems Manager, come richiesto dalle politiche e dalle procedure della tua organizzazione.
SI-2(2) Correzione dei difetti | Stato della correzione automatizzata dei difetti

elastic-beanstalk-managed-updates-abilitato

L'abilitazione degli aggiornamenti della piattaforma gestiti per un ambiente Amazon Elastic Beanstalk garantisce l'installazione degli ultimi aggiornamenti, correzioni e funzionalità disponibili per l'ambiente. Rimanere costantemente al passo con l'installazione delle patch è una delle best practice per la sicurezza dei sistemi.
SI-2(2) Correzione dei difetti | Stato della correzione automatizzata dei difetti

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno finestre di manutenzione preferite e periodi di conservazione automatica degli snapshot per il database. Questa regola richiede l'impostazione di. allowVersionUpgrade Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sab: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le policy dell'organizzazione.
SI-2(3) Correzione dei difetti | Tempo di correzione dei difetti e benchmark per le azioni correttive

ec2- -manager instance-managed-by-systems

Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (AmazonEC2) con AWS Systems Manager. Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
SI-2(3) Correzione dei difetti | Tempo di correzione dei difetti e benchmark per le azioni correttive

ec2- -controlla managedinstance-association-compliance-status

Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee di base dei livelli di patch del sistema operativo, delle installazioni software, delle configurazioni delle applicazioni e altri dettagli sull'ambiente.
SI-2(3) Correzione dei difetti | Tempo di correzione dei difetti e benchmark per le azioni correttive

ec2- -controlla managedinstance-patch-compliance-status

Abilita questa regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (AmazonEC2). La regola verifica se le patch delle EC2 istanze Amazon sono conformi in AWS Systems Manager, come richiesto dalle politiche e dalle procedure della tua organizzazione.
SI-2(4) Correzione dei difetti | Strumenti automatici di gestione delle patch

ec2- -controlla managedinstance-patch-compliance-status

Abilita questa regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (AmazonEC2). La regola verifica se le patch delle EC2 istanze Amazon sono conformi in AWS Systems Manager, come richiesto dalle politiche e dalle procedure della tua organizzazione.
SI-2(4) Correzione dei difetti | Strumenti automatici di gestione delle patch

elastic-beanstalk-managed-updates-abilitato

L'abilitazione degli aggiornamenti della piattaforma gestiti per un ambiente Amazon Elastic Beanstalk garantisce l'installazione degli ultimi aggiornamenti, correzioni e funzionalità disponibili per l'ambiente. Rimanere costantemente al passo con l'installazione delle patch è una delle best practice per la sicurezza dei sistemi.
SI-2(4) Correzione dei difetti | Strumenti automatici di gestione delle patch

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno finestre di manutenzione preferite e periodi di conservazione automatica degli snapshot per il database. Questa regola richiede l'impostazione di. allowVersionUpgrade Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sab: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le policy dell'organizzazione.
SI-2(5) Correzione dei difetti | Aggiornamenti automatici di software e firmware

ec2- -check managedinstance-patch-compliance-status

Abilita questa regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (AmazonEC2). La regola verifica se le patch delle EC2 istanze Amazon sono conformi in AWS Systems Manager, come richiesto dalle politiche e dalle procedure della tua organizzazione.
SI-2(5) Correzione dei difetti | Aggiornamenti automatici di software e firmware

elastic-beanstalk-managed-updates-abilitato

L'abilitazione degli aggiornamenti della piattaforma gestiti per un ambiente Amazon Elastic Beanstalk garantisce l'installazione degli ultimi aggiornamenti, correzioni e funzionalità disponibili per l'ambiente. Rimanere costantemente al passo con l'installazione delle patch è una delle best practice per la sicurezza dei sistemi.
SI-2(5) Correzione dei difetti | Aggiornamenti automatici di software e firmware

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno finestre di manutenzione preferite e periodi di conservazione automatica degli snapshot per il database. Questa regola richiede l'impostazione di. allowVersionUpgrade Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sab: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le policy dell'organizzazione.
SI-2 Correzione dei difetti

lambda-dlq-check

Abilita questa regola per informare il personale appropriato tramite Amazon Simple Queue Service (AmazonSQS) o Amazon Simple Notification Service (AmazonSNS) quando una funzione non funziona.
SI-2 Correzione dei difetti

rds-enhanced-monitoring-enabled

Abilita Amazon Relational Database Service (RDSAmazon) per monitorare la disponibilità di RDS Amazon. Ciò fornisce una visibilità dettagliata sullo stato delle istanze di RDS database Amazon. Quando lo RDS storage Amazon utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ogni dispositivo. Inoltre, quando l'istanza del RDS database Amazon è in esecuzione in una distribuzione Multi-AZ, vengono raccolti i dati per ogni dispositivo sull'host secondario e le metriche dell'host secondario.
SI-2 Correzione dei difetti

autoscaling-group-elb-healthcheck-obbligatorio

I controlli di integrità di Elastic Load Balancer (ELB) per i gruppi Amazon Elastic Compute Cloud (Amazon) Auto EC2 Scaling supportano il mantenimento di capacità e disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ping, tenta connessioni o invia richieste per testare lo stato delle EC2 istanze Amazon in un gruppo di auto-scaling. Se un'istanza non restituisce i dati, il traffico viene inviato a una nuova EC2 istanza Amazon.
SI-2 Correzione dei difetti

beanstalk-enhanced-health-reporting-abilitato

AWS La reportistica avanzata sullo stato di Elastic Beanstalk consente una risposta più rapida ai cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione. Il reporting avanzato sull'integrità di Elastic Beanstalk fornisce un descrittore dello stato per valutare la gravità dei problemi identificati e per individuare le possibili cause su cui indagare.
SI-2 Correzione dei difetti

cloudwatch-alarm-action-check

Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente.
SI-2 Correzione dei difetti

dynamodb-throughput-limit-check

Abilita questa regola per assicurarti che la capacità effettiva di trasmissione assegnata sia verificata nelle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura e scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando la velocità di trasmissione effettiva si avvicina al limite massimo per l'account di un cliente. Questa regola consente di impostare facoltativamente i parametri accountRCUThreshold Percentage (Config Default: 80) accountWCUThreshold e Percentage (Config Default: 80). I valori effettivi devono riflettere le policy dell'organizzazione.
SI-2 Correzione dei difetti

ec2- -controlla managedinstance-patch-compliance-status

Abilita questa regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (AmazonEC2). La regola verifica se le patch delle EC2 istanze Amazon sono conformi in AWS Systems Manager, come richiesto dalle politiche e dalle procedure della tua organizzazione.
SI-2 Correzione dei difetti

elastic-beanstalk-managed-updates-abilitato

L'abilitazione degli aggiornamenti della piattaforma gestiti per un ambiente Amazon Elastic Beanstalk garantisce l'installazione degli ultimi aggiornamenti, correzioni e funzionalità disponibili per l'ambiente. Rimanere costantemente al passo con l'installazione delle patch è una delle best practice per la sicurezza dei sistemi.
SI-2 Correzione dei difetti

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno finestre di manutenzione preferite e periodi di conservazione automatica degli snapshot per il database. Questa regola richiede l'impostazione di. allowVersionUpgrade Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sab: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le policy dell'organizzazione.
SI-3(8) Protezione da codice dannoso | Rilevamento di comandi non autorizzati

elasticsearch-logs-to-cloudwatch

Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e per diagnosticare i problemi di disponibilità.
SI-3(8) Protezione da codice dannoso | Rilevamento di comandi non autorizzati

multi-region-cloudtrail-enabled

AWS CloudTrail registra le azioni e le AWS chiamate della console di gestione. API È possibile identificare quali utenti e account hanno effettuato le chiamate AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di log da tutte le AWS regioni al tuo bucket S3 se MULTI _ _ _ _ REGION CLOUD TRAIL _ ENABLED è abilitato. Inoltre, all' AWS avvio di una nuova regione, CloudTrail creerà lo stesso percorso nella nuova regione. Di conseguenza, riceverai file di registro contenenti le API attività per la nuova regione senza intraprendere alcuna azione.
SI-3(8) Protezione da codice dannoso | Rilevamento di comandi non autorizzati

opensearch-logs-to-cloudwatch

Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità.
SI-3(8) Protezione da codice dannoso | Rilevamento di comandi non autorizzati

s3- event-notifications-enabled

Le notifiche degli eventi di Amazon S3 possono notificare al personale competente eventuali modifiche accidentali o intenzionali agli oggetti del bucket. Gli avvisi includono: creazione di un nuovo oggetto, rimozione di oggetti, ripristino di oggetti, oggetti persi e replicati.
SI-3(8) Protezione da codice dannoso | Rilevamento di comandi non autorizzati

cloud-trail-cloud-watch-abilitato ai log

Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle API chiamate all'interno del tuo Account AWS.
SI-3(8) Protezione da codice dannoso | Rilevamento di comandi non autorizzati

cloudtrail-enabled

AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni e le chiamate della Console AWS di gestione. API È possibile identificare gli utenti e chi Account AWS ha chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents.
SI-3(8) Protezione da codice dannoso | Rilevamento di comandi non autorizzati

cloudtrail-s3-dataevents-enabled

La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono Account AWS le informazioni relative all'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento.
SI-3(8) Protezione da codice dannoso | Rilevamento di comandi non autorizzati

guardduty-enabled-centralized

Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud.
SI-3(8) Protezione da codice dannoso | Rilevamento di comandi non autorizzati

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (RDSAmazon) sia abilitata. Con Amazon RDS Logging, puoi registrare eventi come connessioni, disconnessioni, query o tabelle interrogate.
SI-3(8) Protezione da codice dannoso | Rilevamento di comandi non autorizzati

redshift-cluster-configuration-check

Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default:TRUE) e ( loggingEnabled Config Default:). TRUE I valori effettivi devono riflettere le policy dell'organizzazione.
SI-3(8) Protezione da codice dannoso | Rilevamento di comandi non autorizzati

s3- bucket-logging-enabled

La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente.
SI-4(1) Monitoraggio del sistema | Sistema di rilevamento delle intrusioni a livello di sistema

guardduty-enabled-centralized

Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud.
SI-4(2) Monitoraggio del sistema | Strumenti e meccanismi automatizzati per l'analisi in tempo reale

guardduty-enabled-centralized

Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud.
SI-4(4) Monitoraggio del sistema | Traffico di comunicazioni in entrata e in uscita

s3- event-notifications-enabled

Le notifiche degli eventi di Amazon S3 possono notificare al personale competente eventuali modifiche accidentali o intenzionali agli oggetti del bucket. Gli avvisi includono: creazione di un nuovo oggetto, rimozione di oggetti, ripristino di oggetti, oggetti persi e replicati.
SI-4(4) Monitoraggio del sistema | Traffico di comunicazioni in entrata e in uscita

guardduty-enabled-centralized

Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud.
SI-4(5) Monitoraggio del sistema | Avvisi generati dal sistema

cloudwatch-alarm-action-check

Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente.
SI-4(5) Monitoraggio del sistema | Avvisi generati dal sistema

cloud-trail-cloud-watch-abilitato ai registri

Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle API chiamate all'interno del tuo Account AWS.
SI-4(5) Monitoraggio del sistema | Avvisi generati dal sistema

guardduty-enabled-centralized

Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud.
SI-4(12) Monitoraggio del sistema | Avvisi automatici generati dall'organizzazione

cloudwatch-alarm-action-check

Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente.
SI-4(13) Monitoraggio del sistema | Analisi dei modelli di traffico ed eventi

guardduty-enabled-centralized

Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud.
SI-4(20) Monitoraggio del sistema | Utenti con privilegi

elasticsearch-logs-to-cloudwatch

Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e per diagnosticare i problemi di disponibilità.
SI-4(20) Monitoraggio del sistema | Utenti con privilegi

multi-region-cloudtrail-enabled

AWS CloudTrail registra le azioni e le AWS chiamate della console di gestione. API È possibile identificare quali utenti e account hanno effettuato le chiamate AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di log da tutte le AWS regioni al tuo bucket S3 se MULTI _ _ _ _ REGION CLOUD TRAIL _ ENABLED è abilitato. Inoltre, all' AWS avvio di una nuova regione, CloudTrail creerà lo stesso percorso nella nuova regione. Di conseguenza, riceverai file di registro contenenti le API attività per la nuova regione senza intraprendere alcuna azione.
SI-4(20) Monitoraggio del sistema | Utenti con privilegi

opensearch-logs-to-cloudwatch

Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità.
SI-4(20) Monitoraggio del sistema | Utenti con privilegi

cloud-trail-cloud-watch-abilitati ai registri

Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle API chiamate all'interno del tuo Account AWS.
SI-4(20) Monitoraggio del sistema | Utenti con privilegi

cloudtrail-enabled

AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni e le chiamate della Console AWS di gestione. API È possibile identificare gli utenti e chi Account AWS ha chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents.
SI-4(20) Monitoraggio del sistema | Utenti con privilegi

cloudtrail-s3-dataevents-enabled

La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono Account AWS le informazioni relative all'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento.
SI-4(20) Monitoraggio del sistema | Utenti con privilegi

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (RDSAmazon) sia abilitata. Con Amazon RDS Logging, puoi registrare eventi come connessioni, disconnessioni, query o tabelle interrogate.
SI-4(20) Monitoraggio del sistema | Utenti con privilegi

redshift-cluster-configuration-check

Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default:TRUE) e ( loggingEnabled Config Default:). TRUE I valori effettivi devono riflettere le policy dell'organizzazione.
SI-4(20) Monitoraggio del sistema | Utenti con privilegi

s3- bucket-logging-enabled

La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente.
SI-4(22) Monitoraggio del sistema | Servizi di rete non autorizzati

guardduty-enabled-centralized

Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud.
SI-4(25) Monitoraggio del sistema | Ottimizzazione dell'analisi del traffico di rete

guardduty-enabled-centralized

Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud.
SI-4 Monitoraggio del sistema

s3- event-notifications-enabled

Le notifiche degli eventi di Amazon S3 possono notificare al personale competente eventuali modifiche accidentali o intenzionali agli oggetti del bucket. Gli avvisi includono: creazione di un nuovo oggetto, rimozione di oggetti, ripristino di oggetti, oggetti persi e replicati.
SI-4 Monitoraggio del sistema

cloud-trail-log-file-abilitato alla convalida

Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei log. CloudTrail La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa funzionalità è creata utilizzando algoritmi standard del settore: SHA -256 per l'hashing e SHA -256 per la firma digitale. RSA Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail
SI-4 Monitoraggio del sistema

guardduty-enabled-centralized

Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud.
SI-7(1) Integrità di software, firmware e informazioni | Controlli di integrità

cloud-trail-log-file-abilitato alla convalida

Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei log. CloudTrail La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa funzionalità è creata utilizzando algoritmi standard del settore: SHA -256 per l'hashing e SHA -256 per la firma digitale. RSA Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail
SI-7(3) Integrità di software, firmware e informazioni | Strumenti per l'integrità gestiti a livello centralizzato

cloud-trail-log-file-abilitato alla convalida

Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei log. CloudTrail La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa funzionalità è creata utilizzando algoritmi standard del settore: SHA -256 per l'hashing e SHA -256 per la firma digitale. RSA Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail
SI-7(6) Integrità di software, firmware e informazioni | Protezione crittografica

codebuild-project-artifact-encryption

Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi artefatti. AWS CodeBuild
SI-7(6) Integrità di software, firmware e informazioni | Protezione crittografica

dynamodb-table-encrypted-kms

Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Data la possibile presenza di dati sensibili a riposo in queste tabelle, abilita la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con AWS una chiave master del cliente di proprietà (). CMK
SI-7(6) Integrità di software, firmware e informazioni | Protezione crittografica

ec2- ebs-encryption-by-default

Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (AmazonEBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati.
SI-7(6) Integrità di software, firmware e informazioni | Protezione crittografica

elb v2- acm-certificate-required

Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire TLS certificatiSSL/pubblici e privati con AWS servizi e risorse interne.
SI-7(6) Integrità di software, firmware e informazioni | Protezione crittografica

elb-tls-https-listeners-solo

Assicurati che i tuoi Elastic Load Balancers (ELBs) siano configurati con SSL i nostri listener. HTTPS Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SI-7(6) Integrità di software, firmware e informazioni | Protezione crittografica

kinesis-stream-encrypted

Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i flussi di Amazon Kinesis.
SI-7(6) Integrità di software, firmware e informazioni | Protezione crittografica

opensearch-https-required

Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon OpenSearch Service.
SI-7(6) Integrità di software, firmware e informazioni | Protezione crittografica

rds-snapshot-encrypted

Assicurati che la crittografia sia abilitata per le tue istantanee di Amazon Relational Database Service (RDSAmazon). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati.
SI-7(6) Integrità di software, firmware e informazioni | Protezione crittografica

s-3 default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati.
SI-7(6) Integrità di software, firmware e informazioni | Protezione crittografica

sagemaker-notebook-instance-kms-configurato a chiave

Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo notebook. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati.
SI-7(6) Integrità di software, firmware e informazioni | Protezione crittografica

sns-encrypted-kms

Per proteggere i dati archiviati, assicurati che gli argomenti di Amazon Simple Notification Service (AmazonSNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Data la possibile presenza di dati sensibili a riposo nei messaggi pubblicati, abilita la crittografia a riposo per proteggere tali dati.
SI-7(6) Integrità di software, firmware e informazioni | Protezione crittografica

alb-http-to-https-controllo del reindirizzamento

Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste non crittografate a. HTTP HTTPS Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SI-7(6) Integrità di software, firmware e informazioni | Protezione crittografica

api-gw-cache-enabled-e crittografato

Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per la cache di API Gateway Stage. Poiché con questo API metodo è possibile acquisire dati sensibili, abilita la crittografia a riposo per proteggere tali dati.
SI-7(6) Integrità di software, firmware e informazioni | Protezione crittografica

api-gw-ssl-enabled

Assicurati che REST API le fasi di Amazon API Gateway siano configurate con SSL certificati per consentire ai sistemi di backend di autenticare che le richieste provengono da API Gateway.
SI-7(6) Integrità di software, firmware e informazioni | Protezione crittografica

cloud-trail-encryption-enabled

Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CloudTrail percorsi.
SI-7(6) Integrità di software, firmware e informazioni | Protezione crittografica

efs-encrypted-check

Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS).
SI-7(6) Integrità di software, firmware e informazioni | Protezione crittografica

elasticsearch-encrypted-at-rest

Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch OpenSearch Service (Service).
SI-7(6) Integrità di software, firmware e informazioni | Protezione crittografica

elb-acm-certificate-required

Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire TLS certificatiSSL/pubblici e privati con AWS servizi e risorse interne.
SI-7(6) Integrità di software, firmware e informazioni | Protezione crittografica

encrypted-volumes

Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (AmazonEBS).
SI-7(6) Integrità di software, firmware e informazioni | Protezione crittografica

opensearch-encrypted-at-rest

Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service.
SI-7(6) Integrità di software, firmware e informazioni | Protezione crittografica

rds-storage-encrypted

Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per le tue istanze di Amazon Relational Database Service (RDSAmazon). Poiché i dati sensibili possono esistere inattivi nelle RDS istanze Amazon, abilita la crittografia a memoria inattiva per proteggere tali dati.
SI-7(6) Integrità di software, firmware e informazioni | Protezione crittografica

redshift-cluster-configuration-check

Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default:TRUE) e ( loggingEnabled Config Default:). TRUE I valori effettivi devono riflettere le policy dell'organizzazione.
SI-7(6) Integrità di software, firmware e informazioni | Protezione crittografica

redshift-cluster-kms-enabled

Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo cluster Amazon Redshift. Data la possibile presenza di dati sensibili a riposo nei cluster Redshift, abilita la crittografia a riposo per proteggere tali dati.
SI-7(6) Integrità di software, firmware e informazioni | Protezione crittografica

abilitato a s3 bucket-server-side-encryption

Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati.
SI-7(6) Integrità di software, firmware e informazioni | Protezione crittografica

s3- bucket-ssl-requests-only

Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste di utilizzo di Secure Socket Layer (). SSL Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
SI-7(6) Integrità di software, firmware e informazioni | Protezione crittografica

sagemaker-endpoint-configuration-kms-configurato con chiave

Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia dei dati inattivi per proteggere tali dati.
SI-7(6) Integrità di software, firmware e informazioni | Protezione crittografica

secretsmanager-using-cmk

Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per AWS i segreti di Secrets Manager. Data la possibile presenza di dati sensibili a riposo nei segreti di Secrets Manager, abilita la crittografia a riposo per proteggere tali dati.
SI-7(7) Integrità di software, firmware e informazioni | Integrazione di rilevamento e risposta

cloud-trail-log-file-abilitato alla convalida

Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei log. CloudTrail La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa funzionalità è creata utilizzando algoritmi standard del settore: SHA -256 per l'hashing e SHA -256 per la firma digitale. RSA Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail
SI-7(8) Integrità di software, firmware e informazioni | Capacità di audit per eventi significativi

elasticsearch-logs-to-cloudwatch

Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e per diagnosticare i problemi di disponibilità.
SI-7(8) Integrità di software, firmware e informazioni | Capacità di audit per eventi significativi

multi-region-cloudtrail-enabled

AWS CloudTrail registra le azioni e le AWS chiamate della console di gestione. API È possibile identificare quali utenti e account hanno effettuato le chiamate AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di log da tutte le AWS regioni al tuo bucket S3 se MULTI _ _ _ _ REGION CLOUD TRAIL _ ENABLED è abilitato. Inoltre, all' AWS avvio di una nuova regione, CloudTrail creerà lo stesso percorso nella nuova regione. Di conseguenza, riceverai file di registro contenenti le API attività per la nuova regione senza intraprendere alcuna azione.
SI-7(8) Integrità di software, firmware e informazioni | Capacità di audit per eventi significativi

opensearch-logs-to-cloudwatch

Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità.
SI-7(8) Integrità di software, firmware e informazioni | Capacità di audit per eventi significativi

wafv2-logging-enabled

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilita AWS WAF (V2) la registrazione sul Web regionale e globale. ACLs AWS WAFla registrazione fornisce informazioni dettagliate sul traffico analizzato dal Web. ACL I registri registrano l'ora in cui è AWS WAF stata ricevuta la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta.
SI-7(8) Integrità di software, firmware e informazioni | Capacità di audit per eventi significativi

api-gw-execution-logging-abilitato

APILa registrazione del gateway mostra viste dettagliate degli utenti che hanno effettuato l'accesso API e il modo in cui hanno effettuato l'accesso a. API Queste informazioni offrono visibilità sulle attività degli utenti.
SI-7(8) Integrità di software, firmware e informazioni | Capacità di audit per eventi significativi

cloud-trail-cloud-watch-abilitato ai log

Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle API chiamate all'interno del tuo Account AWS.
SI-7(8) Integrità di software, firmware e informazioni | Capacità di audit per eventi significativi

cloudtrail-enabled

AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni e le chiamate della Console AWS di gestione. API È possibile identificare gli utenti e chi Account AWS ha chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents.
SI-7(8) Integrità di software, firmware e informazioni | Capacità di audit per eventi significativi

cloudtrail-s3-dataevents-enabled

La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono Account AWS le informazioni relative all'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento.
SI-7(8) Integrità di software, firmware e informazioni | Capacità di audit per eventi significativi

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la ELB registrazione sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a. ELB Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
SI-7(8) Integrità di software, firmware e informazioni | Capacità di audit per eventi significativi

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (RDSAmazon) sia abilitata. Con Amazon RDS Logging, puoi registrare eventi come connessioni, disconnessioni, query o tabelle interrogate.
SI-7(8) Integrità di software, firmware e informazioni | Capacità di audit per eventi significativi

redshift-cluster-configuration-check

Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default:TRUE) e ( loggingEnabled Config Default:). TRUE I valori effettivi devono riflettere le policy dell'organizzazione.
SI-7(8) Integrità di software, firmware e informazioni | Capacità di audit per eventi significativi

s3- bucket-logging-enabled

La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente.
SI-7(8) Integrità di software, firmware e informazioni | Capacità di audit per eventi significativi

vpc-flow-logs-enabled

I log di VPC flusso forniscono registrazioni dettagliate per informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo Amazon Virtual Private Cloud (AmazonVPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
SI-12 Gestione e conservazione delle informazioni

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon crea RDS automaticamente uno snapshot del volume di storage dell'istanza DB, eseguendo il backup dell'intera istanza DB. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
SI-12 Gestione e conservazione delle informazioni

dynamodb-in-backup-plan

Per facilitare i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup.
SI-12 Gestione e conservazione delle informazioni

dynamodb-pitr-enabled

Abilita questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella degli ultimi 35 giorni.
SI-12 Gestione e conservazione delle informazioni

ebs-in-backup-plan

Per facilitare i processi di backup dei dati, assicurati che i volumi di Amazon Elastic Block Store (AmazonEBS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup.
SI-12 Gestione e conservazione delle informazioni

efs-in-backup-plan

Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (AmazonEFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup.
SI-12 Gestione e conservazione delle informazioni

elasticache-redis-cluster-automatic-controllo del backup

Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere mantenuto per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente.
SI-12 Gestione e conservazione delle informazioni

s-3 bucket-versioning-enabled

Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti.
SI-13(5) Prevenzione di guasti prevedibili | Capacità di failover

dynamodb-in-backup-plan

Per facilitare i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup.
SI-13(5) Prevenzione di guasti prevedibili | Capacità di failover

ebs-in-backup-plan

Per facilitare i processi di backup dei dati, assicurati che i volumi di Amazon Elastic Block Store (AmazonEBS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup.
SI-13(5) Prevenzione di guasti prevedibili | Capacità di failover

efs-in-backup-plan

Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (AmazonEFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup.
SI-13(5) Prevenzione di guasti prevedibili | Capacità di failover

elb-cross-zone-load- abilitato al bilanciamento

Abilita il bilanciamento del carico tra zone per Elastic Load Balancers (ELBs) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze.
SI-13(5) Prevenzione di guasti prevedibili | Capacità di failover

rds-instance-deletion-protection-abilitato

Assicurati che le istanze di Amazon Relational Database Service (RDSAmazon) abbiano la protezione da eliminazione abilitata. Usa la protezione dall'eliminazione per evitare che le tue RDS istanze Amazon vengano eliminate accidentalmente o intenzionalmente, il che può portare alla perdita di disponibilità delle tue applicazioni.
SI-13(5) Prevenzione di guasti prevedibili | Capacità di failover

redshift-backup-enabled

Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Amazon Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per ogni nodo di modifica dei dati o per qualsiasi evento che si verifica per primo.
SI-13(5) Prevenzione di guasti prevedibili | Capacità di failover

s-3 version-lifecycle-policy-check

Assicurati che le policy del ciclo di vita Amazon S3 siano configurate per definire le operazioni che deve eseguire Amazon S3 durante il ciclo di vita di un oggetto, ad esempio la transizione di oggetti in un'altra classe di storage, la relativa archiviazione o l'eliminazione dopo un periodo di tempo specificato.
SI-13(5) Prevenzione di guasti prevedibili | Capacità di failover

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon crea RDS automaticamente uno snapshot del volume di storage dell'istanza DB, eseguendo il backup dell'intera istanza DB. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
SI-13(5) Prevenzione di guasti prevedibili | Capacità di failover

dynamodb-autoscaling-enabled

La scalabilità automatica di Amazon DynamoDB utilizza il servizio Application AWS Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura e scrittura assegnata per gestire improvvisi aumenti di traffico, senza alcuna limitazione (della larghezza di banda della rete).
SI-13(5) Prevenzione di guasti prevedibili | Capacità di failover

dynamodb-pitr-enabled

Abilita questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella degli ultimi 35 giorni.
SI-13(5) Prevenzione di guasti prevedibili | Capacità di failover

elasticache-redis-cluster-automatic-controllo del backup

Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere mantenuto per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente.
SI-13(5) Prevenzione di guasti prevedibili | Capacità di failover

rds-multi-az-support

Il supporto Multi-AZ in Amazon Relational Database Service (RDSAmazon) offre disponibilità e durabilità avanzate per le istanze di database. Quando effettui il provisioning di un'istanza di database Multi-AZ, Amazon crea RDS automaticamente un'istanza di database principale e replica in modo sincrono i dati su un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico verso lo standby in modo da poter riprendere le operazioni del database non appena il failover è completo.
SI-13(5) Prevenzione di guasti prevedibili | Capacità di failover

s3- bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication CRR () supporta il mantenimento di capacità e disponibilità adeguate. CRRconsente la copia automatica e asincrona degli oggetti tra i bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
SI-13(5) Prevenzione di guasti prevedibili | Capacità di failover

s3- bucket-versioning-enabled

Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti.
SI-13(5) Prevenzione di guasti prevedibili | Capacità di failover

vpc-vpn-2-tunnels-up

È possibile implementare Site-to-Site VPN tunnel ridondanti per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso in cui una delle connessioni non sia disponibile. Site-to-Site VPN Per proteggerti dalla perdita di connettività, nel caso in cui il gateway per i clienti non sia disponibile, puoi configurare una seconda Site-to-Site VPN connessione al tuo Amazon Virtual Private Cloud (AmazonVPC) e al gateway privato virtuale utilizzando un secondo gateway cliente.
SI-20 Taint

cloudwatch-alarm-action-check

Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente.
SI-20 Taint

cloud-trail-cloud-watch-abilitato ai registri

Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle API chiamate all'interno del tuo Account AWS.
SI-20 Taint

guardduty-enabled-centralized

Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di malware IPs e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud.

Modello

Il modello è disponibile su GitHub: Operational Best Practices for NIST 800-53 rev 5.