Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Best practice operative per PCI DSS 4.0 (compresi i tipi di risorse globali)
I Conformance Pack forniscono un framework di conformità generico progettato per consentire all'utente di creare controlli di governance relativi alla sicurezza, all'operatività o all'ottimizzazione dei costi utilizzando regole gestite o personalizzate e azioni correttive. AWS Config AWS Config I pacchetti di conformità, in quanto modelli di esempio, non sono pensati per garantire la piena conformità a uno specifico standard di governance o conformità. È tua responsabilità valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.
Di seguito viene fornito un esempio di mappatura tra il Payment Card Industry Data Security Standard (PCIDSS) 4.0 (esclusi i tipi di risorse globali) e le regole Config AWS gestite. Ogni AWS Config regola si applica a una AWS risorsa specifica e si riferisce a uno o più controlli. PCI DSS Un PCI DSS controllo può essere correlato a più regole di Config. Consulta la tabella seguente per maggiori dettagli e indicazioni relativi a queste mappature.
ID controllo | Descrizione del controllo | AWS Regola di Config | Linea guida |
---|---|---|---|
1.2.5 | I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0) | Assicurati che CloudFront le distribuzioni Amazon utilizzino una politica di sicurezza minima e una suite di crittografia di TLSv1 0,2 o superiore per le connessioni dei visualizzatori. Questa regola è NON _ COMPLIANT per una CloudFront distribuzione se è inferiore a .2_2018. minimumProtocolVersion TLSv1 | |
1.2.5 | I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0) | Assicurati che CloudFront le distribuzioni Amazon utilizzino un SSL certificato personalizzato e siano configurate per l'utilizzo per SNI soddisfare HTTPS le richieste. La regola è NON _ COMPLIANT se è associato un SSL certificato personalizzato ma il metodo di SSL supporto è un indirizzo IP dedicato. | |
1.2.5 | I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0) | Assicurati che un server creato con AWS Transfer Family non venga utilizzato FTP per la connessione agli endpoint. La regola è NON _ COMPLIANT se il protocollo del server per la connessione agli endpoint è FTP -enabled. | |
1.2.5 | I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0) | Assicurati che CloudFront le distribuzioni non utilizzino SSL protocolli obsoleti per la HTTPS comunicazione tra CloudFront edge location e origini personalizzate. Questa regola è NON _ COMPLIANT per una CloudFront distribuzione se esiste un '' include' '. OriginSslProtocols SSLv3 | |
1.2.5 | I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0) | Assicurati che CloudFront le distribuzioni Amazon crittografino il traffico verso origini personalizzate. La regola è NON _ COMPLIANT if' 'è 'http-only' o if'OriginProtocolPolicy' è 'match-viewer' e '' è 'allow-all'. OriginProtocolPolicy ViewerProtocolPolicy | |
1.2.5 | I controlli NSCs di sicurezza di rete () sono configurati e gestiti. (PCI- DSS -v4.0) | Assicurati che le tue CloudFront distribuzioni Amazon utilizzino HTTPS (direttamente o tramite un reindirizzamento). La regola è NON _ COMPLIANT se il valore di ViewerProtocolPolicy è impostato su 'allow-all' per o per. DefaultCacheBehavior CacheBehaviors | |
1.2.8 | I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0) | Assicurati che Amazon API Gateway APIs sia del tipo specificato nel parametro della regola 'endpointConfigurationType'. La regola restituisce NON _ COMPLIANT se REST API non corrisponde al tipo di endpoint configurato nel parametro della regola. | |
1.2.8 | I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0) | Assicurati che CloudFront le distribuzioni Amazon siano associate a Web Application Firewall (WAF) o WAFv2 Web Access Control List (ACLs). La regola è NON _ COMPLIANT se una CloudFront distribuzione non è associata a un WAF webACL. | |
1.2.8 | I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0) | Assicurati che il certificato associato a una CloudFront distribuzione Amazon non sia il SSL certificato predefinito. La regola è NON _ COMPLIANT se una CloudFront distribuzione utilizza il SSL certificato predefinito. | |
1.2.8 | I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0) | Assicurati che una policy AWS Network Firewall sia configurata con un'azione predefinita stateless definita dall'utente per i pacchetti frammentati. La regola è NON _ COMPLIANT se l'azione predefinita senza stato per i pacchetti frammentati non corrisponde all'azione predefinita definita dall'utente. | |
1.2.8 | I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0) | Assicurati che i gruppi di sicurezza DB di Amazon Relational Database Service (RDSAmazon) siano quelli predefiniti. La regola è NON _ COMPLIANT se ci sono gruppi di sicurezza DB che non sono il gruppo di sicurezza DB predefinito. | |
1.2.8 | I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0) | Assicurati che i gateway di transito di Amazon Elastic Compute Cloud (AmazonEC2) non abbiano «AutoAcceptSharedAttachments» abilitato. La regola è NON _ COMPLIANT per un Transit Gateway se 'AutoAcceptSharedAttachments' è impostato su 'abilita'. | |
1.2.8 | I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0) | Assicurati che l'endpoint Amazon Elastic Kubernetes Service (EKSAmazon) non sia accessibile al pubblico. La regola è NON _ COMPLIANT se l'endpoint è accessibile pubblicamente. | |
1.2.8 | I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0) | Nota: per questa regola, l'identificatore della regola (INCOMING_ SSH _DISABLED) e il nome della regola (restricted-ssh) sono diversi. Assicurati che il SSH traffico in entrata per i gruppi di sicurezza sia accessibile. La regola è COMPLIANT se gli indirizzi IP del SSH traffico in entrata nei gruppi di sicurezza sono limitati (CIDRdiversi da 0.0.0.0/0 o: :/0). Altrimenti, _. NON COMPLIANT | |
1.2.8 | I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0) | Assicurati che AWS AppSync APIs siano associati agli elenchi di controllo degli accessi AWS WAFv2 Web ()ACLs. La regola è NON _ COMPLIANT per un AWS AppSync API se non è associata a un webACL. | |
1.2.8 | I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0) | Assicurati che le istantanee manuali dei cluster di Amazon DocumentDB non siano pubbliche. La regola è NON _ COMPLIANT se alcune istantanee manuali del cluster di Amazon DocumentDB sono pubbliche. | |
1.2.8 | I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0) | Assicurati che l'archivio di origine di Bitbucket URL DOES NOT contenga o meno le credenziali di accesso. La regola è NON _ COMPLIANT se URL contiene informazioni di accesso e in caso contrario. COMPLIANT | |
1.2.8 | I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0) | Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer. | |
1.2.8 | I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0) | Assicurati che su un account Amazon EMR siano abilitate le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se BlockPublicSecurityGroupRules è falsa o, se è vera, sono elencate le porte diverse dalla porta 22 PermittedPublicSecurityGroupRuleRanges. | |
1.2.8 | I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0) | Assicuratevi che le porte predefinite per il traffico SSH /in RDP ingresso per le liste di controllo degli accessi alla rete (NACLs) siano limitate. La regola è NON _ COMPLIANT se una voce NACL in entrata consente una sorgente TCP o un UDP CIDR blocco per le porte 22 o 3389. | |
1.2.8 | I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0) | Assicuratevi che un Web WAF globale ACL contenga alcune WAF regole o gruppi di regole. Questa regola è NON _ COMPLIANT se un Web ACL non contiene alcuna WAF regola o gruppo di regole. | |
1.2.8 | I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0) | Assicuratevi che un gruppo di regole AWS WAF Classic contenga alcune regole. La regola è NON _ COMPLIANT se non ci sono regole presenti all'interno di un gruppo di regole. | |
1.2.8 | I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0) | Assicurati che una regola AWS WAF globale contenga alcune condizioni. La regola è NON _ COMPLIANT se non sono presenti condizioni all'interno della regola WAF globale. | |
1.2.8 | I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0) | Assicurati che le regole di VPN autorizzazione AWS del client non autorizzino l'accesso alla connessione per tutti i client. La regola è NON _ COMPLIANT se 'AccessAll' è presente e impostato su true. | |
1.2.8 | I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0) | Assicurati che i gateway Internet siano collegati a un cloud privato virtuale autorizzato (AmazonVPC). La regola è NON _ COMPLIANT se i gateway Internet sono collegati a un sito non autorizzato. VPC | |
1.2.8 | I controlli di sicurezza di rete (NSCs) vengono configurati e gestiti. (PCI- DSS -v4.0) | Assicurati che i punti di accesso Amazon S3 abbiano abilitato le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se le impostazioni di blocco dell'accesso pubblico non sono abilitate per i punti di accesso S3. | |
1.2.8 | I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0) | Assicurati che le impostazioni richieste per il blocco di accesso pubblico siano configurate a livello di account. La regola è NON _ solo COMPLIANT quando i campi impostati di seguito non corrispondono ai campi corrispondenti nell'elemento di configurazione. | |
1.3.1 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicurati che Amazon API Gateway APIs sia del tipo specificato nel parametro della regola 'endpointConfigurationType'. La regola restituisce NON _ COMPLIANT se REST API non corrisponde al tipo di endpoint configurato nel parametro della regola. | |
1.3.1 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicurati che CloudFront le distribuzioni Amazon siano associate a Web Application Firewall (WAF) o WAFv2 Web Access Control List (ACLs). La regola è NON _ COMPLIANT se una CloudFront distribuzione non è associata a un WAF webACL. | |
1.3.1 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicurati che il certificato associato a una CloudFront distribuzione Amazon non sia il SSL certificato predefinito. La regola è NON _ COMPLIANT se una CloudFront distribuzione utilizza il SSL certificato predefinito. | |
1.3.1 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicurati che una policy AWS Network Firewall sia configurata con un'azione predefinita stateless definita dall'utente per i pacchetti frammentati. La regola è NON _ COMPLIANT se l'azione predefinita senza stato per i pacchetti frammentati non corrisponde all'azione predefinita definita dall'utente. | |
1.3.1 | L'accesso alla rete da e verso l'ambiente dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicurati che i gruppi di sicurezza DB di Amazon Relational Database Service (RDSAmazon) siano quelli predefiniti. La regola è NON _ COMPLIANT se ci sono gruppi di sicurezza DB che non sono il gruppo di sicurezza DB predefinito. | |
1.3.1 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicurati che i cluster Amazon Redshift abbiano «» enhancedVpcRouting abilitato. La regola è NON _ COMPLIANT se 'enhancedVpcRouting' non è abilitato o se la configurazione. enhancedVpcRouting il campo è 'falso'. | |
1.3.1 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicurati che i gateway di transito di Amazon Elastic Compute Cloud (AmazonEC2) non abbiano «AutoAcceptSharedAttachments» abilitato. La regola è NON _ COMPLIANT per un Transit Gateway se 'AutoAcceptSharedAttachments' è impostato su 'abilita'. | |
1.3.1 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicurati che l'endpoint Amazon Elastic Kubernetes Service (EKSAmazon) non sia accessibile al pubblico. La regola è NON _ COMPLIANT se l'endpoint è accessibile pubblicamente. | |
1.3.1 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Nota: per questa regola, l'identificatore della regola (INCOMING_ SSH _DISABLED) e il nome della regola (restricted-ssh) sono diversi. Assicurati che il SSH traffico in entrata per i gruppi di sicurezza sia accessibile. La regola è COMPLIANT se gli indirizzi IP del SSH traffico in entrata nei gruppi di sicurezza sono limitati (CIDRdiversi da 0.0.0.0/0 o: :/0). Altrimenti, _. NON COMPLIANT | |
1.3.1 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicurati che AWS AppSync APIs siano associati agli elenchi di controllo degli accessi AWS WAFv2 Web ()ACLs. La regola è NON _ COMPLIANT per un AWS AppSync API se non è associata a un webACL. | |
1.3.1 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicurati che le istantanee manuali dei cluster di Amazon DocumentDB non siano pubbliche. La regola è NON _ COMPLIANT se alcune istantanee manuali del cluster di Amazon DocumentDB sono pubbliche. | |
1.3.1 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicurati che l'archivio di origine di Bitbucket URL DOES NOT contenga o meno le credenziali di accesso. La regola è NON _ COMPLIANT se URL contiene informazioni di accesso e in caso contrario. COMPLIANT | |
1.3.1 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer. | |
1.3.1 | L'accesso alla rete da e verso l'ambiente dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicurati che su un account Amazon EMR siano abilitate le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se BlockPublicSecurityGroupRules è falsa o, se è vera, sono elencate le porte diverse dalla porta 22 PermittedPublicSecurityGroupRuleRanges. | |
1.3.1 | L'accesso alla rete da e verso l'ambiente dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicuratevi che le porte predefinite per il traffico SSH /in RDP ingresso per le liste di controllo degli accessi alla rete (NACLs) siano limitate. La regola è NON _ COMPLIANT se una voce NACL in entrata consente una sorgente TCP o un UDP CIDR blocco per le porte 22 o 3389. | |
1.3.1 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicuratevi che un Web WAF globale ACL contenga alcune WAF regole o gruppi di regole. Questa regola è NON _ COMPLIANT se un Web ACL non contiene alcuna WAF regola o gruppo di regole. | |
1.3.1 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicuratevi che un gruppo di regole AWS WAF Classic contenga alcune regole. La regola è NON _ COMPLIANT se non ci sono regole presenti all'interno di un gruppo di regole. | |
1.3.1 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicurati che una regola AWS WAF globale contenga alcune condizioni. La regola è NON _ COMPLIANT se non sono presenti condizioni all'interno della regola WAF globale. | |
1.3.1 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicurati che le regole di VPN autorizzazione AWS del client non autorizzino l'accesso alla connessione per tutti i client. La regola è NON _ COMPLIANT se 'AccessAll' è presente e impostato su true. | |
1.3.1 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicurati che i gateway Internet siano collegati a un cloud privato virtuale autorizzato (AmazonVPC). La regola è NON _ COMPLIANT se i gateway Internet sono collegati a un sito non autorizzato. VPC | |
1.3.1 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicurati che i punti di accesso Amazon S3 abbiano abilitato le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se le impostazioni di blocco dell'accesso pubblico non sono abilitate per i punti di accesso S3. | |
1.3.1 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicurati che le impostazioni richieste per il blocco di accesso pubblico siano configurate a livello di account. La regola è NON _ solo COMPLIANT quando i campi impostati di seguito non corrispondono ai campi corrispondenti nell'elemento di configurazione. | |
1.3.2 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicurati che Amazon API Gateway APIs sia del tipo specificato nel parametro della regola 'endpointConfigurationType'. La regola restituisce NON _ COMPLIANT se REST API non corrisponde al tipo di endpoint configurato nel parametro della regola. | |
1.3.2 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicurati che CloudFront le distribuzioni Amazon siano associate a Web Application Firewall (WAF) o WAFv2 Web Access Control List (ACLs). La regola è NON _ COMPLIANT se una CloudFront distribuzione non è associata a un WAF webACL. | |
1.3.2 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicurati che il certificato associato a una CloudFront distribuzione Amazon non sia il SSL certificato predefinito. La regola è NON _ COMPLIANT se una CloudFront distribuzione utilizza il SSL certificato predefinito. | |
1.3.2 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicurati che una policy AWS Network Firewall sia configurata con un'azione predefinita stateless definita dall'utente per i pacchetti frammentati. La regola è NON _ COMPLIANT se l'azione predefinita senza stato per i pacchetti frammentati non corrisponde all'azione predefinita definita dall'utente. | |
1.3.2 | L'accesso alla rete da e verso l'ambiente dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicurati che i gruppi di sicurezza DB di Amazon Relational Database Service (RDSAmazon) siano quelli predefiniti. La regola è NON _ COMPLIANT se ci sono gruppi di sicurezza DB che non sono il gruppo di sicurezza DB predefinito. | |
1.3.2 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicurati che i cluster Amazon Redshift abbiano «» enhancedVpcRouting abilitato. La regola è NON _ COMPLIANT se 'enhancedVpcRouting' non è abilitato o se la configurazione. enhancedVpcRouting il campo è 'falso'. | |
1.3.2 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicurati che i gateway di transito di Amazon Elastic Compute Cloud (AmazonEC2) non abbiano «AutoAcceptSharedAttachments» abilitato. La regola è NON _ COMPLIANT per un Transit Gateway se 'AutoAcceptSharedAttachments' è impostato su 'abilita'. | |
1.3.2 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicurati che l'endpoint Amazon Elastic Kubernetes Service (EKSAmazon) non sia accessibile al pubblico. La regola è NON _ COMPLIANT se l'endpoint è accessibile pubblicamente. | |
1.3.2 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Nota: per questa regola, l'identificatore della regola (INCOMING_ SSH _DISABLED) e il nome della regola (restricted-ssh) sono diversi. Assicurati che il SSH traffico in entrata per i gruppi di sicurezza sia accessibile. La regola è COMPLIANT se gli indirizzi IP del SSH traffico in entrata nei gruppi di sicurezza sono limitati (CIDRdiversi da 0.0.0.0/0 o: :/0). Altrimenti, _. NON COMPLIANT | |
1.3.2 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicurati che AWS AppSync APIs siano associati agli elenchi di controllo degli accessi AWS WAFv2 Web ()ACLs. La regola è NON _ COMPLIANT per un AWS AppSync API se non è associata a un webACL. | |
1.3.2 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicurati che le istantanee manuali dei cluster di Amazon DocumentDB non siano pubbliche. La regola è NON _ COMPLIANT se alcune istantanee manuali del cluster di Amazon DocumentDB sono pubbliche. | |
1.3.2 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicurati che l'archivio di origine di Bitbucket URL DOES NOT contenga o meno le credenziali di accesso. La regola è NON _ COMPLIANT se URL contiene informazioni di accesso e in caso contrario. COMPLIANT | |
1.3.2 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer. | |
1.3.2 | L'accesso alla rete da e verso l'ambiente dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicurati che su un account Amazon EMR siano abilitate le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se BlockPublicSecurityGroupRules è falsa o, se è vera, sono elencate le porte diverse dalla porta 22 PermittedPublicSecurityGroupRuleRanges. | |
1.3.2 | L'accesso alla rete da e verso l'ambiente dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicuratevi che le porte predefinite per il traffico SSH /in RDP ingresso per le liste di controllo degli accessi alla rete (NACLs) siano limitate. La regola è NON _ COMPLIANT se una voce NACL in entrata consente una sorgente TCP o un UDP CIDR blocco per le porte 22 o 3389. | |
1.3.2 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicuratevi che un Web WAF globale ACL contenga alcune WAF regole o gruppi di regole. Questa regola è NON _ COMPLIANT se un Web ACL non contiene alcuna WAF regola o gruppo di regole. | |
1.3.2 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicuratevi che un gruppo di regole AWS WAF Classic contenga alcune regole. La regola è NON _ COMPLIANT se non ci sono regole presenti all'interno di un gruppo di regole. | |
1.3.2 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicurati che una regola AWS WAF globale contenga alcune condizioni. La regola è NON _ COMPLIANT se non sono presenti condizioni all'interno della regola WAF globale. | |
1.3.2 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicurati che le regole di VPN autorizzazione AWS del client non autorizzino l'accesso alla connessione per tutti i client. La regola è NON _ COMPLIANT se 'AccessAll' è presente e impostato su true. | |
1.3.2 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicurati che i gateway Internet siano collegati a un cloud privato virtuale autorizzato (AmazonVPC). La regola è NON _ COMPLIANT se i gateway Internet sono collegati a un sito non autorizzato. VPC | |
1.3.2 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicurati che i punti di accesso Amazon S3 abbiano abilitato le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se le impostazioni di blocco dell'accesso pubblico non sono abilitate per i punti di accesso S3. | |
1.3.2 | L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0) | Assicurati che le impostazioni richieste per il blocco di accesso pubblico siano configurate a livello di account. La regola è NON _ solo COMPLIANT quando i campi impostati di seguito non corrispondono ai campi corrispondenti nell'elemento di configurazione. | |
1.4.1 | Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0) | Assicurati che Amazon API Gateway APIs sia del tipo specificato nel parametro della regola 'endpointConfigurationType'. La regola restituisce NON _ COMPLIANT se REST API non corrisponde al tipo di endpoint configurato nel parametro della regola. | |
1.4.1 | Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0) | Assicurati che i cluster Amazon Redshift abbiano «» enhancedVpcRouting abilitato. La regola è NON _ COMPLIANT se 'enhancedVpcRouting' non è abilitato o se la configurazione. enhancedVpcRouting il campo è 'falso'. | |
1.4.1 | Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0) | Assicurati che i gateway Internet siano collegati a un cloud privato virtuale autorizzato (AmazonVPC). La regola è NON _ COMPLIANT se i gateway Internet sono collegati a un sito non autorizzato. VPC | |
1.4.2 | Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0) | Assicurati che Amazon API Gateway APIs sia del tipo specificato nel parametro della regola 'endpointConfigurationType'. La regola restituisce NON _ COMPLIANT se REST API non corrisponde al tipo di endpoint configurato nel parametro della regola. | |
1.4.2 | Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0) | Assicurati che CloudFront le distribuzioni Amazon siano associate a Web Application Firewall (WAF) o WAFv2 Web Access Control List (ACLs). La regola è NON _ COMPLIANT se una CloudFront distribuzione non è associata a un WAF webACL. | |
1.4.2 | Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0) | Assicurati che il certificato associato a una CloudFront distribuzione Amazon non sia il SSL certificato predefinito. La regola è NON _ COMPLIANT se una CloudFront distribuzione utilizza il SSL certificato predefinito. | |
1.4.2 | Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0) | Assicurati che una policy AWS Network Firewall sia configurata con un'azione predefinita stateless definita dall'utente per i pacchetti frammentati. La regola è NON _ COMPLIANT se l'azione predefinita senza stato per i pacchetti frammentati non corrisponde all'azione predefinita definita dall'utente. | |
1.4.2 | Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0) | Assicurati che i gruppi di sicurezza DB di Amazon Relational Database Service (RDSAmazon) siano quelli predefiniti. La regola è NON _ COMPLIANT se ci sono gruppi di sicurezza DB che non sono il gruppo di sicurezza DB predefinito. | |
1.4.2 | Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0) | Assicurati che i cluster Amazon Redshift abbiano «» enhancedVpcRouting abilitato. La regola è NON _ COMPLIANT se 'enhancedVpcRouting' non è abilitato o se la configurazione. enhancedVpcRouting il campo è 'falso'. | |
1.4.2 | Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0) | Assicurati che i gateway di transito di Amazon Elastic Compute Cloud (AmazonEC2) non abbiano «AutoAcceptSharedAttachments» abilitato. La regola è NON _ COMPLIANT per un Transit Gateway se 'AutoAcceptSharedAttachments' è impostato su 'abilita'. | |
1.4.2 | Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0) | Assicurati che l'endpoint Amazon Elastic Kubernetes Service (EKSAmazon) non sia accessibile al pubblico. La regola è NON _ COMPLIANT se l'endpoint è accessibile pubblicamente. | |
1.4.2 | Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0) | Nota: per questa regola, l'identificatore della regola (INCOMING_ SSH _DISABLED) e il nome della regola (restricted-ssh) sono diversi. Assicurati che il SSH traffico in entrata per i gruppi di sicurezza sia accessibile. La regola è COMPLIANT se gli indirizzi IP del SSH traffico in entrata nei gruppi di sicurezza sono limitati (CIDRdiversi da 0.0.0.0/0 o: :/0). Altrimenti, _. NON COMPLIANT | |
1.4.2 | Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0) | Assicurati che AWS AppSync APIs siano associati agli elenchi di controllo degli accessi AWS WAFv2 Web ()ACLs. La regola è NON _ COMPLIANT per un AWS AppSync API se non è associata a un webACL. | |
1.4.2 | Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0) | Assicurati che le istantanee manuali dei cluster di Amazon DocumentDB non siano pubbliche. La regola è NON _ COMPLIANT se alcune istantanee manuali del cluster di Amazon DocumentDB sono pubbliche. | |
1.4.2 | Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0) | Assicurati che l'archivio di origine di Bitbucket URL DOES NOT contenga o meno le credenziali di accesso. La regola è NON _ COMPLIANT se URL contiene informazioni di accesso e in caso contrario. COMPLIANT | |
1.4.2 | Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0) | Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer. | |
1.4.2 | Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0) | Assicurati che su un account Amazon EMR siano abilitate le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se BlockPublicSecurityGroupRules è falsa o, se è vera, sono elencate le porte diverse dalla porta 22 PermittedPublicSecurityGroupRuleRanges. | |
1.4.2 | Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0) | Assicuratevi che le porte predefinite per il traffico SSH /in RDP ingresso per le liste di controllo degli accessi alla rete (NACLs) siano limitate. La regola è NON _ COMPLIANT se una voce NACL in entrata consente una sorgente TCP o un UDP CIDR blocco per le porte 22 o 3389. | |
1.4.2 | Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0) | Assicuratevi che un Web WAF globale ACL contenga alcune WAF regole o gruppi di regole. Questa regola è NON _ COMPLIANT se un Web ACL non contiene alcuna WAF regola o gruppo di regole. | |
1.4.2 | Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0) | Assicuratevi che un gruppo di regole AWS WAF Classic contenga alcune regole. La regola è NON _ COMPLIANT se non ci sono regole presenti all'interno di un gruppo di regole. | |
1.4.2 | Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0) | Assicurati che una regola AWS WAF globale contenga alcune condizioni. La regola è NON _ COMPLIANT se non sono presenti condizioni all'interno della regola WAF globale. | |
1.4.2 | Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0) | Assicurati che le regole di VPN autorizzazione AWS del client non autorizzino l'accesso alla connessione per tutti i client. La regola è NON _ COMPLIANT se 'AccessAll' è presente e impostato su true. | |
1.4.2 | Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0) | Assicurati che i gateway Internet siano collegati a un cloud privato virtuale autorizzato (AmazonVPC). La regola è NON _ COMPLIANT se i gateway Internet sono collegati a un sito non autorizzato. VPC | |
1.4.2 | Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0) | Assicurati che i punti di accesso Amazon S3 abbiano abilitato le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se le impostazioni di blocco dell'accesso pubblico non sono abilitate per i punti di accesso S3. | |
1.4.2 | Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0) | Assicurati che le impostazioni richieste per il blocco di accesso pubblico siano configurate a livello di account. La regola è NON _ solo COMPLIANT quando i campi impostati di seguito non corrispondono ai campi corrispondenti nell'elemento di configurazione. | |
1.4.3 | Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0) | Assicurati che una policy AWS Network Firewall sia configurata con un'azione predefinita stateless definita dall'utente per i pacchetti frammentati. La regola è NON _ COMPLIANT se l'azione predefinita senza stato per i pacchetti frammentati non corrisponde all'azione predefinita definita dall'utente. | |
1.4.3 | Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0) | Assicurati che una policy AWS Network Firewall sia configurata con un'azione predefinita stateless definita dall'utente per i pacchetti frammentati. La regola è NON _ COMPLIANT se l'azione predefinita senza stato per i pacchetti frammentati non corrisponde all'azione predefinita definita dall'utente. | |
1.4.3 | Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0) | Assicurati che una policy AWS Network Firewall sia configurata con un'azione stateless predefinita definita dall'utente per pacchetti completi. Questa regola è NON _ COMPLIANT se l'azione stateless predefinita per pacchetti completi non corrisponde all'azione stateless predefinita definita dall'utente. | |
1.4.4 | Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0) | Assicurati che Amazon API Gateway APIs sia del tipo specificato nel parametro della regola 'endpointConfigurationType'. La regola restituisce NON _ COMPLIANT se REST API non corrisponde al tipo di endpoint configurato nel parametro della regola. | |
1.4.4 | Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0) | Assicurati che i cluster Amazon Redshift abbiano «» enhancedVpcRouting abilitato. La regola è NON _ COMPLIANT se 'enhancedVpcRouting' non è abilitato o se la configurazione. enhancedVpcRouting il campo è 'falso'. | |
1.4.4 | Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0) | Assicurati che i gateway Internet siano collegati a un cloud privato virtuale autorizzato (AmazonVPC). La regola è NON _ COMPLIANT se i gateway Internet sono collegati a un sito non autorizzato. VPC | |
1.4.5 | Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0) | Assicurati che ECSTaskDefinitions siano configurati per condividere lo spazio dei nomi di processo di un host con i relativi contenitori Amazon Elastic Container Service ECS (Amazon). La regola è NON _ COMPLIANT se il pidMode parametro è impostato su 'host'. | |
1.4.5 | Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0) | Assicurati che i modelli Amazon EC2 Launch non siano impostati per assegnare indirizzi IP pubblici alle interfacce di rete. La regola è NON _ COMPLIANT se la versione predefinita di un EC2 Launch Template ha almeno un'interfaccia di rete con 'AssociatePublicIpAddress' impostato su 'true'. | |
1.5.1 | I rischi derivanti CDE da dispositivi informatici in grado di connettersi sia a reti non affidabili che a tali reti sono mitigati. CDE (PCI- DSS -v4.0) | Assicurati che Amazon API Gateway APIs sia del tipo specificato nel parametro della regola 'endpointConfigurationType'. La regola restituisce NON _ COMPLIANT se REST API non corrisponde al tipo di endpoint configurato nel parametro della regola. | |
1.5.1 | I rischi derivanti CDE da dispositivi informatici in grado di connettersi sia a reti non attendibili che a tali reti CDE sono mitigati. (PCI- DSS -v4.0) | Assicurati che CloudFront le distribuzioni Amazon siano associate a Web Application Firewall (WAF) o WAFv2 Web Access Control List (ACLs). La regola è NON _ COMPLIANT se una CloudFront distribuzione non è associata a un WAF webACL. | |
1.5.1 | I rischi derivanti CDE da dispositivi informatici in grado di connettersi a reti non affidabili CDE sono mitigati. (PCI- DSS -v4.0) | Assicurati che il certificato associato a una CloudFront distribuzione Amazon non sia il SSL certificato predefinito. La regola è NON _ COMPLIANT se una CloudFront distribuzione utilizza il SSL certificato predefinito. | |
1.5.1 | I rischi derivanti CDE da dispositivi informatici in grado di connettersi a reti non attendibili CDE sono mitigati. (PCI- DSS -v4.0) | Assicurati che una policy AWS Network Firewall sia configurata con un'azione predefinita stateless definita dall'utente per i pacchetti frammentati. La regola è NON _ COMPLIANT se l'azione predefinita senza stato per i pacchetti frammentati non corrisponde all'azione predefinita definita dall'utente. | |
1.5.1 | I rischi derivanti CDE da dispositivi informatici in grado di connettersi sia a reti non affidabili che a reti non affidabili sono mitigati. CDE (PCI- DSS -v4.0) | Assicurati che i gruppi di sicurezza DB di Amazon Relational Database Service (RDSAmazon) siano quelli predefiniti. La regola è NON _ COMPLIANT se ci sono gruppi di sicurezza DB che non sono il gruppo di sicurezza DB predefinito. | |
1.5.1 | I rischi derivanti CDE da dispositivi informatici in grado di connettersi sia a reti non affidabili che a tali reti CDE sono mitigati. (PCI- DSS -v4.0) | Assicurati che i gateway di transito di Amazon Elastic Compute Cloud (AmazonEC2) non abbiano «AutoAcceptSharedAttachments» abilitato. La regola è NON _ COMPLIANT per un Transit Gateway se 'AutoAcceptSharedAttachments' è impostato su 'abilita'. | |
1.5.1 | I rischi derivanti CDE da dispositivi informatici in grado di connettersi sia a reti non affidabili che a tali reti sono mitigati. CDE (PCI- DSS -v4.0) | Assicurati che l'endpoint Amazon Elastic Kubernetes Service (EKSAmazon) non sia accessibile al pubblico. La regola è NON _ COMPLIANT se l'endpoint è accessibile pubblicamente. | |
1.5.1 | I rischi derivanti CDE da dispositivi informatici in grado di connettersi a reti non affidabili CDE sono mitigati. (PCI- DSS -v4.0) | Nota: per questa regola, l'identificatore della regola (INCOMING_ SSH _DISABLED) e il nome della regola (restricted-ssh) sono diversi. Assicurati che il SSH traffico in entrata per i gruppi di sicurezza sia accessibile. La regola è COMPLIANT se gli indirizzi IP del SSH traffico in entrata nei gruppi di sicurezza sono limitati (CIDRdiversi da 0.0.0.0/0 o: :/0). Altrimenti, _. NON COMPLIANT | |
1.5.1 | I rischi derivanti CDE da dispositivi informatici in grado di connettersi sia a reti non affidabili che a tali reti CDE sono mitigati. (PCI- DSS -v4.0) | Assicurati che AWS AppSync APIs siano associati agli elenchi di controllo degli accessi AWS WAFv2 Web ()ACLs. La regola è NON _ COMPLIANT per un AWS AppSync API se non è associata a un webACL. | |
1.5.1 | I rischi derivanti CDE da dispositivi informatici in grado di connettersi sia a reti non affidabili che a reti non affidabili CDE sono mitigati. (PCI- DSS -v4.0) | Assicurati che le istantanee manuali dei cluster di Amazon DocumentDB non siano pubbliche. La regola è NON _ COMPLIANT se alcune istantanee manuali del cluster di Amazon DocumentDB sono pubbliche. | |
1.5.1 | I rischi per i CDE dispositivi informatici in grado di connettersi sia a reti non affidabili che a loro volta sono mitigati. CDE (PCI- DSS -v4.0) | Assicurati che l'archivio di origine di Bitbucket URL DOES NOT contenga o meno le credenziali di accesso. La regola è NON _ COMPLIANT se URL contiene informazioni di accesso e in caso contrario. COMPLIANT | |
1.5.1 | I rischi per CDE i dispositivi informatici in grado di connettersi sia a reti non affidabili che a loro CDE sono mitigati. (PCI- DSS -v4.0) | Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer. | |
1.5.1 | I rischi derivanti CDE da dispositivi informatici in grado di connettersi a reti non affidabili sono mitigati. CDE (PCI- DSS -v4.0) | Assicurati che su un account Amazon EMR siano abilitate le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se BlockPublicSecurityGroupRules è falsa o, se è vera, sono elencate le porte diverse dalla porta 22 PermittedPublicSecurityGroupRuleRanges. | |
1.5.1 | I rischi derivanti CDE da dispositivi informatici in grado di connettersi sia a reti non affidabili che a tali reti CDE sono mitigati. (PCI- DSS -v4.0) | Assicuratevi che le porte predefinite per il traffico SSH /in RDP ingresso per le liste di controllo degli accessi alla rete (NACLs) siano limitate. La regola è NON _ COMPLIANT se una voce NACL in entrata consente una sorgente TCP o un UDP CIDR blocco per le porte 22 o 3389. | |
1.5.1 | I rischi derivanti CDE da dispositivi informatici in grado di connettersi sia a reti non affidabili che a tali reti sono mitigati. CDE (PCI- DSS -v4.0) | Assicuratevi che un Web WAF globale ACL contenga alcune WAF regole o gruppi di regole. Questa regola è NON _ COMPLIANT se un Web ACL non contiene alcuna WAF regola o gruppo di regole. | |
1.5.1 | I rischi per CDE i dispositivi informatici che sono in grado di connettersi sia a reti non affidabili che a tali reti CDE sono mitigati. (PCI- DSS -v4.0) | Assicuratevi che un gruppo di regole AWS WAF Classic contenga alcune regole. La regola è NON _ COMPLIANT se non ci sono regole presenti all'interno di un gruppo di regole. | |
1.5.1 | I rischi derivanti CDE da dispositivi informatici in grado di connettersi sia a reti non affidabili che a tali reti CDE sono mitigati. (PCI- DSS -v4.0) | Assicurati che una regola AWS WAF globale contenga alcune condizioni. La regola è NON _ COMPLIANT se non sono presenti condizioni all'interno della regola WAF globale. | |
1.5.1 | I rischi derivanti CDE da dispositivi informatici in grado di connettersi sia a reti non affidabili che a loro volta CDE sono mitigati. (PCI- DSS -v4.0) | Assicurati che le regole di VPN autorizzazione AWS del client non autorizzino l'accesso alla connessione per tutti i client. La regola è NON _ COMPLIANT se 'AccessAll' è presente e impostato su true. | |
1.5.1 | I rischi derivanti CDE da dispositivi informatici in grado di connettersi sia a reti non affidabili che a loro volta CDE sono mitigati. (PCI- DSS -v4.0) | Assicurati che i gateway Internet siano collegati a un cloud privato virtuale autorizzato (AmazonVPC). La regola è NON _ COMPLIANT se i gateway Internet sono collegati a un sito non autorizzato. VPC | |
1.5.1 | I rischi derivanti CDE da dispositivi informatici in grado di connettersi sia a reti non affidabili che a tali reti sono mitigati. CDE (PCI- DSS -v4.0) | Assicurati che i punti di accesso Amazon S3 abbiano abilitato le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se le impostazioni di blocco dell'accesso pubblico non sono abilitate per i punti di accesso S3. | |
1.5.1 | I rischi per CDE i dispositivi informatici in grado di connettersi sia a reti non affidabili che a loro CDE sono mitigati. (PCI- DSS -v4.0) | Assicurati che le impostazioni richieste per il blocco di accesso pubblico siano configurate a livello di account. La regola è NON _ solo COMPLIANT quando i campi impostati di seguito non corrispondono ai campi corrispondenti nell'elemento di configurazione. | |
10.2.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che le fasi di Amazon API Gateway V2 abbiano la registrazione degli accessi abilitata. La regola è NON _ COMPLIANT se 'accessLogSettings' non è presente nella configurazione Stage. | |
10.2.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT | |
10.2.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che CloudFront le distribuzioni Amazon siano configurate per fornire log di accesso a un bucket Amazon S3. La regola è NON _ COMPLIANT se per una CloudFront distribuzione non è configurata la registrazione. | |
10.2.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che in un cluster CloudWatch Amazon Neptune sia abilitata l'esportazione dei log per i log di controllo. La regola è NON _ COMPLIANT se un cluster Neptune non ha l'esportazione dei log abilitata per CloudWatch i log di controllo. | |
10.2.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che logConfiguration sia impostato su ECS Task Definitions attive. Questa regola è NON _ COMPLIANT se per un elemento attivo ECSTaskDefinition non è definita la logConfiguration risorsa o se il valore per logConfiguration è nullo in almeno una definizione di contenitore. | |
10.2.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Nota: per questa regola, l'identificatore della regola (CLOUD_ TRAIL _ENABLED) e il nome della regola (cloudtrail-enabled) sono diversi. Assicurati che nel tuo account sia AWS CloudTrail abilitato un percorso. AWS La regola è NON _ COMPLIANT se un trail non è abilitato. Facoltativamente, la regola controlla uno specifico bucket S3, un argomento di Amazon Simple Notification Service (AmazonSNS) e CloudWatch un gruppo di log. | |
10.2.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Nota: per questa regola, l'identificatore della regola (MULTI_ _ _ _ REGION CLOUD TRAIL _ENABLED) e il nome della regola (multi-region-cloudtrail-enabled) sono diversi. Assicurati che esista almeno una regione AWS CloudTrail multipla. La regola è NON _ COMPLIANT se i percorsi non corrispondono ai parametri di input. La regola è NON _ COMPLIANT se il ExcludeManagementEventSources campo non è vuoto o se AWS CloudTrail è configurato per escludere eventi di gestione come AWS KMS eventi o API eventi Amazon RDS Data. | |
10.2.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che an AWS AppSync API abbia la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione non è abilitata, oppure 'fieldLogLevel' non è né l'una né l'altraERROR. ALL | |
10.2.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che la registrazione sia abilitata nelle AWS WAF classiche liste globali di controllo degli accessi Web (web). ACLs La regola è NON _ COMPLIANT per un Web globaleACL, se non ha la registrazione abilitata. | |
10.2.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che i broker Amazon MQ abbiano abilitato la registrazione CloudWatch di audit di Amazon. La regola è NON _ COMPLIANT se un broker non ha abilitato la registrazione di controllo. | |
10.2.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che un broker Amazon MQ abbia abilitato la registrazione di CloudWatch controllo. La regola è NON _ COMPLIANT se il broker non ha abilitato la registrazione di controllo. | |
10.2.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che un cluster Amazon Elastic Kubernetes Service (EKSAmazon) sia configurato con la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione per EKS i cluster Amazon non è abilitata per tutti i tipi di log. | |
10.2.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che gli ambienti AWS Elastic Beanstalk siano configurati per inviare log ad Amazon Logs. CloudWatch La regola è NON _ COMPLIANT se il valore di `` è falso. StreamLogs | |
10.2.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurarsi che la macchina AWS Step Functions abbia la registrazione abilitata. La regola è NON _ COMPLIANT se una macchina a stati non ha la registrazione abilitata o la configurazione di registrazione non è al livello minimo fornito. | |
10.2.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che i firewall AWS Network Firewall abbiano la registrazione abilitata. La regola è NON _ COMPLIANT se un tipo di registrazione non è configurato. Puoi specificare il tipo di registrazione di log che desideri venga verificato dalla regola. | |
10.2.1.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che le fasi di Amazon API Gateway V2 abbiano la registrazione degli accessi abilitata. La regola è NON _ COMPLIANT se 'accessLogSettings' non è presente nella configurazione Stage. | |
10.2.1.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT | |
10.2.1.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che CloudFront le distribuzioni Amazon siano configurate per fornire log di accesso a un bucket Amazon S3. La regola è NON _ COMPLIANT se per una CloudFront distribuzione non è configurata la registrazione. | |
10.2.1.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che in un cluster CloudWatch Amazon Neptune sia abilitata l'esportazione dei log per i log di controllo. La regola è NON _ COMPLIANT se un cluster Neptune non ha l'esportazione dei log abilitata per CloudWatch i log di controllo. | |
10.2.1.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che il monitoraggio dettagliato sia abilitato per le EC2 istanze. La regola è NON _ COMPLIANT se il monitoraggio dettagliato non è abilitato. | |
10.2.1.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che logConfiguration sia impostato su ECS Task Definitions attive. Questa regola è NON _ COMPLIANT se per un elemento attivo ECSTaskDefinition non è definita la logConfiguration risorsa o se il valore per logConfiguration è nullo in almeno una definizione di contenitore. | |
10.2.1.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale. | |
10.2.1.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale. | |
10.2.1.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale. | |
10.2.1.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che un tipo di risorsa abbia un CloudWatch allarme per la metrica indicata. Per il tipo di risorsa, puoi specificare EBS volumi, EC2 istanze, RDS cluster Amazon o bucket S3. La regola è COMPLIANT se la metrica indicata ha un ID di risorsa e un allarme. CloudWatch | |
10.2.1.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Nota: per questa regola, l'identificatore della regola (CLOUD_ TRAIL _ENABLED) e il nome della regola (cloudtrail-enabled) sono diversi. Assicurati che nel tuo account sia AWS CloudTrail abilitato un percorso. AWS La regola è NON _ COMPLIANT se un trail non è abilitato. Facoltativamente, la regola controlla uno specifico bucket S3, un argomento di Amazon Simple Notification Service (AmazonSNS) e CloudWatch un gruppo di log. | |
10.2.1.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Nota: per questa regola, l'identificatore della regola (MULTI_ _ _ _ REGION CLOUD TRAIL _ENABLED) e il nome della regola (multi-region-cloudtrail-enabled) sono diversi. Assicurati che esista almeno una regione AWS CloudTrail multipla. La regola è NON _ COMPLIANT se i percorsi non corrispondono ai parametri di input. La regola è NON _ COMPLIANT se il ExcludeManagementEventSources campo non è vuoto o se AWS CloudTrail è configurato per escludere eventi di gestione come AWS KMS eventi o API eventi Amazon RDS Data. | |
10.2.1.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che an AWS AppSync API abbia la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione non è abilitata, oppure 'fieldLogLevel' non è né l'una né l'altraERROR. ALL | |
10.2.1.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che la registrazione sia abilitata nelle AWS WAF classiche liste globali di controllo degli accessi Web (web). ACLs La regola è NON _ COMPLIANT per un Web globaleACL, se non ha la registrazione abilitata. | |
10.2.1.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che i broker Amazon MQ abbiano abilitato la registrazione CloudWatch di audit di Amazon. La regola è NON _ COMPLIANT se un broker non ha abilitato la registrazione di controllo. | |
10.2.1.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che un broker Amazon MQ abbia abilitato la registrazione di CloudWatch controllo. La regola è NON _ COMPLIANT se il broker non ha abilitato la registrazione di controllo. | |
10.2.1.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che un cluster Amazon Elastic Kubernetes Service (EKSAmazon) sia configurato con la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione per EKS i cluster Amazon non è abilitata per tutti i tipi di log. | |
10.2.1.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che gli ambienti AWS Elastic Beanstalk siano configurati per inviare log ad Amazon Logs. CloudWatch La regola è NON _ COMPLIANT se il valore di `` è falso. StreamLogs | |
10.2.1.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che la raccolta CloudWatch dei parametri di sicurezza di Amazon sui gruppi di AWS WAFv2 regole sia abilitata. La regola è NON _ COMPLIANT se '. VisibilityConfig CloudWatchMetricsEnabled'field è impostato su false. | |
10.2.1.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che la registrazione di Amazon Simple Notification Service (SNS) sia abilitata per lo stato di consegna dei messaggi di notifica inviati a un argomento per gli endpoint. La regola è NON _ COMPLIANT se la notifica dello stato di consegna dei messaggi non è abilitata. | |
10.2.1.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurarsi che la macchina AWS Step Functions abbia la registrazione abilitata. La regola è NON _ COMPLIANT se una macchina a stati non ha la registrazione abilitata o la configurazione di registrazione non è al livello minimo fornito. | |
10.2.1.1 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che i firewall AWS Network Firewall abbiano la registrazione abilitata. La regola è NON _ COMPLIANT se un tipo di registrazione non è configurato. Puoi specificare il tipo di registrazione di log che desideri venga verificato dalla regola. | |
10.2.1.2 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che le fasi di Amazon API Gateway V2 abbiano la registrazione degli accessi abilitata. La regola è NON _ COMPLIANT se 'accessLogSettings' non è presente nella configurazione Stage. | |
10.2.1.2 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT | |
10.2.1.2 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che CloudFront le distribuzioni Amazon siano configurate per fornire log di accesso a un bucket Amazon S3. La regola è NON _ COMPLIANT se per una CloudFront distribuzione non è configurata la registrazione. | |
10.2.1.2 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che in un cluster CloudWatch Amazon Neptune sia abilitata l'esportazione dei log per i log di controllo. La regola è NON _ COMPLIANT se un cluster Neptune non ha l'esportazione dei log abilitata per CloudWatch i log di controllo. | |
10.2.1.2 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che logConfiguration sia impostato su ECS Task Definitions attive. Questa regola è NON _ COMPLIANT se per un elemento attivo ECSTaskDefinition non è definita la logConfiguration risorsa o se il valore per logConfiguration è nullo in almeno una definizione di contenitore. | |
10.2.1.2 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Nota: per questa regola, l'identificatore della regola (CLOUD_ TRAIL _ENABLED) e il nome della regola (cloudtrail-enabled) sono diversi. Assicurati che nel tuo account sia AWS CloudTrail abilitato un percorso. AWS La regola è NON _ COMPLIANT se un trail non è abilitato. Facoltativamente, la regola controlla uno specifico bucket S3, un argomento di Amazon Simple Notification Service (AmazonSNS) e CloudWatch un gruppo di log. | |
10.2.1.2 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Nota: per questa regola, l'identificatore della regola (MULTI_ _ _ _ REGION CLOUD TRAIL _ENABLED) e il nome della regola (multi-region-cloudtrail-enabled) sono diversi. Assicurati che esista almeno una regione AWS CloudTrail multipla. La regola è NON _ COMPLIANT se i percorsi non corrispondono ai parametri di input. La regola è NON _ COMPLIANT se il ExcludeManagementEventSources campo non è vuoto o se AWS CloudTrail è configurato per escludere eventi di gestione come AWS KMS eventi o API eventi Amazon RDS Data. | |
10.2.1.2 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che an AWS AppSync API abbia la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione non è abilitata, oppure 'fieldLogLevel' non è né l'una né l'altraERROR. ALL | |
10.2.1.2 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che la registrazione sia abilitata nelle AWS WAF classiche liste globali di controllo degli accessi Web (web). ACLs La regola è NON _ COMPLIANT per un Web globaleACL, se non ha la registrazione abilitata. | |
10.2.1.2 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che i broker Amazon MQ abbiano abilitato la registrazione CloudWatch di audit di Amazon. La regola è NON _ COMPLIANT se un broker non ha abilitato la registrazione di controllo. | |
10.2.1.2 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che un broker Amazon MQ abbia abilitato la registrazione di CloudWatch controllo. La regola è NON _ COMPLIANT se il broker non ha abilitato la registrazione di controllo. | |
10.2.1.2 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che un cluster Amazon Elastic Kubernetes Service (EKSAmazon) sia configurato con la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione per EKS i cluster Amazon non è abilitata per tutti i tipi di log. | |
10.2.1.2 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che gli ambienti AWS Elastic Beanstalk siano configurati per inviare log ad Amazon Logs. CloudWatch La regola è NON _ COMPLIANT se il valore di `` è falso. StreamLogs | |
10.2.1.2 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurarsi che la macchina AWS Step Functions abbia la registrazione abilitata. La regola è NON _ COMPLIANT se una macchina a stati non ha la registrazione abilitata o la configurazione di registrazione non è al livello minimo fornito. | |
10.2.1.2 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che i firewall AWS Network Firewall abbiano la registrazione abilitata. La regola è NON _ COMPLIANT se un tipo di registrazione non è configurato. Puoi specificare il tipo di registrazione di log che desideri venga verificato dalla regola. | |
10.2.1.3 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che le fasi di Amazon API Gateway V2 abbiano la registrazione degli accessi abilitata. La regola è NON _ COMPLIANT se 'accessLogSettings' non è presente nella configurazione Stage. | |
10.2.1.3 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT | |
10.2.1.3 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che CloudFront le distribuzioni Amazon siano configurate per fornire log di accesso a un bucket Amazon S3. La regola è NON _ COMPLIANT se per una CloudFront distribuzione non è configurata la registrazione. | |
10.2.1.3 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che in un cluster CloudWatch Amazon Neptune sia abilitata l'esportazione dei log per i log di controllo. La regola è NON _ COMPLIANT se un cluster Neptune non ha l'esportazione dei log abilitata per CloudWatch i log di controllo. | |
10.2.1.3 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che logConfiguration sia impostato su ECS Task Definitions attive. Questa regola è NON _ COMPLIANT se per un elemento attivo ECSTaskDefinition non è definita la logConfiguration risorsa o se il valore per logConfiguration è nullo in almeno una definizione di contenitore. | |
10.2.1.3 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Nota: per questa regola, l'identificatore della regola (CLOUD_ TRAIL _ENABLED) e il nome della regola (cloudtrail-enabled) sono diversi. Assicurati che nel tuo account sia AWS CloudTrail abilitato un percorso. AWS La regola è NON _ COMPLIANT se un trail non è abilitato. Facoltativamente, la regola controlla uno specifico bucket S3, un argomento di Amazon Simple Notification Service (AmazonSNS) e CloudWatch un gruppo di log. | |
10.2.1.3 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Nota: per questa regola, l'identificatore della regola (MULTI_ _ _ _ REGION CLOUD TRAIL _ENABLED) e il nome della regola (multi-region-cloudtrail-enabled) sono diversi. Assicurati che esista almeno una regione AWS CloudTrail multipla. La regola è NON _ COMPLIANT se i percorsi non corrispondono ai parametri di input. La regola è NON _ COMPLIANT se il ExcludeManagementEventSources campo non è vuoto o se AWS CloudTrail è configurato per escludere eventi di gestione come AWS KMS eventi o API eventi Amazon RDS Data. | |
10.2.1.3 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che an AWS AppSync API abbia la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione non è abilitata, oppure 'fieldLogLevel' non è né l'una né l'altraERROR. ALL | |
10.2.1.3 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che la registrazione sia abilitata nelle AWS WAF classiche liste globali di controllo degli accessi Web (web). ACLs La regola è NON _ COMPLIANT per un Web globaleACL, se non ha la registrazione abilitata. | |
10.2.1.3 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che i broker Amazon MQ abbiano abilitato la registrazione CloudWatch di audit di Amazon. La regola è NON _ COMPLIANT se un broker non ha abilitato la registrazione di controllo. | |
10.2.1.3 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che un broker Amazon MQ abbia abilitato la registrazione di CloudWatch controllo. La regola è NON _ COMPLIANT se il broker non ha abilitato la registrazione di controllo. | |
10.2.1.3 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che un cluster Amazon Elastic Kubernetes Service (EKSAmazon) sia configurato con la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione per EKS i cluster Amazon non è abilitata per tutti i tipi di log. | |
10.2.1.3 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che gli ambienti AWS Elastic Beanstalk siano configurati per inviare log ad Amazon Logs. CloudWatch La regola è NON _ COMPLIANT se il valore di `` è falso. StreamLogs | |
10.2.1.3 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurarsi che la macchina AWS Step Functions abbia la registrazione abilitata. La regola è NON _ COMPLIANT se una macchina a stati non ha la registrazione abilitata o la configurazione di registrazione non è al livello minimo fornito. | |
10.2.1.3 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che i firewall AWS Network Firewall abbiano la registrazione abilitata. La regola è NON _ COMPLIANT se un tipo di registrazione non è configurato. Puoi specificare il tipo di registrazione di log che desideri venga verificato dalla regola. | |
10.2.1.4 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che le fasi di Amazon API Gateway V2 abbiano la registrazione degli accessi abilitata. La regola è NON _ COMPLIANT se 'accessLogSettings' non è presente nella configurazione Stage. | |
10.2.1.4 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT | |
10.2.1.4 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che CloudFront le distribuzioni Amazon siano configurate per fornire log di accesso a un bucket Amazon S3. La regola è NON _ COMPLIANT se per una CloudFront distribuzione non è configurata la registrazione. | |
10.2.1.4 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che in un cluster CloudWatch Amazon Neptune sia abilitata l'esportazione dei log per i log di controllo. La regola è NON _ COMPLIANT se un cluster Neptune non ha l'esportazione dei log abilitata per CloudWatch i log di controllo. | |
10.2.1.4 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che logConfiguration sia impostato su ECS Task Definitions attive. Questa regola è NON _ COMPLIANT se per un elemento attivo ECSTaskDefinition non è definita la logConfiguration risorsa o se il valore per logConfiguration è nullo in almeno una definizione di contenitore. | |
10.2.1.4 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Nota: per questa regola, l'identificatore della regola (CLOUD_ TRAIL _ENABLED) e il nome della regola (cloudtrail-enabled) sono diversi. Assicurati che nel tuo account sia AWS CloudTrail abilitato un percorso. AWS La regola è NON _ COMPLIANT se un trail non è abilitato. Facoltativamente, la regola controlla uno specifico bucket S3, un argomento di Amazon Simple Notification Service (AmazonSNS) e CloudWatch un gruppo di log. | |
10.2.1.4 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Nota: per questa regola, l'identificatore della regola (MULTI_ _ _ _ REGION CLOUD TRAIL _ENABLED) e il nome della regola (multi-region-cloudtrail-enabled) sono diversi. Assicurati che esista almeno una regione AWS CloudTrail multipla. La regola è NON _ COMPLIANT se i percorsi non corrispondono ai parametri di input. La regola è NON _ COMPLIANT se il ExcludeManagementEventSources campo non è vuoto o se AWS CloudTrail è configurato per escludere eventi di gestione come AWS KMS eventi o API eventi Amazon RDS Data. | |
10.2.1.4 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che an AWS AppSync API abbia la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione non è abilitata, oppure 'fieldLogLevel' non è né l'una né l'altraERROR. ALL | |
10.2.1.4 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che la registrazione sia abilitata nelle AWS WAF classiche liste globali di controllo degli accessi Web (web). ACLs La regola è NON _ COMPLIANT per un Web globaleACL, se non ha la registrazione abilitata. | |
10.2.1.4 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che i broker Amazon MQ abbiano abilitato la registrazione CloudWatch di audit di Amazon. La regola è NON _ COMPLIANT se un broker non ha abilitato la registrazione di controllo. | |
10.2.1.4 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che un broker Amazon MQ abbia abilitato la registrazione di CloudWatch controllo. La regola è NON _ COMPLIANT se il broker non ha abilitato la registrazione di controllo. | |
10.2.1.4 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che un cluster Amazon Elastic Kubernetes Service (EKSAmazon) sia configurato con la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione per EKS i cluster Amazon non è abilitata per tutti i tipi di log. | |
10.2.1.4 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che gli ambienti AWS Elastic Beanstalk siano configurati per inviare log ad Amazon Logs. CloudWatch La regola è NON _ COMPLIANT se il valore di `` è falso. StreamLogs | |
10.2.1.4 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurarsi che la macchina AWS Step Functions abbia la registrazione abilitata. La regola è NON _ COMPLIANT se una macchina a stati non ha la registrazione abilitata o la configurazione di registrazione non è al livello minimo fornito. | |
10.2.1.4 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che i firewall AWS Network Firewall abbiano la registrazione abilitata. La regola è NON _ COMPLIANT se un tipo di registrazione non è configurato. Puoi specificare il tipo di registrazione di log che desideri venga verificato dalla regola. | |
10.2.1.5 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che le fasi di Amazon API Gateway V2 abbiano la registrazione degli accessi abilitata. La regola è NON _ COMPLIANT se 'accessLogSettings' non è presente nella configurazione Stage. | |
10.2.1.5 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT | |
10.2.1.5 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che CloudFront le distribuzioni Amazon siano configurate per fornire log di accesso a un bucket Amazon S3. La regola è NON _ COMPLIANT se per una CloudFront distribuzione non è configurata la registrazione. | |
10.2.1.5 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che in un cluster CloudWatch Amazon Neptune sia abilitata l'esportazione dei log per i log di controllo. La regola è NON _ COMPLIANT se un cluster Neptune non ha l'esportazione dei log abilitata per CloudWatch i log di controllo. | |
10.2.1.5 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che logConfiguration sia impostato su ECS Task Definitions attive. Questa regola è NON _ COMPLIANT se per un elemento attivo ECSTaskDefinition non è definita la logConfiguration risorsa o se il valore per logConfiguration è nullo in almeno una definizione di contenitore. | |
10.2.1.5 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Nota: per questa regola, l'identificatore della regola (CLOUD_ TRAIL _ENABLED) e il nome della regola (cloudtrail-enabled) sono diversi. Assicurati che nel tuo account sia AWS CloudTrail abilitato un percorso. AWS La regola è NON _ COMPLIANT se un trail non è abilitato. Facoltativamente, la regola controlla uno specifico bucket S3, un argomento di Amazon Simple Notification Service (AmazonSNS) e CloudWatch un gruppo di log. | |
10.2.1.5 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Nota: per questa regola, l'identificatore della regola (MULTI_ _ _ _ REGION CLOUD TRAIL _ENABLED) e il nome della regola (multi-region-cloudtrail-enabled) sono diversi. Assicurati che esista almeno una regione AWS CloudTrail multipla. La regola è NON _ COMPLIANT se i percorsi non corrispondono ai parametri di input. La regola è NON _ COMPLIANT se il ExcludeManagementEventSources campo non è vuoto o se AWS CloudTrail è configurato per escludere eventi di gestione come AWS KMS eventi o API eventi Amazon RDS Data. | |
10.2.1.5 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che an AWS AppSync API abbia la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione non è abilitata, oppure 'fieldLogLevel' non è né l'una né l'altraERROR. ALL | |
10.2.1.5 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che la registrazione sia abilitata nelle AWS WAF classiche liste globali di controllo degli accessi Web (web). ACLs La regola è NON _ COMPLIANT per un Web globaleACL, se non ha la registrazione abilitata. | |
10.2.1.5 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che i broker Amazon MQ abbiano abilitato la registrazione CloudWatch di audit di Amazon. La regola è NON _ COMPLIANT se un broker non ha abilitato la registrazione di controllo. | |
10.2.1.5 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che un broker Amazon MQ abbia abilitato la registrazione di CloudWatch controllo. La regola è NON _ COMPLIANT se il broker non ha abilitato la registrazione di controllo. | |
10.2.1.5 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che un cluster Amazon Elastic Kubernetes Service (EKSAmazon) sia configurato con la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione per EKS i cluster Amazon non è abilitata per tutti i tipi di log. | |
10.2.1.5 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che gli ambienti AWS Elastic Beanstalk siano configurati per inviare log ad Amazon Logs. CloudWatch La regola è NON _ COMPLIANT se il valore di `` è falso. StreamLogs | |
10.2.1.5 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurarsi che la macchina AWS Step Functions abbia la registrazione abilitata. La regola è NON _ COMPLIANT se una macchina a stati non ha la registrazione abilitata o la configurazione di registrazione non è al livello minimo fornito. | |
10.2.1.5 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che i firewall AWS Network Firewall abbiano la registrazione abilitata. La regola è NON _ COMPLIANT se un tipo di registrazione non è configurato. Puoi specificare il tipo di registrazione di log che desideri venga verificato dalla regola. | |
10.2.1.6 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che le fasi di Amazon API Gateway V2 abbiano la registrazione degli accessi abilitata. La regola è NON _ COMPLIANT se 'accessLogSettings' non è presente nella configurazione Stage. | |
10.2.1.6 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT | |
10.2.1.6 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che CloudFront le distribuzioni Amazon siano configurate per fornire log di accesso a un bucket Amazon S3. La regola è NON _ COMPLIANT se per una CloudFront distribuzione non è configurata la registrazione. | |
10.2.1.6 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che in un cluster CloudWatch Amazon Neptune sia abilitata l'esportazione dei log per i log di controllo. La regola è NON _ COMPLIANT se un cluster Neptune non ha l'esportazione dei log abilitata per CloudWatch i log di controllo. | |
10.2.1.6 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che logConfiguration sia impostato su ECS Task Definitions attive. Questa regola è NON _ COMPLIANT se per un elemento attivo ECSTaskDefinition non è definita la logConfiguration risorsa o se il valore per logConfiguration è nullo in almeno una definizione di contenitore. | |
10.2.1.6 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Nota: per questa regola, l'identificatore della regola (CLOUD_ TRAIL _ENABLED) e il nome della regola (cloudtrail-enabled) sono diversi. Assicurati che nel tuo account sia AWS CloudTrail abilitato un percorso. AWS La regola è NON _ COMPLIANT se un trail non è abilitato. Facoltativamente, la regola controlla uno specifico bucket S3, un argomento di Amazon Simple Notification Service (AmazonSNS) e CloudWatch un gruppo di log. | |
10.2.1.6 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Nota: per questa regola, l'identificatore della regola (MULTI_ _ _ _ REGION CLOUD TRAIL _ENABLED) e il nome della regola (multi-region-cloudtrail-enabled) sono diversi. Assicurati che esista almeno una regione AWS CloudTrail multipla. La regola è NON _ COMPLIANT se i percorsi non corrispondono ai parametri di input. La regola è NON _ COMPLIANT se il ExcludeManagementEventSources campo non è vuoto o se AWS CloudTrail è configurato per escludere eventi di gestione come AWS KMS eventi o API eventi Amazon RDS Data. | |
10.2.1.6 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che an AWS AppSync API abbia la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione non è abilitata, oppure 'fieldLogLevel' non è né l'una né l'altraERROR. ALL | |
10.2.1.6 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che la registrazione sia abilitata nelle AWS WAF classiche liste globali di controllo degli accessi Web (web). ACLs La regola è NON _ COMPLIANT per un Web globaleACL, se non ha la registrazione abilitata. | |
10.2.1.6 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che i broker Amazon MQ abbiano abilitato la registrazione CloudWatch di audit di Amazon. La regola è NON _ COMPLIANT se un broker non ha abilitato la registrazione di controllo. | |
10.2.1.6 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che un broker Amazon MQ abbia abilitato la registrazione di CloudWatch controllo. La regola è NON _ COMPLIANT se il broker non ha abilitato la registrazione di controllo. | |
10.2.1.6 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che un cluster Amazon Elastic Kubernetes Service (EKSAmazon) sia configurato con la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione per EKS i cluster Amazon non è abilitata per tutti i tipi di log. | |
10.2.1.6 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che gli ambienti AWS Elastic Beanstalk siano configurati per inviare log ad Amazon Logs. CloudWatch La regola è NON _ COMPLIANT se il valore di `` è falso. StreamLogs | |
10.2.1.6 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurarsi che la macchina AWS Step Functions abbia la registrazione abilitata. La regola è NON _ COMPLIANT se una macchina a stati non ha la registrazione abilitata o la configurazione di registrazione non è al livello minimo fornito. | |
10.2.1.6 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che i firewall AWS Network Firewall abbiano la registrazione abilitata. La regola è NON _ COMPLIANT se un tipo di registrazione non è configurato. Puoi specificare il tipo di registrazione di log che desideri venga verificato dalla regola. | |
10.2.1.7 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che le fasi di Amazon API Gateway V2 abbiano la registrazione degli accessi abilitata. La regola è NON _ COMPLIANT se 'accessLogSettings' non è presente nella configurazione Stage. | |
10.2.1.7 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT | |
10.2.1.7 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che CloudFront le distribuzioni Amazon siano configurate per fornire log di accesso a un bucket Amazon S3. La regola è NON _ COMPLIANT se per una CloudFront distribuzione non è configurata la registrazione. | |
10.2.1.7 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che in un cluster CloudWatch Amazon Neptune sia abilitata l'esportazione dei log per i log di controllo. La regola è NON _ COMPLIANT se un cluster Neptune non ha l'esportazione dei log abilitata per CloudWatch i log di controllo. | |
10.2.1.7 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che logConfiguration sia impostato su ECS Task Definitions attive. Questa regola è NON _ COMPLIANT se per un elemento attivo ECSTaskDefinition non è definita la logConfiguration risorsa o se il valore per logConfiguration è nullo in almeno una definizione di contenitore. | |
10.2.1.7 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Nota: per questa regola, l'identificatore della regola (CLOUD_ TRAIL _ENABLED) e il nome della regola (cloudtrail-enabled) sono diversi. Assicurati che nel tuo account sia AWS CloudTrail abilitato un percorso. AWS La regola è NON _ COMPLIANT se un trail non è abilitato. Facoltativamente, la regola controlla uno specifico bucket S3, un argomento di Amazon Simple Notification Service (AmazonSNS) e CloudWatch un gruppo di log. | |
10.2.1.7 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Nota: per questa regola, l'identificatore della regola (MULTI_ _ _ _ REGION CLOUD TRAIL _ENABLED) e il nome della regola (multi-region-cloudtrail-enabled) sono diversi. Assicurati che esista almeno una regione AWS CloudTrail multipla. La regola è NON _ COMPLIANT se i percorsi non corrispondono ai parametri di input. La regola è NON _ COMPLIANT se il ExcludeManagementEventSources campo non è vuoto o se AWS CloudTrail è configurato per escludere eventi di gestione come AWS KMS eventi o API eventi Amazon RDS Data. | |
10.2.1.7 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che an AWS AppSync API abbia la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione non è abilitata, oppure 'fieldLogLevel' non è né l'una né l'altraERROR. ALL | |
10.2.1.7 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che la registrazione sia abilitata nelle AWS WAF classiche liste globali di controllo degli accessi Web (web). ACLs La regola è NON _ COMPLIANT per un Web globaleACL, se non ha la registrazione abilitata. | |
10.2.1.7 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che i broker Amazon MQ abbiano abilitato la registrazione CloudWatch di audit di Amazon. La regola è NON _ COMPLIANT se un broker non ha abilitato la registrazione di controllo. | |
10.2.1.7 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che un broker Amazon MQ abbia abilitato la registrazione di CloudWatch controllo. La regola è NON _ COMPLIANT se il broker non ha abilitato la registrazione di controllo. | |
10.2.1.7 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che un cluster Amazon Elastic Kubernetes Service (EKSAmazon) sia configurato con la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione per EKS i cluster Amazon non è abilitata per tutti i tipi di log. | |
10.2.1.7 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che gli ambienti AWS Elastic Beanstalk siano configurati per inviare log ad Amazon Logs. CloudWatch La regola è NON _ COMPLIANT se il valore di `` è falso. StreamLogs | |
10.2.1.7 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurarsi che la macchina AWS Step Functions abbia la registrazione abilitata. La regola è NON _ COMPLIANT se una macchina a stati non ha la registrazione abilitata o la configurazione di registrazione non è al livello minimo fornito. | |
10.2.1.7 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che i firewall AWS Network Firewall abbiano la registrazione abilitata. La regola è NON _ COMPLIANT se un tipo di registrazione non è configurato. Puoi specificare il tipo di registrazione di log che desideri venga verificato dalla regola. | |
10.2.2 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che le fasi di Amazon API Gateway V2 abbiano la registrazione degli accessi abilitata. La regola è NON _ COMPLIANT se 'accessLogSettings' non è presente nella configurazione Stage. | |
10.2.2 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT | |
10.2.2 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che CloudFront le distribuzioni Amazon siano configurate per fornire log di accesso a un bucket Amazon S3. La regola è NON _ COMPLIANT se per una CloudFront distribuzione non è configurata la registrazione. | |
10.2.2 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che in un cluster CloudWatch Amazon Neptune sia abilitata l'esportazione dei log per i log di controllo. La regola è NON _ COMPLIANT se un cluster Neptune non ha l'esportazione dei log abilitata per CloudWatch i log di controllo. | |
10.2.2 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che logConfiguration sia impostato su ECS Task Definitions attive. Questa regola è NON _ COMPLIANT se per un elemento attivo ECSTaskDefinition non è definita la logConfiguration risorsa o se il valore per logConfiguration è nullo in almeno una definizione di contenitore. | |
10.2.2 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Nota: per questa regola, l'identificatore della regola (CLOUD_ TRAIL _ENABLED) e il nome della regola (cloudtrail-enabled) sono diversi. Assicurati che nel tuo account sia AWS CloudTrail abilitato un percorso. AWS La regola è NON _ COMPLIANT se un trail non è abilitato. Facoltativamente, la regola controlla uno specifico bucket S3, un argomento di Amazon Simple Notification Service (AmazonSNS) e CloudWatch un gruppo di log. | |
10.2.2 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Nota: per questa regola, l'identificatore della regola (MULTI_ _ _ _ REGION CLOUD TRAIL _ENABLED) e il nome della regola (multi-region-cloudtrail-enabled) sono diversi. Assicurati che esista almeno una regione AWS CloudTrail multipla. La regola è NON _ COMPLIANT se i percorsi non corrispondono ai parametri di input. La regola è NON _ COMPLIANT se il ExcludeManagementEventSources campo non è vuoto o se AWS CloudTrail è configurato per escludere eventi di gestione come AWS KMS eventi o API eventi Amazon RDS Data. | |
10.2.2 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che an AWS AppSync API abbia la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione non è abilitata, oppure 'fieldLogLevel' non è né l'una né l'altraERROR. ALL | |
10.2.2 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che la registrazione sia abilitata nelle AWS WAF classiche liste globali di controllo degli accessi Web (web). ACLs La regola è NON _ COMPLIANT per un Web globaleACL, se non ha la registrazione abilitata. | |
10.2.2 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che i broker Amazon MQ abbiano abilitato la registrazione CloudWatch di audit di Amazon. La regola è NON _ COMPLIANT se un broker non ha abilitato la registrazione di controllo. | |
10.2.2 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che un broker Amazon MQ abbia abilitato la registrazione di CloudWatch controllo. La regola è NON _ COMPLIANT se il broker non ha abilitato la registrazione di controllo. | |
10.2.2 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che un cluster Amazon Elastic Kubernetes Service (EKSAmazon) sia configurato con la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione per EKS i cluster Amazon non è abilitata per tutti i tipi di log. | |
10.2.2 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che gli ambienti AWS Elastic Beanstalk siano configurati per inviare log ad Amazon Logs. CloudWatch La regola è NON _ COMPLIANT se il valore di `` è falso. StreamLogs | |
10.2.2 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurarsi che la macchina AWS Step Functions abbia la registrazione abilitata. La regola è NON _ COMPLIANT se una macchina a stati non ha la registrazione abilitata o la configurazione di registrazione non è al livello minimo fornito. | |
10.2.2 | I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0) | Assicurati che i firewall AWS Network Firewall abbiano la registrazione abilitata. La regola è NON _ COMPLIANT se un tipo di registrazione non è configurato. Puoi specificare il tipo di registrazione di log che desideri venga verificato dalla regola. | |
10.3.1 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che le fasi di Amazon API Gateway V2 abbiano la registrazione degli accessi abilitata. La regola è NON _ COMPLIANT se 'accessLogSettings' non è presente nella configurazione Stage. | |
10.3.1 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT | |
10.3.1 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che CloudFront le distribuzioni Amazon siano configurate per fornire log di accesso a un bucket Amazon S3. La regola è NON _ COMPLIANT se per una CloudFront distribuzione non è configurata la registrazione. | |
10.3.1 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che in un cluster CloudWatch Amazon Neptune sia abilitata l'esportazione dei log per i log di controllo. La regola è NON _ COMPLIANT se un cluster Neptune non ha l'esportazione dei log abilitata per CloudWatch i log di controllo. | |
10.3.1 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che logConfiguration sia impostato su ECS Task Definitions attive. Questa regola è NON _ COMPLIANT se per un elemento attivo ECSTaskDefinition non è definita la logConfiguration risorsa o se il valore per logConfiguration è nullo in almeno una definizione di contenitore. | |
10.3.1 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Nota: per questa regola, l'identificatore della regola (CLOUD_ TRAIL _ENABLED) e il nome della regola (cloudtrail-enabled) sono diversi. Assicurati che nel tuo account sia AWS CloudTrail abilitato un percorso. AWS La regola è NON _ COMPLIANT se un trail non è abilitato. Facoltativamente, la regola controlla uno specifico bucket S3, un argomento di Amazon Simple Notification Service (AmazonSNS) e CloudWatch un gruppo di log. | |
10.3.1 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Nota: per questa regola, l'identificatore della regola (MULTI_ _ _ _ REGION CLOUD TRAIL _ENABLED) e il nome della regola (multi-region-cloudtrail-enabled) sono diversi. Assicurati che esista almeno una regione AWS CloudTrail multipla. La regola è NON _ COMPLIANT se i percorsi non corrispondono ai parametri di input. La regola è NON _ COMPLIANT se il ExcludeManagementEventSources campo non è vuoto o se AWS CloudTrail è configurato per escludere eventi di gestione come AWS KMS eventi o API eventi Amazon RDS Data. | |
10.3.1 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che an AWS AppSync API abbia la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione non è abilitata, oppure 'fieldLogLevel' non è né l'una né l'altraERROR. ALL | |
10.3.1 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che la registrazione sia abilitata nelle AWS WAF classiche liste globali di controllo degli accessi Web (web). ACLs La regola è NON _ COMPLIANT per un Web globaleACL, se non ha la registrazione abilitata. | |
10.3.1 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che i broker Amazon MQ abbiano abilitato la registrazione CloudWatch di audit di Amazon. La regola è NON _ COMPLIANT se un broker non ha abilitato la registrazione di controllo. | |
10.3.1 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che un broker Amazon MQ abbia abilitato la registrazione di CloudWatch controllo. La regola è NON _ COMPLIANT se il broker non ha abilitato la registrazione di controllo. | |
10.3.1 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che un cluster Amazon Elastic Kubernetes Service (EKSAmazon) sia configurato con la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione per EKS i cluster Amazon non è abilitata per tutti i tipi di log. | |
10.3.1 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che gli ambienti AWS Elastic Beanstalk siano configurati per inviare log ad Amazon Logs. CloudWatch La regola è NON _ COMPLIANT se il valore di `` è falso. StreamLogs | |
10.3.1 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurarsi che la macchina AWS Step Functions abbia la registrazione abilitata. La regola è NON _ COMPLIANT se una macchina a stati non ha la registrazione abilitata o la configurazione di registrazione non è al livello minimo fornito. | |
10.3.1 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che i firewall AWS Network Firewall abbiano la registrazione abilitata. La regola è NON _ COMPLIANT se un tipo di registrazione non è configurato. Puoi specificare il tipo di registrazione di log che desideri venga verificato dalla regola. | |
10.3.2 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che esista almeno un AWS CloudTrail percorso definito con le migliori pratiche di sicurezza. Questa regola si COMPLIANT applica se esiste almeno un percorso che soddisfa tutti i seguenti requisiti: | |
10.3.2 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che uno snapshot manuale del cluster DB di Amazon Neptune non sia pubblico. La regola è NON _ COMPLIANT se qualsiasi istantanea del cluster Neptune esistente e nuova è pubblica. | |
10.3.2 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che le istantanee manuali dei cluster di Amazon DocumentDB non siano pubbliche. La regola è NON _ COMPLIANT se alcune istantanee manuali del cluster di Amazon DocumentDB sono pubbliche. | |
10.3.2 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che a un archivio di backup sia associata una politica basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. La regola è NON _ COMPLIANT se Backup Vault non dispone di policy basate sulle risorse o dispone di policy prive di un'istruzione 'Deny' appropriata (istruzione con autorizzazioni backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy | |
10.3.2 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che su un account Amazon EMR siano abilitate le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se BlockPublicSecurityGroupRules è falsa o, se è vera, sono elencate le porte diverse dalla porta 22 PermittedPublicSecurityGroupRuleRanges. | |
10.3.2 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che i punti di accesso Amazon S3 abbiano abilitato le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se le impostazioni di blocco dell'accesso pubblico non sono abilitate per i punti di accesso S3. | |
10.3.2 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che le impostazioni richieste per il blocco di accesso pubblico siano configurate a livello di account. La regola è NON _ solo COMPLIANT quando i campi impostati di seguito non corrispondono ai campi corrispondenti nell'elemento di configurazione. | |
10.3.2 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che MFA Delete sia abilitato nella configurazione del versionamento del bucket Amazon Simple Storage Service (Amazon S3). La regola è NON _ COMPLIANT se MFA Delete non è abilitato. | |
10.3.3 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che i cluster Amazon Aurora DB siano protetti da un piano di backup. La regola è NON _ COMPLIANT se il cluster di database Amazon Relational Database Service (RDSAmazon) non è protetto da un piano di backup. | |
10.3.3 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che i backup delle istanze RDS DB siano abilitati. Facoltativamente, la regola verifica il periodo di retention dei backup e la finestra di backup. | |
10.3.3 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che le tabelle Amazon DynamoDB siano presenti nei AWS piani di backup. La regola è NON _ COMPLIANT se le tabelle Amazon DynamoDB non sono presenti in nessun AWS piano di Backup. | |
10.3.3 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che le tabelle Amazon DynamoDB siano protette da un piano di backup. La regola è NON _ COMPLIANT se la tabella DynamoDB non è coperta da un piano di backup. | |
10.3.3 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che i volumi Amazon Elastic Block Store (AmazonEBS) vengano aggiunti nei piani di backup di AWS Backup. La regola è NON _ COMPLIANT se EBS i volumi Amazon non sono inclusi nei piani di backup. | |
10.3.3 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che i volumi di Amazon Elastic Block Store (AmazonEBS) siano protetti da un piano di backup. La regola è NON _ COMPLIANT se il EBS volume Amazon non è coperto da un piano di backup. | |
10.3.3 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che le istanze di Amazon Elastic Compute Cloud (AmazonEC2) siano protette da un piano di backup. La regola è NON _ COMPLIANT se l'EC2istanza Amazon non è coperta da un piano di backup. | |
10.3.3 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che i file system Amazon Elastic File System (AmazonEFS) vengano aggiunti nei piani di backup di AWS Backup. La regola è NON _ COMPLIANT se i EFS file system non sono inclusi nei piani di backup. | |
10.3.3 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che i file system Amazon Elastic File System (AmazonEFS) siano protetti da un piano di backup. La regola è NON _ COMPLIANT se il EFS File System non è coperto da un piano di backup. | |
10.3.3 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Verifica se i cluster Amazon ElastiCache Redis hanno attivato il backup automatico. La regola è NON _ COMPLIANT se il cluster SnapshotRetentionLimit for Redis è inferiore al parametro. SnapshotRetentionPeriod Ad esempio: se il parametro è 15, la regola non è conforme se è compresa tra 0 e 15. snapshotRetentionPeriod | |
10.3.3 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che Amazon FSx File System sia protetto da un piano di backup. La regola è NON _ COMPLIANT se l'Amazon FSx File System non è coperto da un piano di backup. | |
10.3.3 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che un periodo di conservazione del cluster Amazon Neptune DB sia impostato su un numero specifico di giorni. La regola è NON _ COMPLIANT se il periodo di conservazione è inferiore al valore specificato dal parametro. | |
10.3.3 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che i database Amazon Relational Database Service (RDSAmazon) siano presenti nei piani di AWS Backup. La regola è NON _ COMPLIANT se RDS i database Amazon non sono inclusi in nessun piano AWS di Backup. | |
10.3.3 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che le istanze di Amazon Relational Database Service (RDSAmazon) siano protette da un piano di backup. La regola è NON _ COMPLIANT se l'istanza di Amazon RDS Database non è coperta da un piano di backup. | |
10.3.3 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che le istantanee automatiche di Amazon Redshift siano abilitate per i cluster. La regola è NON _ COMPLIANT se il valore di automatedSnapshotRetention Period è maggiore MaxRetentionPeriod o minore MinRetentionPeriod o il valore è 0. | |
10.3.3 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che i bucket Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) siano protetti da un piano di backup. La regola è NON _ COMPLIANT se il bucket Amazon S3 non è coperto da un piano di backup. | |
10.3.3 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che esista almeno un AWS CloudTrail percorso definito con le migliori pratiche di sicurezza. Questa regola si COMPLIANT applica se esiste almeno un percorso che soddisfa tutti i seguenti requisiti: | |
10.3.3 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che i backup delle istanze RDS DB siano abilitati. Facoltativamente, la regola verifica il periodo di retention dei backup e la finestra di backup. | |
10.3.3 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che point-in-time recovery (PITR) sia abilitato per le tabelle Amazon DynamoDB. La regola è NON _ COMPLIANT se non PITR è abilitata per le tabelle DynamoDB. | |
10.3.4 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che CloudFront la distribuzione con il tipo Amazon S3 Origin abbia configurato l'identità di accesso all'origine (OAI). La regola è NON _ COMPLIANT se la CloudFront distribuzione è supportata da S3 e qualsiasi tipo di origine non è OAI configurato o l'origine non è un bucket S3. | |
10.3.4 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che una CloudFront distribuzione Amazon con un tipo Amazon Simple Storage Service (Amazon S3) Origin abbia il controllo OAC dell'accesso all'origine () abilitato. La regola è NON _ COMPLIANT per CloudFront le distribuzioni con origini Amazon S3 che non sono abilitateOAC. | |
10.3.4 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che il bucket S3 abbia il blocco abilitato, per impostazione predefinita. La regola è NON _ COMPLIANT se il blocco non è abilitato. | |
10.3.4 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che il controllo delle versioni sia abilitato per i tuoi bucket S3. Facoltativamente, la regola verifica se l'MFAeliminazione è abilitata per i bucket S3. | |
10.3.4 | I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS | Assicurati che esista almeno un AWS CloudTrail percorso definito con le migliori pratiche di sicurezza. Questa regola si COMPLIANT applica se esiste almeno un percorso che soddisfa tutti i seguenti requisiti: | |
10.4.1 | I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS | Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT | |
10.4.1 | I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS | Assicurati che il monitoraggio dettagliato sia abilitato per le EC2 istanze. La regola è NON _ COMPLIANT se il monitoraggio dettagliato non è abilitato. | |
10.4.1 | I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS | Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale. | |
10.4.1 | I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS | Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale. | |
10.4.1 | I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS | Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale. | |
10.4.1 | I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS | Assicurati che un tipo di risorsa abbia un CloudWatch allarme per la metrica indicata. Per il tipo di risorsa, puoi specificare EBS volumi, EC2 istanze, RDS cluster Amazon o bucket S3. La regola è COMPLIANT se la metrica indicata ha un ID di risorsa e un allarme. CloudWatch | |
10.4.1 | I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS | Assicurati che la raccolta CloudWatch dei parametri di sicurezza di Amazon sui gruppi di AWS WAFv2 regole sia abilitata. La regola è NON _ COMPLIANT se '. VisibilityConfig CloudWatchMetricsEnabled'field è impostato su false. | |
10.4.1 | I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS | Assicurati che la registrazione di Amazon Simple Notification Service (SNS) sia abilitata per lo stato di consegna dei messaggi di notifica inviati a un argomento per gli endpoint. La regola è NON _ COMPLIANT se la notifica dello stato di consegna dei messaggi non è abilitata. | |
10.4.1.1 | I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS | Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT | |
10.4.1.1 | I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS | Assicurati che il monitoraggio dettagliato sia abilitato per le EC2 istanze. La regola è NON _ COMPLIANT se il monitoraggio dettagliato non è abilitato. | |
10.4.1.1 | I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS | Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale. | |
10.4.1.1 | I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS | Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale. | |
10.4.1.1 | I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS | Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale. | |
10.4.1.1 | I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS | Assicurati che un tipo di risorsa abbia un CloudWatch allarme per la metrica indicata. Per il tipo di risorsa, puoi specificare EBS volumi, EC2 istanze, RDS cluster Amazon o bucket S3. La regola è COMPLIANT se la metrica indicata ha un ID di risorsa e un allarme. CloudWatch | |
10.4.1.1 | I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS | Assicurati che la raccolta CloudWatch dei parametri di sicurezza di Amazon sui gruppi di AWS WAFv2 regole sia abilitata. La regola è NON _ COMPLIANT se '. VisibilityConfig CloudWatchMetricsEnabled'field è impostato su false. | |
10.4.1.1 | I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS | Assicurati che la registrazione di Amazon Simple Notification Service (SNS) sia abilitata per lo stato di consegna dei messaggi di notifica inviati a un argomento per gli endpoint. La regola è NON _ COMPLIANT se la notifica dello stato di consegna dei messaggi non è abilitata. | |
10.4.2 | I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS | Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT | |
10.4.2 | I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS | Assicurati che il monitoraggio dettagliato sia abilitato per le EC2 istanze. La regola è NON _ COMPLIANT se il monitoraggio dettagliato non è abilitato. | |
10.4.2 | I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS | Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale. | |
10.4.2 | I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS | Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale. | |
10.4.2 | I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS | Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale. | |
10.4.2 | I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS | Assicurati che un tipo di risorsa abbia un CloudWatch allarme per la metrica indicata. Per il tipo di risorsa, puoi specificare EBS volumi, EC2 istanze, RDS cluster Amazon o bucket S3. La regola è COMPLIANT se la metrica indicata ha un ID di risorsa e un allarme. CloudWatch | |
10.4.2 | I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS | Assicurati che la raccolta CloudWatch dei parametri di sicurezza di Amazon sui gruppi di AWS WAFv2 regole sia abilitata. La regola è NON _ COMPLIANT se '. VisibilityConfig CloudWatchMetricsEnabled'field è impostato su false. | |
10.4.2 | I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS | Assicurati che la registrazione di Amazon Simple Notification Service (SNS) sia abilitata per lo stato di consegna dei messaggi di notifica inviati a un argomento per gli endpoint. La regola è NON _ COMPLIANT se la notifica dello stato di consegna dei messaggi non è abilitata. | |
10.4.3 | I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS | Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale. | |
10.5.1 | La cronologia dei registri di controllo viene conservata e disponibile per l'analisi. (PCI- DSS -v4.0) | Assicurati che esista almeno un AWS CloudTrail percorso definito con le migliori pratiche di sicurezza. Questa regola si COMPLIANT applica se esiste almeno un percorso che soddisfa tutti i seguenti requisiti: | |
10.5.1 | La cronologia dei registri di controllo viene conservata e disponibile per l'analisi. (PCI- DSS -v4.0) | Assicuratevi che EBS i volumi siano collegati alle istanze. EC2 Facoltativamente, assicuratevi che EBS i volumi siano contrassegnati per l'eliminazione quando un'istanza viene terminata. | |
10.5.1 | La cronologia dei registri di controllo viene conservata e disponibile per l'analisi. (PCI- DSS -v4.0) | Assicurati che un repository privato di Amazon Elastic Container Registry (ECR) abbia almeno una policy del ciclo di vita configurata. La regola è NON _ COMPLIANT se non è configurata alcuna politica del ciclo di vita per il repository privato. ECR | |
10.5.1 | La cronologia dei registri di controllo viene conservata e disponibile per l'analisi. (PCI- DSS -v4.0) | Assicurati che point-in-time recovery (PITR) sia abilitato per le tabelle Amazon DynamoDB. La regola è NON _ COMPLIANT se non PITR è abilitata per le tabelle DynamoDB. | |
10.5.1 | La cronologia dei registri di controllo viene conservata e disponibile per l'analisi. (PCI- DSS -v4.0) | Assicurati che un periodo di CloudWatch LogGroup conservazione di Amazon sia impostato su più di 365 giorni oppure un periodo di conservazione specificato. La regola è NON _ COMPLIANT se il periodo di conservazione è inferiore a MinRetentionTime, se specificato, oppure 365 giorni. | |
10.6.3 | I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0) | Assicurati che le fasi di Amazon API Gateway V2 abbiano la registrazione degli accessi abilitata. La regola è NON _ COMPLIANT se 'accessLogSettings' non è presente nella configurazione Stage. | |
10.6.3 | I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0) | Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT | |
10.6.3 | I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0) | Assicurati che CloudFront le distribuzioni Amazon siano configurate per fornire log di accesso a un bucket Amazon S3. La regola è NON _ COMPLIANT se per una CloudFront distribuzione non è configurata la registrazione. | |
10.6.3 | I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0) | Assicurati che una policy sui bucket di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) non consenta azioni bloccate a livello di bucket e a livello di oggetto sulle risorse del bucket per i principali di altri account. AWS Ad esempio, la regola verifica che la policy del bucket di Amazon S3 non consenta a un altro AWS account di eseguire azioni s3: GetBucket * e s3: DeleteObject su qualsiasi oggetto nel bucket. La regola è NON _ COMPLIANT se le azioni bloccate sono consentite dalla policy sui bucket di Amazon S3. | |
10.6.3 | I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0) | Assicurati che le policy relative ai bucket di Amazon Simple Storage Service (S3) non consentano altre autorizzazioni tra account oltre alla policy del bucket di controllo di Amazon S3 fornita. | |
10.6.3 | I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0) | Assicurati che in un cluster CloudWatch Amazon Neptune sia abilitata l'esportazione dei log per i log di controllo. La regola è NON _ COMPLIANT se un cluster Neptune non ha l'esportazione dei log abilitata per CloudWatch i log di controllo. | |
10.6.3 | I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0) | Assicurati che il monitoraggio dettagliato sia abilitato per le EC2 istanze. La regola è NON _ COMPLIANT se il monitoraggio dettagliato non è abilitato. | |
10.6.3 | I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0) | Assicurati che logConfiguration sia impostato su ECS Task Definitions attive. Questa regola è NON _ COMPLIANT se per un elemento attivo ECSTaskDefinition non è definita la logConfiguration risorsa o se il valore per logConfiguration è nullo in almeno una definizione di contenitore. | |
10.6.3 | I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0) | Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale. | |
10.6.3 | I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0) | Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale. | |
10.6.3 | I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0) | Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale. | |
10.6.3 | I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0) | Assicurati che un tipo di risorsa abbia un CloudWatch allarme per la metrica indicata. Per il tipo di risorsa, puoi specificare EBS volumi, EC2 istanze, RDS cluster Amazon o bucket S3. La regola è COMPLIANT se la metrica indicata ha un ID di risorsa e un allarme. CloudWatch | |
10.6.3 | I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0) | Nota: per questa regola, l'identificatore della regola (CLOUD_ TRAIL _ENABLED) e il nome della regola (cloudtrail-enabled) sono diversi. Assicurati che nel tuo account sia AWS CloudTrail abilitato un percorso. AWS La regola è NON _ COMPLIANT se un trail non è abilitato. Facoltativamente, la regola controlla uno specifico bucket S3, un argomento di Amazon Simple Notification Service (AmazonSNS) e CloudWatch un gruppo di log. | |
10.6.3 | I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0) | Nota: per questa regola, l'identificatore della regola (MULTI_ _ _ _ REGION CLOUD TRAIL _ENABLED) e il nome della regola (multi-region-cloudtrail-enabled) sono diversi. Assicurati che esista almeno una regione AWS CloudTrail multipla. La regola è NON _ COMPLIANT se i percorsi non corrispondono ai parametri di input. La regola è NON _ COMPLIANT se il ExcludeManagementEventSources campo non è vuoto o se AWS CloudTrail è configurato per escludere eventi di gestione come AWS KMS eventi o API eventi Amazon RDS Data. | |
10.6.3 | I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0) | Assicurati che an AWS AppSync API abbia la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione non è abilitata, oppure 'fieldLogLevel' non è né l'una né l'altraERROR. ALL | |
10.6.3 | I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0) | Assicurati che la registrazione sia abilitata nelle AWS WAF classiche liste globali di controllo degli accessi Web (web). ACLs La regola è NON _ COMPLIANT per un Web globaleACL, se non ha la registrazione abilitata. | |
10.6.3 | I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0) | Assicurati che i broker Amazon MQ abbiano abilitato la registrazione CloudWatch di audit di Amazon. La regola è NON _ COMPLIANT se un broker non ha abilitato la registrazione di controllo. | |
10.6.3 | I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0) | Assicurati che un broker Amazon MQ abbia abilitato la registrazione di CloudWatch controllo. La regola è NON _ COMPLIANT se il broker non ha abilitato la registrazione di controllo. | |
10.6.3 | I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0) | Assicurati che un cluster Amazon Elastic Kubernetes Service (EKSAmazon) sia configurato con la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione per EKS i cluster Amazon non è abilitata per tutti i tipi di log. | |
10.6.3 | I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0) | Assicurati che gli ambienti AWS Elastic Beanstalk siano configurati per inviare log ad Amazon Logs. CloudWatch La regola è NON _ COMPLIANT se il valore di `` è falso. StreamLogs | |
10.6.3 | I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0) | Assicurati che la raccolta CloudWatch dei parametri di sicurezza di Amazon sui gruppi di AWS WAFv2 regole sia abilitata. La regola è NON _ COMPLIANT se '. VisibilityConfig CloudWatchMetricsEnabled'field è impostato su false. | |
10.6.3 | I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0) | Assicurati che la registrazione di Amazon Simple Notification Service (SNS) sia abilitata per lo stato di consegna dei messaggi di notifica inviati a un argomento per gli endpoint. La regola è NON _ COMPLIANT se la notifica dello stato di consegna dei messaggi non è abilitata. | |
10.6.3 | I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0) | Assicurarsi che la macchina AWS Step Functions abbia la registrazione abilitata. La regola è NON _ COMPLIANT se una macchina a stati non ha la registrazione abilitata o la configurazione di registrazione non è al livello minimo fornito. | |
10.6.3 | I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0) | Assicurati che i firewall AWS Network Firewall abbiano la registrazione abilitata. La regola è NON _ COMPLIANT se un tipo di registrazione non è configurato. Puoi specificare il tipo di registrazione di log che desideri venga verificato dalla regola. | |
10.7.1 | I guasti dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risolti tempestivamente. (- -v4.0) PCI DSS | Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT | |
10.7.1 | I guasti dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risolti tempestivamente. (- -v4.0) PCI DSS | Assicurati che i tuoi CloudFormation stack inviino notifiche di eventi a un SNS argomento di Amazon. Facoltativamente, assicurati che vengano utilizzati SNS gli argomenti Amazon specificati. La regola è NON _ COMPLIANT se gli CloudFormation stack non inviano notifiche. | |
10.7.1 | I guasti dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risolti tempestivamente. (- -v4.0) PCI DSS | Assicurati che il monitoraggio dettagliato sia abilitato per le EC2 istanze. La regola è NON _ COMPLIANT se il monitoraggio dettagliato non è abilitato. | |
10.7.1 | I guasti dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risolti tempestivamente. (- -v4.0) PCI DSS | Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale. | |
10.7.1 | I guasti dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risolti tempestivamente. (- -v4.0) PCI DSS | Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale. | |
10.7.1 | I guasti dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risolti tempestivamente. (- -v4.0) PCI DSS | Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale. | |
10.7.1 | I guasti dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risolti tempestivamente. (- -v4.0) PCI DSS | Assicurati che un tipo di risorsa abbia un CloudWatch allarme per la metrica indicata. Per il tipo di risorsa, puoi specificare EBS volumi, EC2 istanze, RDS cluster Amazon o bucket S3. La regola è COMPLIANT se la metrica indicata ha un ID di risorsa e un allarme. CloudWatch | |
10.7.1 | I guasti dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risolti tempestivamente. (- -v4.0) PCI DSS | Assicurati che la raccolta CloudWatch dei parametri di sicurezza di Amazon sui gruppi di AWS WAFv2 regole sia abilitata. La regola è NON _ COMPLIANT se '. VisibilityConfig CloudWatchMetricsEnabled'field è impostato su false. | |
10.7.1 | I guasti dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risolti tempestivamente. (- -v4.0) PCI DSS | Assicurati che la registrazione di Amazon Simple Notification Service (SNS) sia abilitata per lo stato di consegna dei messaggi di notifica inviati a un argomento per gli endpoint. La regola è NON _ COMPLIANT se la notifica dello stato di consegna dei messaggi non è abilitata. | |
10.7.2 | I guasti dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risolti tempestivamente. (- -v4.0) PCI DSS | Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT | |
10.7.2 | I guasti dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risolti tempestivamente. (- -v4.0) PCI DSS | Assicurati che i tuoi CloudFormation stack inviino notifiche di eventi a un SNS argomento di Amazon. Facoltativamente, assicurati che vengano utilizzati SNS gli argomenti Amazon specificati. La regola è NON _ COMPLIANT se gli CloudFormation stack non inviano notifiche. | |
10.7.2 | I guasti dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risolti tempestivamente. (- -v4.0) PCI DSS | Assicurati che il monitoraggio dettagliato sia abilitato per le EC2 istanze. La regola è NON _ COMPLIANT se il monitoraggio dettagliato non è abilitato. | |
10.7.2 | I guasti dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risolti tempestivamente. (- -v4.0) PCI DSS | Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale. | |
10.7.2 | I guasti dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risolti tempestivamente. (- -v4.0) PCI DSS | Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale. | |
10.7.2 | I guasti dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risolti tempestivamente. (- -v4.0) PCI DSS | Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale. | |
10.7.2 | I guasti dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risolti tempestivamente. (- -v4.0) PCI DSS | Assicurati che un tipo di risorsa abbia un CloudWatch allarme per la metrica indicata. Per il tipo di risorsa, puoi specificare EBS volumi, EC2 istanze, RDS cluster Amazon o bucket S3. La regola è COMPLIANT se la metrica indicata ha un ID di risorsa e un allarme. CloudWatch | |
10.7.2 | I guasti dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risolti tempestivamente. (- -v4.0) PCI DSS | Assicurati che la raccolta CloudWatch dei parametri di sicurezza di Amazon sui gruppi di AWS WAFv2 regole sia abilitata. La regola è NON _ COMPLIANT se '. VisibilityConfig CloudWatchMetricsEnabled'field è impostato su false. | |
10.7.2 | I guasti dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risolti tempestivamente. (- -v4.0) PCI DSS | Assicurati che la registrazione di Amazon Simple Notification Service (SNS) sia abilitata per lo stato di consegna dei messaggi di notifica inviati a un argomento per gli endpoint. La regola è NON _ COMPLIANT se la notifica dello stato di consegna dei messaggi non è abilitata. | |
11.5.2 | Le intrusioni di rete e le modifiche impreviste ai file vengono rilevate e risolte. (PCI- DSS -v4.0) | Assicurati che i tuoi CloudFormation stack inviino notifiche di eventi a un SNS argomento di Amazon. Facoltativamente, assicurati che vengano utilizzati SNS gli argomenti Amazon specificati. La regola è NON _ COMPLIANT se gli CloudFormation stack non inviano notifiche. | |
11.5.2 | Le intrusioni di rete e le modifiche impreviste ai file vengono rilevate e risolte. (PCI- DSS -v4.0) | Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale. | |
11.5.2 | Le intrusioni di rete e le modifiche impreviste ai file vengono rilevate e risolte. (PCI- DSS -v4.0) | Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale. | |
11.5.2 | Le intrusioni di rete e le modifiche impreviste ai file vengono rilevate e risolte. (PCI- DSS -v4.0) | Assicurati che gli CloudWatch allarmi con il nome della metrica specificato abbiano le impostazioni specificate. | |
11.5.2 | Le intrusioni di rete e le modifiche impreviste ai file vengono rilevate e risolte. (PCI- DSS -v4.0) | Assicurati che la registrazione di Amazon Simple Notification Service (SNS) sia abilitata per lo stato di consegna dei messaggi di notifica inviati a un argomento per gli endpoint. La regola è NON _ COMPLIANT se la notifica dello stato di consegna dei messaggi non è abilitata. | |
11.6.1 | Le modifiche non autorizzate sulle pagine di pagamento vengono rilevate e risolte. (PCI- DSS -v4.0) | Assicurati che i tuoi CloudFormation stack inviino notifiche di eventi a un SNS argomento di Amazon. Facoltativamente, assicurati che vengano utilizzati SNS gli argomenti Amazon specificati. La regola è NON _ COMPLIANT se gli CloudFormation stack non inviano notifiche. | |
11.6.1 | Le modifiche non autorizzate sulle pagine di pagamento vengono rilevate e risolte. (PCI- DSS -v4.0) | Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale. | |
11.6.1 | Le modifiche non autorizzate sulle pagine di pagamento vengono rilevate e risolte. (PCI- DSS -v4.0) | Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale. | |
11.6.1 | Le modifiche non autorizzate sulle pagine di pagamento vengono rilevate e risolte. (PCI- DSS -v4.0) | Assicurati che gli CloudWatch allarmi con il nome della metrica specificato abbiano le impostazioni specificate. | |
11.6.1 | Le modifiche non autorizzate sulle pagine di pagamento vengono rilevate e risolte. (PCI- DSS -v4.0) | Assicurati che la registrazione di Amazon Simple Notification Service (SNS) sia abilitata per lo stato di consegna dei messaggi di notifica inviati a un argomento per gli endpoint. La regola è NON _ COMPLIANT se la notifica dello stato di consegna dei messaggi non è abilitata. | |
12.10.5 | Gli incidenti di sicurezza sospetti e confermati che potrebbero avere un impatto su CDE vengono risolti immediatamente. (- -v4.0) PCI DSS | Assicurati che i tuoi CloudFormation stack inviino notifiche di eventi a un SNS argomento di Amazon. Facoltativamente, assicurati che vengano utilizzati SNS gli argomenti Amazon specificati. La regola è NON _ COMPLIANT se gli CloudFormation stack non inviano notifiche. | |
12.10.5 | Gli incidenti di sicurezza sospetti e confermati che potrebbero avere un impatto su CDE vengono risolti immediatamente. (- -v4.0) PCI DSS | Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale. | |
12.10.5 | Gli incidenti di sicurezza sospetti e confermati che potrebbero avere un impatto su CDE vengono risolti immediatamente. (- -v4.0) PCI DSS | Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale. | |
12.10.5 | Gli incidenti di sicurezza sospetti e confermati che potrebbero avere un impatto su CDE vengono risolti immediatamente. (- -v4.0) PCI DSS | Assicurati che gli CloudWatch allarmi con il nome della metrica specificato abbiano le impostazioni specificate. | |
12.10.5 | Gli incidenti di sicurezza sospetti e confermati che potrebbero avere un impatto su CDE vengono risolti immediatamente. (- -v4.0) PCI DSS | Assicurati che la registrazione di Amazon Simple Notification Service (SNS) sia abilitata per lo stato di consegna dei messaggi di notifica inviati a un argomento per gli endpoint. La regola è NON _ COMPLIANT se la notifica dello stato di consegna dei messaggi non è abilitata. | |
12.4.2.1 | PCIDSSla conformità è gestita. (PCI- DSS -v4.0) | Assicurati che AWS Service Catalog condivida i portafogli con un'organizzazione (una raccolta di AWS account considerati come una singola unità) quando l'integrazione è abilitata con AWS Organizations. La regola è NON _ COMPLIANT se il valore `Type` di una condivisione è ``. ACCOUNT | |
2.2.5 | I componenti del sistema sono configurati e gestiti in modo sicuro. (PCI- DSS -v4.0) | Assicurati che CloudFront le distribuzioni Amazon utilizzino una politica di sicurezza minima e una suite di crittografia di TLSv1 0,2 o superiore per le connessioni dei visualizzatori. Questa regola è NON _ COMPLIANT per una CloudFront distribuzione se è inferiore a .2_2018. minimumProtocolVersion TLSv1 | |
2.2.5 | I componenti del sistema sono configurati e gestiti in modo sicuro. (PCI- DSS -v4.0) | Assicurati che CloudFront le distribuzioni Amazon utilizzino un SSL certificato personalizzato e siano configurate per l'utilizzo per SNI soddisfare HTTPS le richieste. La regola è NON _ COMPLIANT se è associato un SSL certificato personalizzato ma il metodo di SSL supporto è un indirizzo IP dedicato. | |
2.2.5 | I componenti del sistema sono configurati e gestiti in modo sicuro. (PCI- DSS -v4.0) | Assicurati che un server creato con AWS Transfer Family non venga utilizzato FTP per la connessione agli endpoint. La regola è NON _ COMPLIANT se il protocollo del server per la connessione agli endpoint è FTP -enabled. | |
2.2.5 | I componenti del sistema sono configurati e gestiti in modo sicuro. (PCI- DSS -v4.0) | Assicurati che CloudFront le distribuzioni non utilizzino SSL protocolli obsoleti per la HTTPS comunicazione tra CloudFront edge location e origini personalizzate. Questa regola è NON _ COMPLIANT per una CloudFront distribuzione se esiste un '' include' '. OriginSslProtocols SSLv3 | |
2.2.5 | I componenti del sistema sono configurati e gestiti in modo sicuro. (PCI- DSS -v4.0) | Assicurati che CloudFront le distribuzioni Amazon crittografino il traffico verso origini personalizzate. La regola è NON _ COMPLIANT if' 'è 'http-only' o if'OriginProtocolPolicy' è 'match-viewer' e '' è 'allow-all'. OriginProtocolPolicy ViewerProtocolPolicy | |
2.2.5 | I componenti del sistema sono configurati e gestiti in modo sicuro. (PCI- DSS -v4.0) | Assicurati che le tue CloudFront distribuzioni Amazon utilizzino HTTPS (direttamente o tramite un reindirizzamento). La regola è NON _ COMPLIANT se il valore di ViewerProtocolPolicy è impostato su 'allow-all' per o per. DefaultCacheBehavior CacheBehaviors | |
2.2.7 | I componenti del sistema sono configurati e gestiti in modo sicuro. (PCI- DSS -v4.0) | Assicurati che gli endpoint AWS Database Migration Service (AWS DMS) per gli archivi dati Redis siano abilitati per TLS /la SSL crittografia dei dati comunicati con altri endpoint. La regola è NON _ COMPLIANT se la SSL crittografiaTLS/non è abilitata. | |
2.2.7 | I componenti del sistema sono configurati e gestiti in modo sicuro. (PCI- DSS -v4.0) | Assicurati che CloudFront le distribuzioni non utilizzino SSL protocolli obsoleti per la HTTPS comunicazione tra CloudFront edge location e origini personalizzate. Questa regola è NON _ COMPLIANT per una CloudFront distribuzione se esiste un '' include' '. OriginSslProtocols SSLv3 | |
2.2.7 | I componenti del sistema sono configurati e gestiti in modo sicuro. (PCI- DSS -v4.0) | Assicurati che CloudFront le distribuzioni Amazon crittografino il traffico verso origini personalizzate. La regola è NON _ COMPLIANT if' 'è 'http-only' o if'OriginProtocolPolicy' è 'match-viewer' e '' è 'allow-all'. OriginProtocolPolicy ViewerProtocolPolicy | |
2.2.7 | I componenti del sistema sono configurati e gestiti in modo sicuro. (PCI- DSS -v4.0) | Assicurati che le tue CloudFront distribuzioni Amazon utilizzino HTTPS (direttamente o tramite un reindirizzamento). La regola è NON _ COMPLIANT se il valore di ViewerProtocolPolicy è impostato su 'allow-all' per o per. DefaultCacheBehavior CacheBehaviors | |
2.2.7 | I componenti del sistema sono configurati e gestiti in modo sicuro. (PCI- DSS -v4.0) | Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer. | |
2.2.7 | I componenti del sistema sono configurati e gestiti in modo sicuro. (PCI- DSS -v4.0) | Assicurati che il tuo cluster Amazon DynamoDB Accelerator DAX () sia impostato su. ClusterEndpointEncryptionType TLS La regola è NON _ COMPLIANT se un DAX cluster non è crittografato da Transport Layer Security (). TLS | |
2.2.7 | I componenti del sistema sono configurati e gestiti in modo sicuro. (PCI- DSS -v4.0) | Assicurati che un MSK cluster Amazon applichi la crittografia in transito utilizzando HTTPS (TLS) con i nodi broker del cluster. La regola è NON _ COMPLIANT se la comunicazione in testo semplice è abilitata per le connessioni dei nodi broker all'interno del cluster. | |
2.2.7 | I componenti del sistema sono configurati e gestiti in modo sicuro. (PCI- DSS -v4.0) | Assicurati che gli endpoint AWS Database Migration Service (AWS DMS) siano configurati con una SSL connessione. La regola è NON _ COMPLIANT se AWS DMS non è configurata una SSL connessione. | |
3.2.1 | L'archiviazione dei dati dell'account è ridotta al minimo. (PCI- DSS -v4.0) | Assicuratevi che EBS i volumi siano collegati alle istanze. EC2 Facoltativamente, assicuratevi che EBS i volumi siano contrassegnati per l'eliminazione quando un'istanza viene terminata. | |
3.2.1 | L'archiviazione dei dati dell'account è ridotta al minimo. (PCI- DSS -v4.0) | Assicurati che un repository privato di Amazon Elastic Container Registry (ECR) abbia almeno una policy del ciclo di vita configurata. La regola è NON _ COMPLIANT se non è configurata alcuna politica del ciclo di vita per il repository privato. ECR | |
3.2.1 | L'archiviazione dei dati dell'account è ridotta al minimo. (PCI- DSS -v4.0) | Assicurati che point-in-time recovery (PITR) sia abilitato per le tabelle Amazon DynamoDB. La regola è NON _ COMPLIANT se non PITR è abilitata per le tabelle DynamoDB. | |
3.2.1 | L'archiviazione dei dati dell'account è ridotta al minimo. (PCI- DSS -v4.0) | Assicurati che un periodo di CloudWatch LogGroup conservazione di Amazon sia impostato su più di 365 giorni oppure un periodo di conservazione specificato. La regola è NON _ COMPLIANT se il periodo di conservazione è inferiore a MinRetentionTime, se specificato, oppure 365 giorni. | |
3.3.1.1 | I dati di autenticazione sensibili (SAD) non vengono archiviati dopo l'autorizzazione. (PCI- DSS -v4.0) | Assicuratevi che EBS i volumi siano collegati alle istanze. EC2 Facoltativamente, assicuratevi che EBS i volumi siano contrassegnati per l'eliminazione quando un'istanza viene terminata. | |
3.3.1.1 | I dati di autenticazione sensibili (SAD) non vengono archiviati dopo l'autorizzazione. (PCI- DSS -v4.0) | Assicurati che un repository privato di Amazon Elastic Container Registry (ECR) abbia almeno una policy del ciclo di vita configurata. La regola è NON _ COMPLIANT se non è configurata alcuna politica del ciclo di vita per il repository privato. ECR | |
3.3.1.1 | I dati di autenticazione sensibili (SAD) non vengono archiviati dopo l'autorizzazione. (PCI- DSS -v4.0) | Assicurati che point-in-time recovery (PITR) sia abilitato per le tabelle Amazon DynamoDB. La regola è NON _ COMPLIANT se non PITR è abilitata per le tabelle DynamoDB. | |
3.3.1.1 | I dati di autenticazione sensibili (SAD) non vengono archiviati dopo l'autorizzazione. (PCI- DSS -v4.0) | Assicurati che un periodo di CloudWatch LogGroup conservazione di Amazon sia impostato su più di 365 giorni oppure un periodo di conservazione specificato. La regola è NON _ COMPLIANT se il periodo di conservazione è inferiore a MinRetentionTime, se specificato, oppure 365 giorni. | |
3.3.1.3 | I dati di autenticazione sensibili (SAD) non vengono archiviati dopo l'autorizzazione. (PCI- DSS -v4.0) | Assicuratevi che EBS i volumi siano collegati alle istanze. EC2 Facoltativamente, assicuratevi che EBS i volumi siano contrassegnati per l'eliminazione quando un'istanza viene terminata. | |
3.3.1.3 | I dati di autenticazione sensibili (SAD) non vengono archiviati dopo l'autorizzazione. (PCI- DSS -v4.0) | Assicurati che un repository privato di Amazon Elastic Container Registry (ECR) abbia almeno una policy del ciclo di vita configurata. La regola è NON _ COMPLIANT se non è configurata alcuna politica del ciclo di vita per il repository privato. ECR | |
3.3.1.3 | I dati di autenticazione sensibili (SAD) non vengono archiviati dopo l'autorizzazione. (PCI- DSS -v4.0) | Assicurati che point-in-time recovery (PITR) sia abilitato per le tabelle Amazon DynamoDB. La regola è NON _ COMPLIANT se non PITR è abilitata per le tabelle DynamoDB. | |
3.3.1.3 | I dati di autenticazione sensibili (SAD) non vengono archiviati dopo l'autorizzazione. (PCI- DSS -v4.0) | Assicurati che un periodo di CloudWatch LogGroup conservazione di Amazon sia impostato su più di 365 giorni oppure un periodo di conservazione specificato. La regola è NON _ COMPLIANT se il periodo di conservazione è inferiore a MinRetentionTime, se specificato, oppure 365 giorni. | |
3.3.2 | I dati di autenticazione sensibili (SAD) non vengono archiviati dopo l'autorizzazione. (PCI- DSS -v4.0) | Assicuratevi che EBS i volumi siano collegati alle istanze. EC2 Facoltativamente, assicuratevi che EBS i volumi siano contrassegnati per l'eliminazione quando un'istanza viene terminata. | |
3.3.2 | I dati di autenticazione sensibili (SAD) non vengono archiviati dopo l'autorizzazione. (PCI- DSS -v4.0) | Assicurati che un repository privato di Amazon Elastic Container Registry (ECR) abbia almeno una policy del ciclo di vita configurata. La regola è NON _ COMPLIANT se non è configurata alcuna politica del ciclo di vita per il repository privato. ECR | |
3.3.2 | I dati di autenticazione sensibili (SAD) non vengono archiviati dopo l'autorizzazione. (PCI- DSS -v4.0) | Assicurati che point-in-time recovery (PITR) sia abilitato per le tabelle Amazon DynamoDB. La regola è NON _ COMPLIANT se non PITR è abilitata per le tabelle DynamoDB. | |
3.3.2 | I dati di autenticazione sensibili (SAD) non vengono archiviati dopo l'autorizzazione. (PCI- DSS -v4.0) | Assicurati che un periodo di CloudWatch LogGroup conservazione di Amazon sia impostato su più di 365 giorni oppure un periodo di conservazione specificato. La regola è NON _ COMPLIANT se il periodo di conservazione è inferiore a MinRetentionTime, se specificato, oppure 365 giorni. | |
3.3.3 | I dati di autenticazione sensibili (SAD) non vengono archiviati dopo l'autorizzazione. (PCI- DSS -v4.0) | Assicuratevi che EBS i volumi siano collegati alle istanze. EC2 Facoltativamente, assicuratevi che EBS i volumi siano contrassegnati per l'eliminazione quando un'istanza viene terminata. | |
3.3.3 | I dati di autenticazione sensibili (SAD) non vengono archiviati dopo l'autorizzazione. (PCI- DSS -v4.0) | Assicurati che un repository privato di Amazon Elastic Container Registry (ECR) abbia almeno una policy del ciclo di vita configurata. La regola è NON _ COMPLIANT se non è configurata alcuna politica del ciclo di vita per il repository privato. ECR | |
3.3.3 | I dati di autenticazione sensibili (SAD) non vengono archiviati dopo l'autorizzazione. (PCI- DSS -v4.0) | Assicurati che point-in-time recovery (PITR) sia abilitato per le tabelle Amazon DynamoDB. La regola è NON _ COMPLIANT se non PITR è abilitata per le tabelle DynamoDB. | |
3.3.3 | I dati di autenticazione sensibili (SAD) non vengono archiviati dopo l'autorizzazione. (PCI- DSS -v4.0) | Assicurati che un periodo di CloudWatch LogGroup conservazione di Amazon sia impostato su più di 365 giorni oppure un periodo di conservazione specificato. La regola è NON _ COMPLIANT se il periodo di conservazione è inferiore a MinRetentionTime, se specificato, oppure 365 giorni. | |
3.5.1 | Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0) | Assicurati che un gruppo di lavoro Amazon Athena sia crittografato quando è inattivo. La regola è NON _ COMPLIANT se la crittografia dei dati inattivi non è abilitata per un gruppo di lavoro Athena. | |
3.5.1 | Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0) | Assicurati che un cluster Amazon Neptune DB abbia istantanee crittografate. La regola è NON _ COMPLIANT se un cluster Neptune non ha istantanee crittografate. | |
3.5.1 | Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0) | Assicurati che i cluster Amazon Redshift utilizzino una AWS chiave specifica del Key Management Service (AWS KMS) per la crittografia. La regola è COMPLIANT se la crittografia è abilitata e il cluster è crittografato con la chiave fornita nel kmsKeyArn parametro. La regola è NON _ COMPLIANT se il cluster non è crittografato o crittografato con un'altra chiave. | |
3.5.1 | Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0) | Assicurati che un AWS CodeBuild progetto abbia la crittografia abilitata per tutti i suoi artefatti. La regola è NON _ COMPLIANT se 'encryptionDisabled' è impostato su «true» per qualsiasi configurazione di artefatto principale o secondaria (se presente). | |
3.5.1 | Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0) | Assicurati che un AWS CodeBuild progetto configurato con Amazon S3 Logs abbia la crittografia abilitata per i log. La regola è NON _ COMPLIANT se '' è impostato su encryptionDisabled 'true' in un S3 di un progetto. LogsConfig CodeBuild | |
3.5.1 | Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0) | Assicurati che i cluster Amazon DynamoDB Accelerator DAX () siano crittografati. La regola è NON _ COMPLIANT se un DAX cluster non è crittografato. | |
3.5.1 | Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0) | Assicurati che i cluster Amazon Elastic Kubernetes Service siano configurati per avere i segreti Kubernetes crittografati utilizzando le chiavi Key Management Service (). AWS KMS | |
3.5.1 | Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0) | Assicurati che tutti i metodi nelle fasi di Amazon API Gateway abbiano la cache abilitata e la cache sia crittografata. La regola è NON _ COMPLIANT se un metodo in una fase di Amazon API Gateway non è configurato per la cache o la cache non è crittografata. | |
3.5.1 | Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0) | Assicurati che la crittografia dello storage sia abilitata per i tuoi cluster Amazon DocumentDB (con compatibilità con MongoDB). La regola è NON _ COMPLIANT se la crittografia dello storage non è abilitata. | |
3.5.1 | Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0) | Assicurati che la tabella Amazon DynamoDB sia crittografata AWS con Key Management Service (). KMS La regola è NON _ COMPLIANT se la tabella Amazon DynamoDB non è crittografata con. AWS KMS La regola è anche NON _ COMPLIANT se la AWS KMS chiave crittografata non è presente nel parametro kmsKeyArns di input. | |
3.5.1 | Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0) | Assicurati che le tabelle Amazon DynamoDB siano crittografate e ne controlla lo stato. La regola è COMPLIANT se lo stato è abilitato o abilitato. | |
3.5.1 | Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0) | Assicurati che il progetto DOES NOT contenga le variabili di ambiente AWS_ACCESS _ KEY _ID e AWS_SECRET _ _. ACCESS KEY La regola è NON _ COMPLIANT quando le variabili di ambiente del progetto contengono credenziali in chiaro. | |
3.5.1 | Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0) | Assicurati che EKS i cluster Amazon non siano configurati per utilizzare i segreti di Kubernetes crittografati. AWS KMS La regola è NON _ COMPLIANT se un EKS cluster non dispone di una encryptionConfig risorsa o se encryptionConfig non nomina i segreti come risorsa. | |
3.5.1 | Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0) | Assicurati che gli stream di Amazon Kinesis siano crittografati quando sono inattivi con crittografia lato server. La regola è NON _ COMPLIANT per uno stream Kinesis se 'StreamEncryption' non è presente. | |
3.5.1 | Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0) | Assicurati che la crittografia dello storage sia abilitata per i tuoi cluster Amazon Neptune DB. La regola è NON _ COMPLIANT se la crittografia dello storage non è abilitata. | |
3.5.1.1 | Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0) | Assicurarsi che AWS Private Certificate Authority (CA AWS privata) disponga di una CA root disabilitata. La regola è NON _ COMPLIANT per root CAs con uno stato diversoDISABLED. | |
3.5.1.1 | Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0) | Assicurati che il certificato associato a una CloudFront distribuzione Amazon non sia il SSL certificato predefinito. La regola è NON _ COMPLIANT se una CloudFront distribuzione utilizza il SSL certificato predefinito. | |
3.5.1.1 | Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0) | Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer. | |
3.5.1.3 | Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0) | Assicurarsi che AWS Private Certificate Authority (CA AWS privata) disponga di una CA root disabilitata. La regola è NON _ COMPLIANT per root CAs con uno stato diversoDISABLED. | |
3.5.1.3 | Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0) | Assicurati che il certificato associato a una CloudFront distribuzione Amazon non sia il SSL certificato predefinito. La regola è NON _ COMPLIANT se una CloudFront distribuzione utilizza il SSL certificato predefinito. | |
3.5.1.3 | Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0) | Assicurati che uno snapshot manuale del cluster DB di Amazon Neptune non sia pubblico. La regola è NON _ COMPLIANT se qualsiasi istantanea del cluster Neptune esistente e nuova è pubblica. | |
3.5.1.3 | Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0) | Assicurati che le istantanee manuali dei cluster di Amazon DocumentDB non siano pubbliche. La regola è NON _ COMPLIANT se alcune istantanee manuali del cluster di Amazon DocumentDB sono pubbliche. | |
3.5.1.3 | Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0) | Assicurati che a un archivio di backup sia associata una politica basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. La regola è NON _ COMPLIANT se Backup Vault non dispone di policy basate sulle risorse o dispone di policy prive di un'istruzione 'Deny' appropriata (istruzione con autorizzazioni backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy | |
3.5.1.3 | Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0) | Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer. | |
3.5.1.3 | Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0) | Assicurati che su un account Amazon EMR siano abilitate le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se BlockPublicSecurityGroupRules è falsa o, se è vera, sono elencate le porte diverse dalla porta 22 PermittedPublicSecurityGroupRuleRanges. | |
3.5.1.3 | Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0) | Assicurati che i punti di accesso Amazon S3 abbiano abilitato le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se le impostazioni di blocco dell'accesso pubblico non sono abilitate per i punti di accesso S3. | |
3.5.1.3 | Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0) | Assicurati che le impostazioni richieste per il blocco di accesso pubblico siano configurate a livello di account. La regola è NON _ solo COMPLIANT quando i campi impostati di seguito non corrispondono ai campi corrispondenti nell'elemento di configurazione. | |
3.5.1.3 | Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0) | Assicurati che MFA Delete sia abilitato nella configurazione del versionamento del bucket Amazon Simple Storage Service (Amazon S3). La regola è NON _ COMPLIANT se MFA Delete non è abilitato. | |
3.6.1 | Le chiavi crittografiche utilizzate per proteggere i dati degli account archiviati sono protette. (PCI- DSS -v4.0) | Assicurarsi che AWS Private Certificate Authority (CA AWS privata) disponga di una CA root disabilitata. La regola è NON _ COMPLIANT per root CAs con uno stato diversoDISABLED. | |
3.6.1 | Le chiavi crittografiche utilizzate per proteggere i dati degli account archiviati sono protette. (PCI- DSS -v4.0) | Assicurati che il certificato associato a una CloudFront distribuzione Amazon non sia il SSL certificato predefinito. La regola è NON _ COMPLIANT se una CloudFront distribuzione utilizza il SSL certificato predefinito. | |
3.6.1 | Le chiavi crittografiche utilizzate per proteggere i dati degli account archiviati sono protette. (PCI- DSS -v4.0) | Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer. | |
3.6.1.2 | Le chiavi crittografiche utilizzate per proteggere i dati degli account archiviati sono protette. (PCI- DSS -v4.0) | Assicurarsi che AWS Private Certificate Authority (CA AWS privata) disponga di una CA root disabilitata. La regola è NON _ COMPLIANT per root CAs con uno stato diversoDISABLED. | |
3.6.1.2 | Le chiavi crittografiche utilizzate per proteggere i dati degli account archiviati sono protette. (PCI- DSS -v4.0) | Assicurati che il certificato associato a una CloudFront distribuzione Amazon non sia il SSL certificato predefinito. La regola è NON _ COMPLIANT se una CloudFront distribuzione utilizza il SSL certificato predefinito. | |
3.6.1.2 | Le chiavi crittografiche utilizzate per proteggere i dati degli account archiviati sono protette. (PCI- DSS -v4.0) | Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer. | |
3.6.1.3 | Le chiavi crittografiche utilizzate per proteggere i dati degli account archiviati sono protette. (PCI- DSS -v4.0) | Assicurarsi che AWS Private Certificate Authority (CA AWS privata) disponga di una CA root disabilitata. La regola è NON _ COMPLIANT per root CAs con uno stato diversoDISABLED. | |
3.6.1.3 | Le chiavi crittografiche utilizzate per proteggere i dati degli account archiviati sono protette. (PCI- DSS -v4.0) | Assicurati che il certificato associato a una CloudFront distribuzione Amazon non sia il SSL certificato predefinito. La regola è NON _ COMPLIANT se una CloudFront distribuzione utilizza il SSL certificato predefinito. | |
3.6.1.3 | Le chiavi crittografiche utilizzate per proteggere i dati degli account archiviati sono protette. (PCI- DSS -v4.0) | Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer. | |
3.6.1.4 | Le chiavi crittografiche utilizzate per proteggere i dati degli account archiviati sono protette. (PCI- DSS -v4.0) | Assicurarsi che AWS Private Certificate Authority (CA AWS privata) disponga di una CA root disabilitata. La regola è NON _ COMPLIANT per root CAs con uno stato diversoDISABLED. | |
3.6.1.4 | Le chiavi crittografiche utilizzate per proteggere i dati degli account archiviati sono protette. (PCI- DSS -v4.0) | Assicurati che il certificato associato a una CloudFront distribuzione Amazon non sia il SSL certificato predefinito. La regola è NON _ COMPLIANT se una CloudFront distribuzione utilizza il SSL certificato predefinito. | |
3.6.1.4 | Le chiavi crittografiche utilizzate per proteggere i dati degli account archiviati sono protette. (PCI- DSS -v4.0) | Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer. | |
3.7.1 | Laddove la crittografia viene utilizzata per proteggere i dati degli account archiviati, vengono definiti e implementati processi e procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi. (- -v4.0) PCI DSS | Assicurati che RSA i certificati gestiti da AWS Certificate Manager (ACM) abbiano una lunghezza di chiave di almeno «2048» bit. La regola è NON _ COMPLIANT se la lunghezza minima della chiave è inferiore a 2048 bit. | |
3.7.1 | Laddove la crittografia viene utilizzata per proteggere i dati degli account archiviati, vengono definiti e implementati processi e procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi. (- -v4.0) PCI DSS | Assicurarsi che AWS Private Certificate Authority (CA AWS privata) disponga di una CA root disabilitata. La regola è NON _ COMPLIANT per root CAs con uno stato diversoDISABLED. | |
3.7.1 | Laddove la crittografia viene utilizzata per proteggere i dati degli account archiviati, vengono definiti e implementati processi e procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi. (- -v4.0) PCI DSS | Assicurati che il certificato associato a una CloudFront distribuzione Amazon non sia il SSL certificato predefinito. La regola è NON _ COMPLIANT se una CloudFront distribuzione utilizza il SSL certificato predefinito. | |
3.7.1 | Laddove la crittografia viene utilizzata per proteggere i dati degli account archiviati, vengono definiti e implementati processi e procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi. (- -v4.0) PCI DSS | Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer. | |
3.7.2 | Laddove la crittografia viene utilizzata per proteggere i dati degli account archiviati, vengono definiti e implementati processi e procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi. (- -v4.0) PCI DSS | Assicurarsi che AWS Private Certificate Authority (CA AWS privata) disponga di una CA root disabilitata. La regola è NON _ COMPLIANT per root CAs con uno stato diversoDISABLED. | |
3.7.2 | Laddove la crittografia viene utilizzata per proteggere i dati degli account archiviati, vengono definiti e implementati processi e procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi. (- -v4.0) PCI DSS | Assicurati che il certificato associato a una CloudFront distribuzione Amazon non sia il SSL certificato predefinito. La regola è NON _ COMPLIANT se una CloudFront distribuzione utilizza il SSL certificato predefinito. | |
3.7.2 | Laddove la crittografia viene utilizzata per proteggere i dati degli account archiviati, vengono definiti e implementati processi e procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi. (- -v4.0) PCI DSS | Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer. | |
3.7.4 | Laddove la crittografia viene utilizzata per proteggere i dati degli account archiviati, vengono definiti e implementati processi e procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi. (- -v4.0) PCI DSS | Assicurarsi che AWS Private Certificate Authority (CA AWS privata) disponga di una CA root disabilitata. La regola è NON _ COMPLIANT per root CAs con uno stato diversoDISABLED. | |
3.7.4 | Laddove la crittografia viene utilizzata per proteggere i dati degli account archiviati, vengono definiti e implementati processi e procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi. (- -v4.0) PCI DSS | Assicurati che il certificato associato a una CloudFront distribuzione Amazon non sia il SSL certificato predefinito. La regola è NON _ COMPLIANT se una CloudFront distribuzione utilizza il SSL certificato predefinito. | |
3.7.4 | Laddove la crittografia viene utilizzata per proteggere i dati degli account archiviati, vengono definiti e implementati processi e procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi. (- -v4.0) PCI DSS | Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer. | |
3.7.6 | Laddove la crittografia viene utilizzata per proteggere i dati degli account archiviati, vengono definiti e implementati processi e procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi. (- -v4.0) PCI DSS | Assicurarsi che AWS Private Certificate Authority (CA AWS privata) disponga di una CA root disabilitata. La regola è NON _ COMPLIANT per root CAs con uno stato diversoDISABLED. | |
3.7.6 | Laddove la crittografia viene utilizzata per proteggere i dati degli account archiviati, vengono definiti e implementati processi e procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi. (- -v4.0) PCI DSS | Assicurati che il certificato associato a una CloudFront distribuzione Amazon non sia il SSL certificato predefinito. La regola è NON _ COMPLIANT se una CloudFront distribuzione utilizza il SSL certificato predefinito. | |
3.7.6 | Laddove la crittografia viene utilizzata per proteggere i dati degli account archiviati, vengono definiti e implementati processi e procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi. (- -v4.0) PCI DSS | Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer. | |
3.7.7 | Laddove la crittografia viene utilizzata per proteggere i dati degli account archiviati, vengono definiti e implementati processi e procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi. (- -v4.0) PCI DSS | Assicurarsi che AWS Private Certificate Authority (CA AWS privata) disponga di una CA root disabilitata. La regola è NON _ COMPLIANT per root CAs con uno stato diversoDISABLED. | |
3.7.7 | Laddove la crittografia viene utilizzata per proteggere i dati degli account archiviati, vengono definiti e implementati processi e procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi. (- -v4.0) PCI DSS | Assicurati che il certificato associato a una CloudFront distribuzione Amazon non sia il SSL certificato predefinito. La regola è NON _ COMPLIANT se una CloudFront distribuzione utilizza il SSL certificato predefinito. | |
3.7.7 | Laddove la crittografia viene utilizzata per proteggere i dati degli account archiviati, vengono definiti e implementati processi e procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi. (- -v4.0) PCI DSS | Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer. | |
4.2.1 | PANè protetto con una crittografia avanzata durante la trasmissione. (PCI- DSS -v4.0) | Assicurati che gli endpoint AWS Database Migration Service (AWS DMS) per gli archivi dati Redis siano abilitati per TLS /la SSL crittografia dei dati comunicati con altri endpoint. La regola è NON _ COMPLIANT se la SSL crittografiaTLS/non è abilitata. | |
4.2.1 | PANè protetto con una crittografia avanzata durante la trasmissione. (PCI- DSS -v4.0) | Assicurati che CloudFront le distribuzioni non utilizzino SSL protocolli obsoleti per la HTTPS comunicazione tra CloudFront edge location e origini personalizzate. Questa regola è NON _ COMPLIANT per una CloudFront distribuzione se esiste un '' include' '. OriginSslProtocols SSLv3 | |
4.2.1 | PANè protetto con una crittografia avanzata durante la trasmissione. (PCI- DSS -v4.0) | Assicurati che CloudFront le distribuzioni Amazon crittografino il traffico verso origini personalizzate. La regola è NON _ COMPLIANT if' 'è 'http-only' o if'OriginProtocolPolicy' è 'match-viewer' e '' è 'allow-all'. OriginProtocolPolicy ViewerProtocolPolicy | |
4.2.1 | PANè protetto con una crittografia avanzata durante la trasmissione. (PCI- DSS -v4.0) | Assicurati che le tue CloudFront distribuzioni Amazon utilizzino HTTPS (direttamente o tramite un reindirizzamento). La regola è NON _ COMPLIANT se il valore di ViewerProtocolPolicy è impostato su 'allow-all' per o per. DefaultCacheBehavior CacheBehaviors | |
4.2.1 | PANè protetto con una crittografia avanzata durante la trasmissione. (PCI- DSS -v4.0) | Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer. | |
4.2.1 | PANè protetto con una crittografia avanzata durante la trasmissione. (PCI- DSS -v4.0) | Assicurati che il tuo cluster Amazon DynamoDB Accelerator DAX () sia impostato su. ClusterEndpointEncryptionType TLS La regola è NON _ COMPLIANT se un DAX cluster non è crittografato da Transport Layer Security (). TLS | |
4.2.1 | PANè protetto con una crittografia avanzata durante la trasmissione. (PCI- DSS -v4.0) | Assicurati che un MSK cluster Amazon applichi la crittografia in transito utilizzando HTTPS (TLS) con i nodi broker del cluster. La regola è NON _ COMPLIANT se la comunicazione in testo semplice è abilitata per le connessioni dei nodi broker all'interno del cluster. | |
4.2.1 | PANè protetto con una crittografia avanzata durante la trasmissione. (PCI- DSS -v4.0) | Assicurati che gli endpoint AWS Database Migration Service (AWS DMS) siano configurati con una SSL connessione. La regola è NON _ COMPLIANT se AWS DMS non è configurata una SSL connessione. | |
4.2.1.1 | PANè protetto con una crittografia avanzata durante la trasmissione. (PCI- DSS -v4.0) | Assicurarsi che AWS Private Certificate Authority (CA AWS privata) disponga di una CA root disabilitata. La regola è NON _ COMPLIANT per root CAs con uno stato diversoDISABLED. | |
4.2.1.1 | PANè protetto con una crittografia avanzata durante la trasmissione. (PCI- DSS -v4.0) | Assicurati che il certificato associato a una CloudFront distribuzione Amazon non sia il SSL certificato predefinito. La regola è NON _ COMPLIANT se una CloudFront distribuzione utilizza il SSL certificato predefinito. | |
4.2.1.1 | PANè protetto con una crittografia avanzata durante la trasmissione. (PCI- DSS -v4.0) | Assicurati che gli endpoint AWS Database Migration Service (AWS DMS) per gli archivi dati Redis siano abilitati per TLS /la SSL crittografia dei dati comunicati con altri endpoint. La regola è NON _ COMPLIANT se la SSL crittografiaTLS/non è abilitata. | |
4.2.1.1 | PANè protetto con una crittografia avanzata durante la trasmissione. (PCI- DSS -v4.0) | Assicurati che CloudFront le distribuzioni non utilizzino SSL protocolli obsoleti per la HTTPS comunicazione tra CloudFront edge location e origini personalizzate. Questa regola è NON _ COMPLIANT per una CloudFront distribuzione se esiste un '' include' '. OriginSslProtocols SSLv3 | |
4.2.1.1 | PANè protetto con una crittografia avanzata durante la trasmissione. (PCI- DSS -v4.0) | Assicurati che CloudFront le distribuzioni Amazon crittografino il traffico verso origini personalizzate. La regola è NON _ COMPLIANT if' 'è 'http-only' o if'OriginProtocolPolicy' è 'match-viewer' e '' è 'allow-all'. OriginProtocolPolicy ViewerProtocolPolicy | |
4.2.1.1 | PANè protetto con una crittografia avanzata durante la trasmissione. (PCI- DSS -v4.0) | Assicurati che le tue CloudFront distribuzioni Amazon utilizzino HTTPS (direttamente o tramite un reindirizzamento). La regola è NON _ COMPLIANT se il valore di ViewerProtocolPolicy è impostato su 'allow-all' per o per. DefaultCacheBehavior CacheBehaviors | |
4.2.1.1 | PANè protetto con una crittografia avanzata durante la trasmissione. (PCI- DSS -v4.0) | Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer. | |
4.2.1.1 | PANè protetto con una crittografia avanzata durante la trasmissione. (PCI- DSS -v4.0) | Assicurati che il tuo cluster Amazon DynamoDB Accelerator DAX () sia impostato su. ClusterEndpointEncryptionType TLS La regola è NON _ COMPLIANT se un DAX cluster non è crittografato da Transport Layer Security (). TLS | |
4.2.1.1 | PANè protetto con una crittografia avanzata durante la trasmissione. (PCI- DSS -v4.0) | Assicurati che un MSK cluster Amazon applichi la crittografia in transito utilizzando HTTPS (TLS) con i nodi broker del cluster. La regola è NON _ COMPLIANT se la comunicazione in testo semplice è abilitata per le connessioni dei nodi broker all'interno del cluster. | |
4.2.1.1 | PANè protetto con una crittografia avanzata durante la trasmissione. (PCI- DSS -v4.0) | Assicurati che gli endpoint AWS Database Migration Service (AWS DMS) siano configurati con una SSL connessione. La regola è NON _ COMPLIANT se AWS DMS non è configurata una SSL connessione. | |
5.3.4 | I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati. (PCI- DSS -v4.0) | Assicurati che le fasi di Amazon API Gateway V2 abbiano la registrazione degli accessi abilitata. La regola è NON _ COMPLIANT se 'accessLogSettings' non è presente nella configurazione Stage. | |
5.3.4 | I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati. (PCI- DSS -v4.0) | Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT | |
5.3.4 | I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati. (PCI- DSS -v4.0) | Assicurati che CloudFront le distribuzioni Amazon siano configurate per fornire log di accesso a un bucket Amazon S3. La regola è NON _ COMPLIANT se per una CloudFront distribuzione non è configurata la registrazione. | |
5.3.4 | I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati. (PCI- DSS -v4.0) | Assicurati che esista almeno un AWS CloudTrail percorso definito con le migliori pratiche di sicurezza. Questa regola si COMPLIANT applica se esiste almeno un percorso che soddisfa tutti i seguenti requisiti: | |
5.3.4 | I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati. (PCI- DSS -v4.0) | Assicurati che in un cluster CloudWatch Amazon Neptune sia abilitata l'esportazione dei log per i log di controllo. La regola è NON _ COMPLIANT se un cluster Neptune non ha l'esportazione dei log abilitata per CloudWatch i log di controllo. | |
5.3.4 | I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati. (PCI- DSS -v4.0) | Assicurati che logConfiguration sia impostato su ECS Task Definitions attive. Questa regola è NON _ COMPLIANT se per un elemento attivo ECSTaskDefinition non è definita la logConfiguration risorsa o se il valore per logConfiguration è nullo in almeno una definizione di contenitore. | |
5.3.4 | I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati. (PCI- DSS -v4.0) | Nota: per questa regola, l'identificatore della regola (CLOUD_ TRAIL _ENABLED) e il nome della regola (cloudtrail-enabled) sono diversi. Assicurati che nel tuo account sia AWS CloudTrail abilitato un percorso. AWS La regola è NON _ COMPLIANT se un trail non è abilitato. Facoltativamente, la regola controlla uno specifico bucket S3, un argomento di Amazon Simple Notification Service (AmazonSNS) e CloudWatch un gruppo di log. | |
5.3.4 | I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati. (PCI- DSS -v4.0) | Nota: per questa regola, l'identificatore della regola (MULTI_ _ _ _ REGION CLOUD TRAIL _ENABLED) e il nome della regola (multi-region-cloudtrail-enabled) sono diversi. Assicurati che esista almeno una regione AWS CloudTrail multipla. La regola è NON _ COMPLIANT se i percorsi non corrispondono ai parametri di input. La regola è NON _ COMPLIANT se il ExcludeManagementEventSources campo non è vuoto o se AWS CloudTrail è configurato per escludere eventi di gestione come AWS KMS eventi o API eventi Amazon RDS Data. | |
5.3.4 | I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati. (PCI- DSS -v4.0) | Assicurati che an AWS AppSync API abbia la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione non è abilitata, oppure 'fieldLogLevel' non è né l'una né l'altraERROR. ALL | |
5.3.4 | I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati. (PCI- DSS -v4.0) | Assicurati che la registrazione sia abilitata nelle AWS WAF classiche liste globali di controllo degli accessi Web (web). ACLs La regola è NON _ COMPLIANT per un Web globaleACL, se non ha la registrazione abilitata. | |
5.3.4 | I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati. (PCI- DSS -v4.0) | Assicurati che i broker Amazon MQ abbiano abilitato la registrazione CloudWatch di audit di Amazon. La regola è NON _ COMPLIANT se un broker non ha abilitato la registrazione di controllo. | |
5.3.4 | I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati. (PCI- DSS -v4.0) | Assicurati che un broker Amazon MQ abbia abilitato la registrazione di CloudWatch controllo. La regola è NON _ COMPLIANT se il broker non ha abilitato la registrazione di controllo. | |
5.3.4 | I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati. (PCI- DSS -v4.0) | Assicurati che un cluster Amazon Elastic Kubernetes Service (EKSAmazon) sia configurato con la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione per EKS i cluster Amazon non è abilitata per tutti i tipi di log. | |
5.3.4 | I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati. (PCI- DSS -v4.0) | Assicurati che gli ambienti AWS Elastic Beanstalk siano configurati per inviare log ad Amazon Logs. CloudWatch La regola è NON _ COMPLIANT se il valore di `` è falso. StreamLogs | |
5.3.4 | I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati. (PCI- DSS -v4.0) | Assicurarsi che la macchina AWS Step Functions abbia la registrazione abilitata. La regola è NON _ COMPLIANT se una macchina a stati non ha la registrazione abilitata o la configurazione di registrazione non è al livello minimo fornito. | |
5.3.4 | I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati. (PCI- DSS -v4.0) | Assicurati che i firewall AWS Network Firewall abbiano la registrazione abilitata. La regola è NON _ COMPLIANT se un tipo di registrazione non è configurato. Puoi specificare il tipo di registrazione di log che desideri venga verificato dalla regola. | |
5.3.4 | I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati. (PCI- DSS -v4.0) | Assicurati che un periodo di CloudWatch LogGroup conservazione di Amazon sia impostato su più di 365 giorni oppure un periodo di conservazione specificato. La regola è NON _ COMPLIANT se il periodo di conservazione è inferiore a MinRetentionTime, se specificato, oppure 365 giorni. | |
6.3.3 | Le vulnerabilità di sicurezza vengono identificate e risolte. (PCI- DSS -v4.0) | Assicurati che le impostazioni della funzione AWS Lambda per runtime, ruolo, timeout e dimensione della memoria corrispondano ai valori previsti. La regola ignora le funzioni con il tipo di pacchetto 'Image' e le funzioni con runtime impostato su 'OS-only Runtime'. La regola è NON _ COMPLIANT se le impostazioni della funzione Lambda non corrispondono ai valori previsti. | |
6.3.3 | Le vulnerabilità di sicurezza vengono identificate e risolte. (PCI- DSS -v4.0) | Assicurati che un cluster Amazon Elastic Kubernetes Service EKS () non esegua la versione più vecchia supportata. La regola è NON _ COMPLIANT se un EKS cluster esegue la versione più vecchia supportata (uguale al parametro ''oldestVersionSupported). | |
6.4.1 | Le applicazioni web rivolte al pubblico sono protette dagli attacchi. (PCI- DSS -v4.0) | Assicurati che CloudFront le distribuzioni Amazon siano associate a Web Application Firewall (WAF) o WAFv2 Web Access Control List (ACLs). La regola è NON _ COMPLIANT se una CloudFront distribuzione non è associata a un WAF webACL. | |
6.4.1 | Le applicazioni web rivolte al pubblico sono protette dagli attacchi. (PCI- DSS -v4.0) | Assicurati che AWS AppSync APIs siano associati agli elenchi di controllo degli accessi AWS WAFv2 Web ()ACLs. La regola è NON _ COMPLIANT per un AWS AppSync API se non è associata a un webACL. | |
6.4.1 | Le applicazioni web rivolte al pubblico sono protette dagli attacchi. (PCI- DSS -v4.0) | Assicurarsi che un WAFv2 Web ACL contenga WAF regole o WAF gruppi di regole. Questa regola è NON _ COMPLIANT se un Web ACL non contiene WAF regole o gruppi di WAF regole. | |
6.4.1 | Le applicazioni web rivolte al pubblico sono protette dagli attacchi. (PCI- DSS -v4.0) | Assicuratevi che i gruppi di WAFv2 regole contengano regole. La regola è NON _ COMPLIANT se non ci sono regole in un gruppo di WAFv2 regole. | |
6.4.1 | Le applicazioni web rivolte al pubblico sono protette dagli attacchi. (PCI- DSS -v4.0) | Assicuratevi che un Web WAF globale ACL contenga alcune WAF regole o gruppi di regole. Questa regola è NON _ COMPLIANT se un Web ACL non contiene alcuna WAF regola o gruppo di regole. | |
6.4.1 | Le applicazioni web rivolte al pubblico sono protette dagli attacchi. (PCI- DSS -v4.0) | Assicuratevi che un gruppo di regole AWS WAF Classic contenga alcune regole. La regola è NON _ COMPLIANT se non ci sono regole presenti all'interno di un gruppo di regole. | |
6.4.1 | Le applicazioni web rivolte al pubblico sono protette dagli attacchi. (PCI- DSS -v4.0) | Assicuratevi che un gruppo di regole AWS WAF Classic contenga alcune regole. La regola è NON _ COMPLIANT se non ci sono regole presenti all'interno di un gruppo di regole. | |
6.4.1 | Le applicazioni web rivolte al pubblico sono protette dagli attacchi. (PCI- DSS -v4.0) | Assicurati che una regola AWS WAF globale contenga alcune condizioni. La regola è NON _ COMPLIANT se non sono presenti condizioni all'interno della regola WAF globale. | |
6.4.2 | Le applicazioni web rivolte al pubblico sono protette dagli attacchi. (PCI- DSS -v4.0) | Assicurati che CloudFront le distribuzioni Amazon siano associate a Web Application Firewall (WAF) o WAFv2 Web Access Control List (ACLs). La regola è NON _ COMPLIANT se una CloudFront distribuzione non è associata a un WAF webACL. | |
6.4.2 | Le applicazioni web rivolte al pubblico sono protette dagli attacchi. (PCI- DSS -v4.0) | Assicurati che AWS AppSync APIs siano associati agli elenchi di controllo degli accessi AWS WAFv2 Web ()ACLs. La regola è NON _ COMPLIANT per un AWS AppSync API se non è associata a un webACL. | |
6.4.2 | Le applicazioni web rivolte al pubblico sono protette dagli attacchi. (PCI- DSS -v4.0) | Assicurarsi che un WAFv2 Web ACL contenga WAF regole o WAF gruppi di regole. Questa regola è NON _ COMPLIANT se un Web ACL non contiene WAF regole o gruppi di WAF regole. | |
6.4.2 | Le applicazioni web rivolte al pubblico sono protette dagli attacchi. (PCI- DSS -v4.0) | Assicuratevi che i gruppi di WAFv2 regole contengano regole. La regola è NON _ COMPLIANT se non ci sono regole in un gruppo di WAFv2 regole. | |
6.4.2 | Le applicazioni web rivolte al pubblico sono protette dagli attacchi. (PCI- DSS -v4.0) | Assicuratevi che un Web WAF globale ACL contenga alcune WAF regole o gruppi di regole. Questa regola è NON _ COMPLIANT se un Web ACL non contiene alcuna WAF regola o gruppo di regole. | |
6.4.2 | Le applicazioni web rivolte al pubblico sono protette dagli attacchi. (PCI- DSS -v4.0) | Assicuratevi che un gruppo di regole AWS WAF Classic contenga alcune regole. La regola è NON _ COMPLIANT se non ci sono regole presenti all'interno di un gruppo di regole. | |
6.4.2 | Le applicazioni web rivolte al pubblico sono protette dagli attacchi. (PCI- DSS -v4.0) | Assicuratevi che un gruppo di regole AWS WAF Classic contenga alcune regole. La regola è NON _ COMPLIANT se non ci sono regole presenti all'interno di un gruppo di regole. | |
6.4.2 | Le applicazioni web rivolte al pubblico sono protette dagli attacchi. (PCI- DSS -v4.0) | Assicurati che una regola AWS WAF globale contenga alcune condizioni. La regola è NON _ COMPLIANT se non sono presenti condizioni all'interno della regola WAF globale. | |
6.5.5 | Le modifiche a tutti i componenti del sistema vengono gestite in modo sicuro. (PCI- DSS -v4.0) | Assicurati che il gruppo di distribuzione per Lambda Compute Platform non utilizzi la configurazione di distribuzione predefinita. La regola è NON _ COMPLIANT se il gruppo di distribuzione utilizza la configurazione di distribuzione '. CodeDeployDefault LambdaAllAtOnce'. | |
6.5.5 | Le modifiche a tutti i componenti del sistema vengono gestite in modo sicuro. (PCI- DSS -v4.0) | Assicurati che la prima fase di distribuzione di AWS CodePipeline esegua almeno una distribuzione. Questo serve a monitorare l'attività di implementazione continua, garantire aggiornamenti regolari e identificare le pipeline inattive o sottoutilizzate, che possono segnalare problemi nel processo di sviluppo o implementazione. Facoltativamente, assicurati che ciascuna delle fasi rimanenti successive venga distribuita su un numero di implementazioni superiore a quello specificato (). deploymentLimit | |
6.5.6 | Le modifiche a tutti i componenti del sistema vengono gestite in modo sicuro. (PCI- DSS -v4.0) | Assicurati che il gruppo di distribuzione per Lambda Compute Platform non utilizzi la configurazione di distribuzione predefinita. La regola è NON _ COMPLIANT se il gruppo di distribuzione utilizza la configurazione di distribuzione '. CodeDeployDefault LambdaAllAtOnce'. | |
6.5.6 | Le modifiche a tutti i componenti del sistema vengono gestite in modo sicuro. (PCI- DSS -v4.0) | Assicurati che la prima fase di distribuzione di AWS CodePipeline esegua almeno una distribuzione. Questo serve a monitorare l'attività di implementazione continua, garantire aggiornamenti regolari e identificare le pipeline inattive o sottoutilizzate, che possono segnalare problemi nel processo di sviluppo o implementazione. Facoltativamente, assicurati che ciascuna delle fasi rimanenti successive venga distribuita su un numero di implementazioni superiore a quello specificato (). deploymentLimit | |
7.2.1 | L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0) | Assicurati che una policy sui bucket di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) non consenta azioni bloccate a livello di bucket e a livello di oggetto sulle risorse del bucket per i principali di altri account. AWS Ad esempio, la regola verifica che la policy del bucket di Amazon S3 non consenta a un altro AWS account di eseguire azioni s3: GetBucket * e s3: DeleteObject su qualsiasi oggetto nel bucket. La regola è NON _ COMPLIANT se le azioni bloccate sono consentite dalla policy sui bucket di Amazon S3. | |
7.2.1 | L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0) | Assicurati che le policy relative ai bucket di Amazon Simple Storage Service (S3) non consentano altre autorizzazioni tra account oltre alla policy del bucket di controllo di Amazon S3 fornita. | |
7.2.1 | L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0) | Assicurati che lo Shield Response Team (SRT) possa accedere al tuo AWS account. La regola è NON _ COMPLIANT se AWS Shield Advanced è abilitato ma il ruolo per SRT l'accesso non è configurato. | |
7.2.1 | L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0) | Assicurati che una IAM policy ARN sia associata a un IAM utente o a un gruppo con uno o più IAM utenti o a un IAM ruolo con una o più entità attendibili. | |
7.2.1 | L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0) | Assicurati che in un cluster Amazon Neptune sia abilitata l'autenticazione del AWS database Identity and Access Management IAM (). La regola è NON _ COMPLIANT se un cluster Amazon Neptune non IAM ha l'autenticazione del database abilitata. | |
7.2.1 | L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0) | Assicurati che in un cluster Amazon Relational Database Service (RDSAmazon) AWS sia abilitata l'autenticazione Identity and Access Management IAM (). La regola è NON _ COMPLIANT se un Amazon RDS Cluster non ha IAM l'autenticazione abilitata. | |
7.2.1 | L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0) | Assicurati che a un'EC2istanza sia associato un profilo AWS Identity and Access Management (IAM). La regola è NON _ COMPLIANT se non è associato alcun IAM profilo all'EC2istanza. | |
7.2.1 | L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0) | Assicurati che a un archivio di backup sia associata una politica basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. La regola è NON _ COMPLIANT se Backup Vault non dispone di policy basate sulle risorse o dispone di policy prive di un'istruzione 'Deny' appropriata (istruzione con autorizzazioni backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy | |
7.2.1 | L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0) | Assicurati che un'istanza di Amazon Relational Database Service (RDSAmazon) AWS abbia l'autenticazione Identity and Access Management IAM () abilitata. La regola è NON _ COMPLIANT se un'RDSistanza Amazon non ha IAM l'autenticazione abilitata. | |
7.2.2 | L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0) | Assicurati che una policy sui bucket di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) non consenta azioni bloccate a livello di bucket e a livello di oggetto sulle risorse del bucket per i principali di altri account. AWS Ad esempio, la regola verifica che la policy del bucket di Amazon S3 non consenta a un altro AWS account di eseguire azioni s3: GetBucket * e s3: DeleteObject su qualsiasi oggetto nel bucket. La regola è NON _ COMPLIANT se le azioni bloccate sono consentite dalla policy sui bucket di Amazon S3. | |
7.2.2 | L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0) | Assicurati che le policy relative ai bucket di Amazon Simple Storage Service (S3) non consentano altre autorizzazioni tra account oltre alla policy del bucket di controllo di Amazon S3 fornita. | |
7.2.2 | L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0) | Assicurati che lo Shield Response Team (SRT) possa accedere al tuo AWS account. La regola è NON _ COMPLIANT se AWS Shield Advanced è abilitato ma il ruolo per SRT l'accesso non è configurato. | |
7.2.2 | L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0) | Assicurati che una IAM policy ARN sia associata a un IAM utente o a un gruppo con uno o più IAM utenti o a un IAM ruolo con una o più entità attendibili. | |
7.2.2 | L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0) | Assicurati che in un cluster Amazon Neptune sia abilitata l'autenticazione del AWS database Identity and Access Management IAM (). La regola è NON _ COMPLIANT se un cluster Amazon Neptune non IAM ha l'autenticazione del database abilitata. | |
7.2.2 | L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0) | Assicurati che in un cluster Amazon Relational Database Service (RDSAmazon) AWS sia abilitata l'autenticazione Identity and Access Management IAM (). La regola è NON _ COMPLIANT se un Amazon RDS Cluster non ha IAM l'autenticazione abilitata. | |
7.2.2 | L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0) | Assicurati che a un'EC2istanza sia associato un profilo AWS Identity and Access Management (IAM). La regola è NON _ COMPLIANT se non è associato alcun IAM profilo all'EC2istanza. | |
7.2.2 | L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0) | Assicurati che a un archivio di backup sia associata una politica basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. La regola è NON _ COMPLIANT se Backup Vault non dispone di policy basate sulle risorse o dispone di policy prive di un'istruzione 'Deny' appropriata (istruzione con autorizzazioni backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy | |
7.2.2 | L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0) | Assicurati che un'istanza di Amazon Relational Database Service (RDSAmazon) AWS abbia l'autenticazione Identity and Access Management IAM () abilitata. La regola è NON _ COMPLIANT se un'RDSistanza Amazon non ha IAM l'autenticazione abilitata. | |
7.2.4 | L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0) | Assicurati che AWS sia stato effettuato l'accesso ai segreti di Secrets Manager entro un determinato numero di giorni. La regola è NON _ COMPLIANT se non si accede a un segreto da 'unusedForDays' un numero di giorni. Il valore predefinito è 90 giorni. | |
7.2.5 | L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0) | Assicurati che una policy sui bucket di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) non consenta azioni bloccate a livello di bucket e a livello di oggetto sulle risorse del bucket per i principali di altri account. AWS Ad esempio, la regola verifica che la policy del bucket di Amazon S3 non consenta a un altro AWS account di eseguire azioni s3: GetBucket * e s3: DeleteObject su qualsiasi oggetto nel bucket. La regola è NON _ COMPLIANT se le azioni bloccate sono consentite dalla policy sui bucket di Amazon S3. | |
7.2.5 | L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0) | Assicurati che le policy relative ai bucket di Amazon Simple Storage Service (S3) non consentano altre autorizzazioni tra account oltre alla policy del bucket di controllo di Amazon S3 fornita. | |
7.2.5 | L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0) | Assicurati che lo Shield Response Team (SRT) possa accedere al tuo AWS account. La regola è NON _ COMPLIANT se AWS Shield Advanced è abilitato ma il ruolo per SRT l'accesso non è configurato. | |
7.2.5 | L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0) | Assicurati che una IAM policy ARN sia associata a un IAM utente o a un gruppo con uno o più IAM utenti o a un IAM ruolo con una o più entità attendibili. | |
7.2.5 | L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0) | Assicurati che in un cluster Amazon Neptune sia abilitata l'autenticazione del AWS database Identity and Access Management IAM (). La regola è NON _ COMPLIANT se un cluster Amazon Neptune non IAM ha l'autenticazione del database abilitata. | |
7.2.5 | L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0) | Assicurati che in un cluster Amazon Relational Database Service (RDSAmazon) AWS sia abilitata l'autenticazione Identity and Access Management IAM (). La regola è NON _ COMPLIANT se un Amazon RDS Cluster non ha IAM l'autenticazione abilitata. | |
7.2.5 | L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0) | Assicurati che a un'EC2istanza sia associato un profilo AWS Identity and Access Management (IAM). La regola è NON _ COMPLIANT se non è associato alcun IAM profilo all'EC2istanza. | |
7.2.5 | L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0) | Assicurati che a un archivio di backup sia associata una politica basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. La regola è NON _ COMPLIANT se Backup Vault non dispone di policy basate sulle risorse o dispone di policy prive di un'istruzione 'Deny' appropriata (istruzione con autorizzazioni backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy | |
7.2.5 | L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0) | Assicurati che un'istanza di Amazon Relational Database Service (RDSAmazon) AWS abbia l'autenticazione Identity and Access Management IAM () abilitata. La regola è NON _ COMPLIANT se un'RDSistanza Amazon non ha IAM l'autenticazione abilitata. | |
7.2.5.1 | L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0) | Assicurati che AWS sia stato effettuato l'accesso ai segreti di Secrets Manager entro un determinato numero di giorni. La regola è NON _ COMPLIANT se non si accede a un segreto da 'unusedForDays' un numero di giorni. Il valore predefinito è 90 giorni. | |
7.2.6 | L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0) | Assicurati che una policy sui bucket di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) non consenta azioni bloccate a livello di bucket e a livello di oggetto sulle risorse del bucket per i principali di altri account. AWS Ad esempio, la regola verifica che la policy del bucket di Amazon S3 non consenta a un altro AWS account di eseguire azioni s3: GetBucket * e s3: DeleteObject su qualsiasi oggetto nel bucket. La regola è NON _ COMPLIANT se le azioni bloccate sono consentite dalla policy sui bucket di Amazon S3. | |
7.2.6 | L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0) | Assicurati che le policy relative ai bucket di Amazon Simple Storage Service (S3) non consentano altre autorizzazioni tra account oltre alla policy del bucket di controllo di Amazon S3 fornita. | |
7.3.1 | L'accesso ai componenti e ai dati del sistema viene gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0) | Assicurati che una policy sui bucket di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) non consenta azioni bloccate a livello di bucket e a livello di oggetto sulle risorse del bucket per i principali di altri account. AWS Ad esempio, la regola verifica che la policy del bucket di Amazon S3 non consenta a un altro AWS account di eseguire azioni s3: GetBucket * e s3: DeleteObject su qualsiasi oggetto nel bucket. La regola è NON _ COMPLIANT se le azioni bloccate sono consentite dalla policy sui bucket di Amazon S3. | |
7.3.1 | L'accesso ai componenti e ai dati del sistema viene gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0) | Assicurati che le policy relative ai bucket di Amazon Simple Storage Service (S3) non consentano altre autorizzazioni tra account oltre alla policy del bucket di controllo di Amazon S3 fornita. | |
7.3.1 | L'accesso ai componenti e ai dati del sistema viene gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0) | Assicurati che lo Shield Response Team (SRT) possa accedere al tuo AWS account. La regola è NON _ COMPLIANT se AWS Shield Advanced è abilitato ma il ruolo per SRT l'accesso non è configurato. | |
7.3.1 | L'accesso ai componenti e ai dati del sistema viene gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0) | Assicurati che una IAM policy ARN sia associata a un IAM utente o a un gruppo con uno o più IAM utenti o a un IAM ruolo con una o più entità attendibili. | |
7.3.1 | L'accesso ai componenti e ai dati del sistema viene gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0) | Assicurati che in un cluster Amazon Neptune sia abilitata l'autenticazione del AWS database Identity and Access Management IAM (). La regola è NON _ COMPLIANT se un cluster Amazon Neptune non IAM ha l'autenticazione del database abilitata. | |
7.3.1 | L'accesso ai componenti e ai dati del sistema viene gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0) | Assicurati che in un cluster Amazon Relational Database Service (RDSAmazon) AWS sia abilitata l'autenticazione Identity and Access Management IAM (). La regola è NON _ COMPLIANT se un Amazon RDS Cluster non ha IAM l'autenticazione abilitata. | |
7.3.1 | L'accesso ai componenti e ai dati del sistema viene gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0) | Assicurati che a un'EC2istanza sia associato un profilo AWS Identity and Access Management (IAM). La regola è NON _ COMPLIANT se non è associato alcun IAM profilo all'EC2istanza. | |
7.3.1 | L'accesso ai componenti e ai dati del sistema viene gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0) | Assicurati che a un archivio di backup sia associata una politica basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. La regola è NON _ COMPLIANT se Backup Vault non dispone di policy basate sulle risorse o dispone di policy prive di un'istruzione 'Deny' appropriata (istruzione con autorizzazioni backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy | |
7.3.1 | L'accesso ai componenti e ai dati del sistema viene gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0) | Assicurati che un'istanza di Amazon Relational Database Service (RDSAmazon) AWS abbia l'autenticazione Identity and Access Management IAM () abilitata. La regola è NON _ COMPLIANT se un'RDSistanza Amazon non ha IAM l'autenticazione abilitata. | |
7.3.2 | L'accesso ai componenti e ai dati del sistema viene gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0) | Assicurati che una policy sui bucket di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) non consenta azioni bloccate a livello di bucket e a livello di oggetto sulle risorse del bucket per i principali di altri account. AWS Ad esempio, la regola verifica che la policy del bucket di Amazon S3 non consenta a un altro AWS account di eseguire azioni s3: GetBucket * e s3: DeleteObject su qualsiasi oggetto nel bucket. La regola è NON _ COMPLIANT se le azioni bloccate sono consentite dalla policy sui bucket di Amazon S3. | |
7.3.2 | L'accesso ai componenti e ai dati del sistema viene gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0) | Assicurati che le policy relative ai bucket di Amazon Simple Storage Service (S3) non consentano altre autorizzazioni tra account oltre alla policy del bucket di controllo di Amazon S3 fornita. | |
7.3.2 | L'accesso ai componenti e ai dati del sistema viene gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0) | Assicurati che lo Shield Response Team (SRT) possa accedere al tuo AWS account. La regola è NON _ COMPLIANT se AWS Shield Advanced è abilitato ma il ruolo per SRT l'accesso non è configurato. | |
7.3.2 | L'accesso ai componenti e ai dati del sistema viene gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0) | Assicurati che una IAM policy ARN sia associata a un IAM utente o a un gruppo con uno o più IAM utenti o a un IAM ruolo con una o più entità attendibili. | |
7.3.2 | L'accesso ai componenti e ai dati del sistema viene gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0) | Assicurati che in un cluster Amazon Neptune sia abilitata l'autenticazione del AWS database Identity and Access Management IAM (). La regola è NON _ COMPLIANT se un cluster Amazon Neptune non IAM ha l'autenticazione del database abilitata. | |
7.3.2 | L'accesso ai componenti e ai dati del sistema viene gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0) | Assicurati che in un cluster Amazon Relational Database Service (RDSAmazon) AWS sia abilitata l'autenticazione Identity and Access Management IAM (). La regola è NON _ COMPLIANT se un Amazon RDS Cluster non ha IAM l'autenticazione abilitata. | |
7.3.2 | L'accesso ai componenti e ai dati del sistema viene gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0) | Assicurati che a un'EC2istanza sia associato un profilo AWS Identity and Access Management (IAM). La regola è NON _ COMPLIANT se non è associato alcun IAM profilo all'EC2istanza. | |
7.3.2 | L'accesso ai componenti e ai dati del sistema viene gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0) | Assicurati che a un archivio di backup sia associata una politica basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. La regola è NON _ COMPLIANT se Backup Vault non dispone di policy basate sulle risorse o dispone di policy prive di un'istruzione 'Deny' appropriata (istruzione con autorizzazioni backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy | |
7.3.2 | L'accesso ai componenti e ai dati del sistema viene gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0) | Assicurati che un'istanza di Amazon Relational Database Service (RDSAmazon) AWS abbia l'autenticazione Identity and Access Management IAM () abilitata. La regola è NON _ COMPLIANT se un'RDSistanza Amazon non ha IAM l'autenticazione abilitata. | |
7.3.3 | L'accesso ai componenti e ai dati del sistema è gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0) | Assicurati che una policy sui bucket di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) non consenta azioni bloccate a livello di bucket e a livello di oggetto sulle risorse del bucket per i principali di altri account. AWS Ad esempio, la regola verifica che la policy del bucket di Amazon S3 non consenta a un altro AWS account di eseguire azioni s3: GetBucket * e s3: DeleteObject su qualsiasi oggetto nel bucket. La regola è NON _ COMPLIANT se le azioni bloccate sono consentite dalla policy sui bucket di Amazon S3. | |
7.3.3 | L'accesso ai componenti e ai dati del sistema è gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0) | Assicurati che le policy relative ai bucket di Amazon Simple Storage Service (S3) non consentano altre autorizzazioni tra account oltre alla policy del bucket di controllo di Amazon S3 fornita. | |
7.3.3 | L'accesso ai componenti e ai dati del sistema è gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0) | Assicurati che lo Shield Response Team (SRT) possa accedere al tuo AWS account. La regola è NON _ COMPLIANT se AWS Shield Advanced è abilitato ma il ruolo per SRT l'accesso non è configurato. | |
7.3.3 | L'accesso ai componenti e ai dati del sistema è gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0) | Assicurati che una IAM policy ARN sia associata a un IAM utente o a un gruppo con uno o più IAM utenti o a un IAM ruolo con una o più entità attendibili. | |
7.3.3 | L'accesso ai componenti e ai dati del sistema è gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0) | Assicurati che in un cluster Amazon Neptune sia abilitata l'autenticazione del AWS database Identity and Access Management IAM (). La regola è NON _ COMPLIANT se un cluster Amazon Neptune non IAM ha l'autenticazione del database abilitata. | |
7.3.3 | L'accesso ai componenti e ai dati del sistema è gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0) | Assicurati che in un cluster Amazon Relational Database Service (RDSAmazon) AWS sia abilitata l'autenticazione Identity and Access Management IAM (). La regola è NON _ COMPLIANT se un Amazon RDS Cluster non ha IAM l'autenticazione abilitata. | |
7.3.3 | L'accesso ai componenti e ai dati del sistema è gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0) | Assicurati che a un'EC2istanza sia associato un profilo AWS Identity and Access Management (IAM). La regola è NON _ COMPLIANT se non è associato alcun IAM profilo all'EC2istanza. | |
7.3.3 | L'accesso ai componenti e ai dati del sistema è gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0) | Assicurati che a un archivio di backup sia associata una politica basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. La regola è NON _ COMPLIANT se Backup Vault non dispone di policy basate sulle risorse o dispone di policy prive di un'istruzione 'Deny' appropriata (istruzione con autorizzazioni backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy | |
7.3.3 | L'accesso ai componenti e ai dati del sistema è gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0) | Assicurati che un'istanza di Amazon Relational Database Service (RDSAmazon) AWS abbia l'autenticazione Identity and Access Management IAM () abilitata. La regola è NON _ COMPLIANT se un'RDSistanza Amazon non ha IAM l'autenticazione abilitata. | |
8.2.1 | L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS | Assicurati che una IAM policy ARN sia associata a un IAM utente o a un gruppo con uno o più IAM utenti o a un IAM ruolo con una o più entità attendibili. | |
8.2.1 | L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS | Assicurati che le istanze Amazon Elastic Compute Cloud (EC2) in esecuzione non vengano avviate utilizzando coppie di chiavi Amazon. La regola è NON _ COMPLIANT se un'EC2istanza in esecuzione viene lanciata con una key pair. | |
8.2.2 | L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS | Assicurati che una IAM policy ARN sia associata a un IAM utente o a un gruppo con uno o più IAM utenti o a un IAM ruolo con una o più entità attendibili. | |
8.2.2 | L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS | Assicurati che le istanze Amazon Elastic Compute Cloud (EC2) in esecuzione non vengano avviate utilizzando coppie di chiavi Amazon. La regola è NON _ COMPLIANT se un'EC2istanza in esecuzione viene lanciata con una key pair. | |
8.2.2 | L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS | Assicurati che il progetto DOES NOT contenga le variabili di ambiente AWS_ACCESS _ KEY _ID e AWS_SECRET _ _. ACCESS KEY La regola è NON _ COMPLIANT quando le variabili di ambiente del progetto contengono credenziali in chiaro. | |
8.2.2 | L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS | Assicuratevi che AWS i segreti di Secrets Manager ruotino correttamente in base alla pianificazione di rotazione. Secrets Manager calcola la data in cui dovrebbe avvenire la rotazione. La regola è NON _ COMPLIANT se la data passa e il segreto non viene ruotato. | |
8.2.2 | L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS | Assicurati che AWS i segreti di Secrets Manager siano stati ruotati nel numero di giorni specificato nell'ultimo numero di giorni specificato. La regola è NON _ COMPLIANT se un segreto non è stato ruotato per un numero di giorni superiore a quello di maxDaysSince rotazione. Il valore predefinito è 90 giorni. | |
8.2.2 | L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS | Assicurati che AWS sia stato effettuato l'accesso ai segreti di Secrets Manager entro un determinato numero di giorni. La regola è NON _ COMPLIANT se non si accede a un segreto da 'unusedForDays' un numero di giorni. Il valore predefinito è 90 giorni. | |
8.2.4 | L'identificazione degli utenti e gli account correlati per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS | Assicurati che una IAM policy ARN sia associata a un IAM utente o a un gruppo con uno o più IAM utenti o a un IAM ruolo con una o più entità attendibili. | |
8.2.4 | L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS | Assicurati che le istanze Amazon Elastic Compute Cloud (EC2) in esecuzione non vengano avviate utilizzando coppie di chiavi Amazon. La regola è NON _ COMPLIANT se un'EC2istanza in esecuzione viene lanciata con una key pair. | |
8.2.5 | L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS | Assicurati che una IAM policy ARN sia associata a un IAM utente o a un gruppo con uno o più IAM utenti o a un IAM ruolo con una o più entità attendibili. | |
8.2.5 | L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS | Assicurati che le istanze Amazon Elastic Compute Cloud (EC2) in esecuzione non vengano avviate utilizzando coppie di chiavi Amazon. La regola è NON _ COMPLIANT se un'EC2istanza in esecuzione viene lanciata con una key pair. | |
8.2.6 | L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS | Assicurati che AWS sia stato effettuato l'accesso ai segreti di Secrets Manager entro un determinato numero di giorni. La regola è NON _ COMPLIANT se non si accede a un segreto da 'unusedForDays' un numero di giorni. Il valore predefinito è 90 giorni. | |
8.2.7 | L'identificazione degli utenti e gli account correlati per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS | Assicurati che una policy sui bucket di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) non consenta azioni bloccate a livello di bucket e a livello di oggetto sulle risorse del bucket per i principali di altri account. AWS Ad esempio, la regola verifica che la policy del bucket di Amazon S3 non consenta a un altro AWS account di eseguire azioni s3: GetBucket * e s3: DeleteObject su qualsiasi oggetto nel bucket. La regola è NON _ COMPLIANT se le azioni bloccate sono consentite dalla policy sui bucket di Amazon S3. | |
8.2.7 | L'identificazione degli utenti e gli account correlati per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS | Assicurati che le policy relative ai bucket di Amazon Simple Storage Service (S3) non consentano altre autorizzazioni tra account oltre alla policy del bucket di controllo di Amazon S3 fornita. | |
8.2.7 | L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS | Assicurati che lo Shield Response Team (SRT) possa accedere al tuo AWS account. La regola è NON _ COMPLIANT se AWS Shield Advanced è abilitato ma il ruolo per SRT l'accesso non è configurato. | |
8.2.7 | L'identificazione degli utenti e gli account correlati per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS | Assicurati che una IAM policy ARN sia associata a un IAM utente o a un gruppo con uno o più IAM utenti o a un IAM ruolo con una o più entità attendibili. | |
8.2.7 | L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS | Assicurati che in un cluster Amazon Neptune sia abilitata l'autenticazione del AWS database Identity and Access Management IAM (). La regola è NON _ COMPLIANT se un cluster Amazon Neptune non IAM ha l'autenticazione del database abilitata. | |
8.2.7 | L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS | Assicurati che in un cluster Amazon Relational Database Service (RDSAmazon) AWS sia abilitata l'autenticazione Identity and Access Management IAM (). La regola è NON _ COMPLIANT se un Amazon RDS Cluster non ha IAM l'autenticazione abilitata. | |
8.2.7 | L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS | Assicurati che a un'EC2istanza sia associato un profilo AWS Identity and Access Management (IAM). La regola è NON _ COMPLIANT se non è associato alcun IAM profilo all'EC2istanza. | |
8.2.7 | L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS | Assicurati che a un archivio di backup sia associata una politica basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. La regola è NON _ COMPLIANT se Backup Vault non dispone di policy basate sulle risorse o dispone di policy prive di un'istruzione 'Deny' appropriata (istruzione con autorizzazioni backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy | |
8.2.7 | L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS | Assicurati che un'istanza di Amazon Relational Database Service (RDSAmazon) AWS abbia l'autenticazione Identity and Access Management IAM () abilitata. La regola è NON _ COMPLIANT se un'RDSistanza Amazon non ha IAM l'autenticazione abilitata. | |
8.2.8 | L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS | Assicurati che una policy sui bucket di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) non consenta azioni bloccate a livello di bucket e a livello di oggetto sulle risorse del bucket per i principali di altri account. AWS Ad esempio, la regola verifica che la policy del bucket di Amazon S3 non consenta a un altro AWS account di eseguire azioni s3: GetBucket * e s3: DeleteObject su qualsiasi oggetto nel bucket. La regola è NON _ COMPLIANT se le azioni bloccate sono consentite dalla policy sui bucket di Amazon S3. | |
8.2.8 | L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS | Assicurati che le policy relative ai bucket di Amazon Simple Storage Service (S3) non consentano altre autorizzazioni tra account oltre alla policy del bucket di controllo di Amazon S3 fornita. | |
8.2.8 | L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS | Assicurati che lo Shield Response Team (SRT) possa accedere al tuo AWS account. La regola è NON _ COMPLIANT se AWS Shield Advanced è abilitato ma il ruolo per SRT l'accesso non è configurato. | |
8.2.8 | L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS | Assicurati che una IAM policy ARN sia associata a un IAM utente o a un gruppo con uno o più IAM utenti o a un IAM ruolo con una o più entità attendibili. | |
8.2.8 | L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS | Assicurati che in un cluster Amazon Neptune sia abilitata l'autenticazione del AWS database Identity and Access Management IAM (). La regola è NON _ COMPLIANT se un cluster Amazon Neptune non IAM ha l'autenticazione del database abilitata. | |
8.2.8 | L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS | Assicurati che in un cluster Amazon Relational Database Service (RDSAmazon) AWS sia abilitata l'autenticazione Identity and Access Management IAM (). La regola è NON _ COMPLIANT se un Amazon RDS Cluster non ha IAM l'autenticazione abilitata. | |
8.2.8 | L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS | Assicurati che la versione dei metadati dell'istanza Amazon Elastic Compute Cloud (AmazonEC2) sia configurata con Instance Metadata Service versione 2 (). IMDSv2 La regola è NON _ COMPLIANT se HttpTokens è impostata su opzionale. | |
8.2.8 | L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS | Assicurati che a un'EC2istanza sia associato un profilo AWS Identity and Access Management (IAM). La regola è NON _ COMPLIANT se non è associato alcun IAM profilo all'EC2istanza. | |
8.2.8 | L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS | Assicurati che solo IMDSv2 sia abilitato. Questa regola è NON _ COMPLIANT se la versione dei metadati non è inclusa nella configurazione di avvio o se entrambi i metadati V1 e V2 sono abilitati. | |
8.2.8 | L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS | Assicurati che a un archivio di backup sia associata una politica basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. La regola è NON _ COMPLIANT se Backup Vault non dispone di policy basate sulle risorse o dispone di policy prive di un'istruzione 'Deny' appropriata (istruzione con autorizzazioni backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy | |
8.2.8 | L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS | Assicurati che un'istanza di Amazon Relational Database Service (RDSAmazon) AWS abbia l'autenticazione Identity and Access Management IAM () abilitata. La regola è NON _ COMPLIANT se un'RDSistanza Amazon non ha IAM l'autenticazione abilitata. | |
8.3.10.1 | Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che le chiavi di IAM accesso attive vengano ruotate (modificate) entro il numero di giorni specificato in Age. maxAccessKey La regola è NON _ COMPLIANT se le chiavi di accesso non vengono ruotate entro il periodo di tempo specificato. Il valore predefinito è 90 giorni. | |
8.3.10.1 | Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0) | Assicuratevi che AWS i segreti di Secrets Manager ruotino correttamente in base alla pianificazione di rotazione. Secrets Manager calcola la data in cui dovrebbe avvenire la rotazione. La regola è NON _ COMPLIANT se la data passa e il segreto non viene ruotato. | |
8.3.10.1 | Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che AWS i segreti di Secrets Manager siano stati ruotati nel numero di giorni specificato nell'ultimo numero di giorni specificato. La regola è NON _ COMPLIANT se un segreto non è stato ruotato per un numero di giorni superiore a quello di maxDaysSince rotazione. Il valore predefinito è 90 giorni. | |
8.3.11 | Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che una IAM policy ARN sia associata a un IAM utente o a un gruppo con uno o più IAM utenti o a un IAM ruolo con una o più entità attendibili. | |
8.3.11 | Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che le istanze Amazon Elastic Compute Cloud (EC2) in esecuzione non vengano avviate utilizzando coppie di chiavi Amazon. La regola è NON _ COMPLIANT se un'EC2istanza in esecuzione viene lanciata con una key pair. | |
8.3.2 | Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che un gruppo di lavoro Amazon Athena sia crittografato quando è inattivo. La regola è NON _ COMPLIANT se la crittografia dei dati inattivi non è abilitata per un gruppo di lavoro Athena. | |
8.3.2 | Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che un cluster Amazon Neptune DB abbia istantanee crittografate. La regola è NON _ COMPLIANT se un cluster Neptune non ha istantanee crittografate. | |
8.3.2 | Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che i cluster Amazon Redshift utilizzino una AWS chiave specifica del Key Management Service (AWS KMS) per la crittografia. La regola è COMPLIANT se la crittografia è abilitata e il cluster è crittografato con la chiave fornita nel kmsKeyArn parametro. La regola è NON _ COMPLIANT se il cluster non è crittografato o crittografato con un'altra chiave. | |
8.3.2 | Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che un AWS CodeBuild progetto abbia la crittografia abilitata per tutti i suoi artefatti. La regola è NON _ COMPLIANT se 'encryptionDisabled' è impostato su «true» per qualsiasi configurazione di artefatto principale o secondaria (se presente). | |
8.3.2 | Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che un AWS CodeBuild progetto configurato con Amazon S3 Logs abbia la crittografia abilitata per i log. La regola è NON _ COMPLIANT se '' è impostato su encryptionDisabled 'true' in un S3 di un progetto. LogsConfig CodeBuild | |
8.3.2 | Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che i cluster Amazon DynamoDB Accelerator DAX () siano crittografati. La regola è NON _ COMPLIANT se un DAX cluster non è crittografato. | |
8.3.2 | Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che gli endpoint AWS Database Migration Service (AWS DMS) per gli archivi dati Redis siano abilitati per TLS /la SSL crittografia dei dati comunicati con altri endpoint. La regola è NON _ COMPLIANT se la SSL crittografiaTLS/non è abilitata. | |
8.3.2 | Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che i cluster Amazon Elastic Kubernetes Service siano configurati per avere i segreti Kubernetes crittografati utilizzando le chiavi Key Management Service (). AWS KMS | |
8.3.2 | Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che tutti i metodi nelle fasi di Amazon API Gateway abbiano la cache abilitata e la cache sia crittografata. La regola è NON _ COMPLIANT se un metodo in una fase di Amazon API Gateway non è configurato per la cache o la cache non è crittografata. | |
8.3.2 | Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che la crittografia dello storage sia abilitata per i tuoi cluster Amazon DocumentDB (con compatibilità con MongoDB). La regola è NON _ COMPLIANT se la crittografia dello storage non è abilitata. | |
8.3.2 | Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che la tabella Amazon DynamoDB sia crittografata AWS con Key Management Service (). KMS La regola è NON _ COMPLIANT se la tabella Amazon DynamoDB non è crittografata con. AWS KMS La regola è anche NON _ COMPLIANT se la AWS KMS chiave crittografata non è presente nel parametro kmsKeyArns di input. | |
8.3.2 | Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che le tabelle Amazon DynamoDB siano crittografate e ne controlla lo stato. La regola è COMPLIANT se lo stato è abilitato o abilitato. | |
8.3.2 | Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che CloudFront le distribuzioni non utilizzino SSL protocolli obsoleti per la HTTPS comunicazione tra CloudFront edge location e origini personalizzate. Questa regola è NON _ COMPLIANT per una CloudFront distribuzione se esiste un '' include' '. OriginSslProtocols SSLv3 | |
8.3.2 | Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che CloudFront le distribuzioni Amazon crittografino il traffico verso origini personalizzate. La regola è NON _ COMPLIANT if' 'è 'http-only' o if'OriginProtocolPolicy' è 'match-viewer' e '' è 'allow-all'. OriginProtocolPolicy ViewerProtocolPolicy | |
8.3.2 | Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che le tue CloudFront distribuzioni Amazon utilizzino HTTPS (direttamente o tramite un reindirizzamento). La regola è NON _ COMPLIANT se il valore di ViewerProtocolPolicy è impostato su 'allow-all' per o per. DefaultCacheBehavior CacheBehaviors | |
8.3.2 | Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che il progetto DOES NOT contenga le variabili di ambiente AWS_ACCESS _ KEY _ID e AWS_SECRET _ _. ACCESS KEY La regola è NON _ COMPLIANT quando le variabili di ambiente del progetto contengono credenziali in chiaro. | |
8.3.2 | Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer. | |
8.3.2 | Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che il tuo cluster Amazon DynamoDB Accelerator DAX () sia impostato su. ClusterEndpointEncryptionType TLS La regola è NON _ COMPLIANT se un DAX cluster non è crittografato da Transport Layer Security (). TLS | |
8.3.2 | Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che EKS i cluster Amazon non siano configurati per utilizzare i segreti di Kubernetes crittografati. AWS KMS La regola è NON _ COMPLIANT se un EKS cluster non dispone di una encryptionConfig risorsa o se encryptionConfig non nomina i segreti come risorsa. | |
8.3.2 | Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che gli stream di Amazon Kinesis siano crittografati quando sono inattivi con crittografia lato server. La regola è NON _ COMPLIANT per uno stream Kinesis se 'StreamEncryption' non è presente. | |
8.3.2 | Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che un MSK cluster Amazon applichi la crittografia in transito utilizzando HTTPS (TLS) con i nodi broker del cluster. La regola è NON _ COMPLIANT se la comunicazione in testo semplice è abilitata per le connessioni dei nodi broker all'interno del cluster. | |
8.3.2 | Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che la crittografia dello storage sia abilitata per i tuoi cluster Amazon Neptune DB. La regola è NON _ COMPLIANT se la crittografia dello storage non è abilitata. | |
8.3.2 | Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che gli endpoint AWS Database Migration Service (AWS DMS) siano configurati con una SSL connessione. La regola è NON _ COMPLIANT se AWS DMS non è configurata una SSL connessione. | |
8.3.4 | Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che una policy sui bucket di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) non consenta azioni bloccate a livello di bucket e a livello di oggetto sulle risorse del bucket per i principali di altri account. AWS Ad esempio, la regola verifica che la policy del bucket di Amazon S3 non consenta a un altro AWS account di eseguire azioni s3: GetBucket * e s3: DeleteObject su qualsiasi oggetto nel bucket. La regola è NON _ COMPLIANT se le azioni bloccate sono consentite dalla policy sui bucket di Amazon S3. | |
8.3.4 | Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che le policy relative ai bucket di Amazon Simple Storage Service (S3) non consentano altre autorizzazioni tra account oltre alla policy del bucket di controllo di Amazon S3 fornita. | |
8.3.4 | Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che lo Shield Response Team (SRT) possa accedere al tuo AWS account. La regola è NON _ COMPLIANT se AWS Shield Advanced è abilitato ma il ruolo per SRT l'accesso non è configurato. | |
8.3.4 | Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che una IAM policy ARN sia associata a un IAM utente o a un gruppo con uno o più IAM utenti o a un IAM ruolo con una o più entità attendibili. | |
8.3.4 | Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che in un cluster Amazon Neptune sia abilitata l'autenticazione del AWS database Identity and Access Management IAM (). La regola è NON _ COMPLIANT se un cluster Amazon Neptune non IAM ha l'autenticazione del database abilitata. | |
8.3.4 | Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che in un cluster Amazon Relational Database Service (RDSAmazon) AWS sia abilitata l'autenticazione Identity and Access Management IAM (). La regola è NON _ COMPLIANT se un Amazon RDS Cluster non ha IAM l'autenticazione abilitata. | |
8.3.4 | Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che a un'EC2istanza sia associato un profilo AWS Identity and Access Management (IAM). La regola è NON _ COMPLIANT se non è associato alcun IAM profilo all'EC2istanza. | |
8.3.4 | Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che a un archivio di backup sia associata una politica basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. La regola è NON _ COMPLIANT se Backup Vault non dispone di policy basate sulle risorse o dispone di policy prive di un'istruzione 'Deny' appropriata (istruzione con autorizzazioni backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy | |
8.3.4 | Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che un'istanza di Amazon Relational Database Service (RDSAmazon) AWS abbia l'autenticazione Identity and Access Management IAM () abilitata. La regola è NON _ COMPLIANT se un'RDSistanza Amazon non ha IAM l'autenticazione abilitata. | |
8.3.5 | Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che le chiavi di IAM accesso attive vengano ruotate (modificate) entro il numero di giorni specificato in Age. maxAccessKey La regola è NON _ COMPLIANT se le chiavi di accesso non vengono ruotate entro il periodo di tempo specificato. Il valore predefinito è 90 giorni. | |
8.3.5 | Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0) | Assicuratevi che AWS i segreti di Secrets Manager ruotino correttamente in base alla pianificazione di rotazione. Secrets Manager calcola la data in cui dovrebbe avvenire la rotazione. La regola è NON _ COMPLIANT se la data passa e il segreto non viene ruotato. | |
8.3.5 | Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che AWS i segreti di Secrets Manager siano stati ruotati nel numero di giorni specificato nell'ultimo numero di giorni specificato. La regola è NON _ COMPLIANT se un segreto non è stato ruotato per un numero di giorni superiore a quello di maxDaysSince rotazione. Il valore predefinito è 90 giorni. | |
8.3.7 | Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che le chiavi di IAM accesso attive vengano ruotate (modificate) entro il numero di giorni specificato in Age. maxAccessKey La regola è NON _ COMPLIANT se le chiavi di accesso non vengono ruotate entro il periodo di tempo specificato. Il valore predefinito è 90 giorni. | |
8.3.7 | Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0) | Assicuratevi che AWS i segreti di Secrets Manager ruotino correttamente in base alla pianificazione di rotazione. Secrets Manager calcola la data in cui dovrebbe avvenire la rotazione. La regola è NON _ COMPLIANT se la data passa e il segreto non viene ruotato. | |
8.3.7 | Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che AWS i segreti di Secrets Manager siano stati ruotati nel numero di giorni specificato nell'ultimo numero di giorni specificato. La regola è NON _ COMPLIANT se un segreto non è stato ruotato per un numero di giorni superiore a quello di maxDaysSince rotazione. Il valore predefinito è 90 giorni. | |
8.3.9 | Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che le chiavi di IAM accesso attive vengano ruotate (modificate) entro il numero di giorni specificato in Age. maxAccessKey La regola è NON _ COMPLIANT se le chiavi di accesso non vengono ruotate entro il periodo di tempo specificato. Il valore predefinito è 90 giorni. | |
8.3.9 | Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0) | Assicuratevi che AWS i segreti di Secrets Manager ruotino correttamente in base alla pianificazione di rotazione. Secrets Manager calcola la data in cui dovrebbe avvenire la rotazione. La regola è NON _ COMPLIANT se la data passa e il segreto non viene ruotato. | |
8.3.9 | Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0) | Assicurati che AWS i segreti di Secrets Manager siano stati ruotati nel numero di giorni specificato nell'ultimo numero di giorni specificato. La regola è NON _ COMPLIANT se un segreto non è stato ruotato per un numero di giorni superiore a quello di maxDaysSince rotazione. Il valore predefinito è 90 giorni. | |
8.4.1 | L'autenticazione a più fattori (MFA) è implementata per proteggere l'accesso a. CDE (PCI- DSS -v4.0) | Assicurati che MFA Delete sia abilitato nella configurazione del versionamento del bucket Amazon Simple Storage Service (Amazon S3). La regola è NON _ COMPLIANT se MFA Delete non è abilitato. | |
8.4.2 | L'autenticazione a più fattori (MFA) è implementata per proteggere l'accesso a. CDE (PCI- DSS -v4.0) | Assicurati che MFA Delete sia abilitato nella configurazione del versionamento del bucket Amazon Simple Storage Service (Amazon S3). La regola è NON _ COMPLIANT se MFA Delete non è abilitato. | |
8.4.3 | L'autenticazione a più fattori (MFA) è implementata per proteggere l'accesso a. CDE (PCI- DSS -v4.0) | Assicurati che MFA Delete sia abilitato nella configurazione del versionamento del bucket Amazon Simple Storage Service (Amazon S3). La regola è NON _ COMPLIANT se MFA Delete non è abilitato. | |
8.6.3 | L'uso degli account di applicazione e di sistema e dei relativi fattori di autenticazione è gestito rigorosamente. (PCI- DSS -v4.0) | Assicurati che le chiavi di IAM accesso attive vengano ruotate (modificate) entro il numero di giorni specificato in Age. maxAccessKey La regola è NON _ COMPLIANT se le chiavi di accesso non vengono ruotate entro il periodo di tempo specificato. Il valore predefinito è 90 giorni. | |
8.6.3 | L'uso degli account di applicazione e di sistema e dei relativi fattori di autenticazione è gestito rigorosamente. (PCI- DSS -v4.0) | Assicuratevi che AWS i segreti di Secrets Manager ruotino correttamente in base alla pianificazione di rotazione. Secrets Manager calcola la data in cui dovrebbe avvenire la rotazione. La regola è NON _ COMPLIANT se la data passa e il segreto non viene ruotato. | |
8.6.3 | L'uso degli account di applicazione e di sistema e dei relativi fattori di autenticazione è gestito rigorosamente. (PCI- DSS -v4.0) | Assicurati che AWS i segreti di Secrets Manager siano stati ruotati nel numero di giorni specificato nell'ultimo numero di giorni specificato. La regola è NON _ COMPLIANT se un segreto non è stato ruotato per un numero di giorni superiore a quello di maxDaysSince rotazione. Il valore predefinito è 90 giorni. | |
A1.1.2 | I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0) | Assicurati che uno snapshot manuale del cluster DB di Amazon Neptune non sia pubblico. La regola è NON _ COMPLIANT se qualsiasi istantanea del cluster Neptune esistente e nuova è pubblica. | |
A1.1.2 | I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0) | Assicurati che le istantanee manuali dei cluster di Amazon DocumentDB non siano pubbliche. La regola è NON _ COMPLIANT se alcune istantanee manuali del cluster di Amazon DocumentDB sono pubbliche. | |
A1.1.2 | I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0) | Assicurati che a un archivio di backup sia associata una politica basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. La regola è NON _ COMPLIANT se Backup Vault non dispone di policy basate sulle risorse o dispone di policy prive di un'istruzione 'Deny' appropriata (istruzione con autorizzazioni backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy | |
A1.1.2 | I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0) | Assicurati che su un account Amazon EMR siano abilitate le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se BlockPublicSecurityGroupRules è falsa o, se è vera, sono elencate le porte diverse dalla porta 22 PermittedPublicSecurityGroupRuleRanges. | |
A1.1.2 | I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0) | Assicurati che i punti di accesso Amazon S3 abbiano abilitato le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se le impostazioni di blocco dell'accesso pubblico non sono abilitate per i punti di accesso S3. | |
A1.1.2 | I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0) | Assicurati che le impostazioni richieste per il blocco di accesso pubblico siano configurate a livello di account. La regola è NON _ solo COMPLIANT quando i campi impostati di seguito non corrispondono ai campi corrispondenti nell'elemento di configurazione. | |
A1.1.2 | I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0) | Assicurati che MFA Delete sia abilitato nella configurazione del versionamento del bucket Amazon Simple Storage Service (Amazon S3). La regola è NON _ COMPLIANT se MFA Delete non è abilitato. | |
A1.1.3 | I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0) | Assicurati che Amazon API Gateway APIs sia del tipo specificato nel parametro della regola 'endpointConfigurationType'. La regola restituisce NON _ COMPLIANT se REST API non corrisponde al tipo di endpoint configurato nel parametro della regola. | |
A1.1.3 | I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0) | Assicurati che CloudFront le distribuzioni Amazon siano associate a Web Application Firewall (WAF) o WAFv2 Web Access Control List (ACLs). La regola è NON _ COMPLIANT se una CloudFront distribuzione non è associata a un WAF webACL. | |
A1.1.3 | I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0) | Assicurati che il certificato associato a una CloudFront distribuzione Amazon non sia il SSL certificato predefinito. La regola è NON _ COMPLIANT se una CloudFront distribuzione utilizza il SSL certificato predefinito. | |
A1.1.3 | I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0) | Assicurati che una policy AWS Network Firewall sia configurata con un'azione predefinita stateless definita dall'utente per i pacchetti frammentati. La regola è NON _ COMPLIANT se l'azione predefinita senza stato per i pacchetti frammentati non corrisponde all'azione predefinita definita dall'utente. | |
A1.1.3 | I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0) | Assicurati che i gruppi di sicurezza DB di Amazon Relational Database Service (RDSAmazon) siano quelli predefiniti. La regola è NON _ COMPLIANT se ci sono gruppi di sicurezza DB che non sono il gruppo di sicurezza DB predefinito. | |
A1.1.3 | I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0) | Assicurati che i gateway di transito di Amazon Elastic Compute Cloud (AmazonEC2) non abbiano «AutoAcceptSharedAttachments» abilitato. La regola è NON _ COMPLIANT per un Transit Gateway se 'AutoAcceptSharedAttachments' è impostato su 'abilita'. | |
A1.1.3 | I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0) | Assicurati che l'endpoint Amazon Elastic Kubernetes Service (EKSAmazon) non sia accessibile al pubblico. La regola è NON _ COMPLIANT se l'endpoint è accessibile pubblicamente. | |
A1.1.3 | I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0) | Nota: per questa regola, l'identificatore della regola (INCOMING_ SSH _DISABLED) e il nome della regola (restricted-ssh) sono diversi. Assicurati che il SSH traffico in entrata per i gruppi di sicurezza sia accessibile. La regola è COMPLIANT se gli indirizzi IP del SSH traffico in entrata nei gruppi di sicurezza sono limitati (CIDRdiversi da 0.0.0.0/0 o: :/0). Altrimenti, _. NON COMPLIANT | |
A1.1.3 | I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0) | Assicurati che AWS AppSync APIs siano associati agli elenchi di controllo degli accessi AWS WAFv2 Web ()ACLs. La regola è NON _ COMPLIANT per un AWS AppSync API se non è associata a un webACL. | |
A1.1.3 | I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0) | Assicurati che le istantanee manuali dei cluster di Amazon DocumentDB non siano pubbliche. La regola è NON _ COMPLIANT se alcune istantanee manuali del cluster di Amazon DocumentDB sono pubbliche. | |
A1.1.3 | I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0) | Assicurati che l'archivio di origine di Bitbucket URL DOES NOT contenga o meno le credenziali di accesso. La regola è NON _ COMPLIANT se URL contiene informazioni di accesso e in caso contrario. COMPLIANT | |
A1.1.3 | I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0) | Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer. | |
A1.1.3 | I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0) | Assicurati che su un account Amazon EMR siano abilitate le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se BlockPublicSecurityGroupRules è falsa o, se è vera, sono elencate le porte diverse dalla porta 22 PermittedPublicSecurityGroupRuleRanges. | |
A1.1.3 | I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0) | Assicuratevi che le porte predefinite per il traffico SSH /in RDP ingresso per le liste di controllo degli accessi alla rete (NACLs) siano limitate. La regola è NON _ COMPLIANT se una voce NACL in entrata consente una sorgente TCP o un UDP CIDR blocco per le porte 22 o 3389. | |
A1.1.3 | I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0) | Assicuratevi che un Web WAF globale ACL contenga alcune WAF regole o gruppi di regole. Questa regola è NON _ COMPLIANT se un Web ACL non contiene alcuna WAF regola o gruppo di regole. | |
A1.1.3 | I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0) | Assicuratevi che un gruppo di regole AWS WAF Classic contenga alcune regole. La regola è NON _ COMPLIANT se non ci sono regole presenti all'interno di un gruppo di regole. | |
A1.1.3 | I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0) | Assicurati che una regola AWS WAF globale contenga alcune condizioni. La regola è NON _ COMPLIANT se non sono presenti condizioni all'interno della regola WAF globale. | |
A1.1.3 | I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0) | Assicurati che le regole di VPN autorizzazione AWS del client non autorizzino l'accesso alla connessione per tutti i client. La regola è NON _ COMPLIANT se 'AccessAll' è presente e impostato su true. | |
A1.1.3 | I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0) | Assicurati che i gateway Internet siano collegati a un cloud privato virtuale autorizzato (AmazonVPC). La regola è NON _ COMPLIANT se i gateway Internet sono collegati a un sito non autorizzato. VPC | |
A1.1.3 | I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0) | Assicurati che i punti di accesso Amazon S3 abbiano abilitato le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se le impostazioni di blocco dell'accesso pubblico non sono abilitate per i punti di accesso S3. | |
A1.1.3 | I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0) | Assicurati che le impostazioni richieste per il blocco di accesso pubblico siano configurate a livello di account. La regola è NON _ solo COMPLIANT quando i campi impostati di seguito non corrispondono ai campi corrispondenti nell'elemento di configurazione. | |
A1.2.1 | I fornitori di servizi multi-tenant facilitano la registrazione e la risposta agli incidenti per tutti i clienti. (- -v4.0) PCI DSS | Assicurati che le fasi di Amazon API Gateway V2 abbiano la registrazione degli accessi abilitata. La regola è NON _ COMPLIANT se 'accessLogSettings' non è presente nella configurazione Stage. | |
A1.2.1 | I fornitori di servizi multi-tenant facilitano la registrazione e la risposta agli incidenti per tutti i clienti. (- -v4.0) PCI DSS | Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT | |
A1.2.1 | I fornitori di servizi multi-tenant facilitano la registrazione e la risposta agli incidenti per tutti i clienti. (- -v4.0) PCI DSS | Assicurati che CloudFront le distribuzioni Amazon siano configurate per fornire log di accesso a un bucket Amazon S3. La regola è NON _ COMPLIANT se per una CloudFront distribuzione non è configurata la registrazione. | |
A1.2.1 | I fornitori di servizi multi-tenant facilitano la registrazione e la risposta agli incidenti per tutti i clienti. (- -v4.0) PCI DSS | Assicurati che esista almeno un AWS CloudTrail percorso definito con le migliori pratiche di sicurezza. Questa regola si COMPLIANT applica se esiste almeno un percorso che soddisfa tutti i seguenti requisiti: | |
A1.2.1 | I fornitori di servizi multi-tenant facilitano la registrazione e la risposta agli incidenti per tutti i clienti. (- -v4.0) PCI DSS | Assicurati che in un cluster CloudWatch Amazon Neptune sia abilitata l'esportazione dei log per i log di controllo. La regola è NON _ COMPLIANT se un cluster Neptune non ha l'esportazione dei log abilitata per CloudWatch i log di controllo. | |
A1.2.1 | I fornitori di servizi multi-tenant facilitano la registrazione e la risposta agli incidenti per tutti i clienti. (- -v4.0) PCI DSS | Assicurati che logConfiguration sia impostato su ECS Task Definitions attive. Questa regola è NON _ COMPLIANT se per un elemento attivo ECSTaskDefinition non è definita la logConfiguration risorsa o se il valore per logConfiguration è nullo in almeno una definizione di contenitore. | |
A1.2.1 | I fornitori di servizi multi-tenant facilitano la registrazione e la risposta agli incidenti per tutti i clienti. (- -v4.0) PCI DSS | Nota: per questa regola, l'identificatore della regola (CLOUD_ TRAIL _ENABLED) e il nome della regola (cloudtrail-enabled) sono diversi. Assicurati che nel tuo account sia AWS CloudTrail abilitato un percorso. AWS La regola è NON _ COMPLIANT se un trail non è abilitato. Facoltativamente, la regola controlla uno specifico bucket S3, un argomento di Amazon Simple Notification Service (AmazonSNS) e CloudWatch un gruppo di log. | |
A1.2.1 | I fornitori di servizi multi-tenant facilitano la registrazione e la risposta agli incidenti per tutti i clienti. (- -v4.0) PCI DSS | Nota: per questa regola, l'identificatore della regola (MULTI_ _ _ _ REGION CLOUD TRAIL _ENABLED) e il nome della regola (multi-region-cloudtrail-enabled) sono diversi. Assicurati che esista almeno una regione AWS CloudTrail multipla. La regola è NON _ COMPLIANT se i percorsi non corrispondono ai parametri di input. La regola è NON _ COMPLIANT se il ExcludeManagementEventSources campo non è vuoto o se AWS CloudTrail è configurato per escludere eventi di gestione come AWS KMS eventi o API eventi Amazon RDS Data. | |
A1.2.1 | I fornitori di servizi multi-tenant facilitano la registrazione e la risposta agli incidenti per tutti i clienti. (- -v4.0) PCI DSS | Assicurati che an AWS AppSync API abbia la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione non è abilitata, oppure 'fieldLogLevel' non è né l'una né l'altraERROR. ALL | |
A1.2.1 | I fornitori di servizi multi-tenant facilitano la registrazione e la risposta agli incidenti per tutti i clienti. (- -v4.0) PCI DSS | Assicurati che la registrazione sia abilitata nelle AWS WAF classiche liste globali di controllo degli accessi Web (web). ACLs La regola è NON _ COMPLIANT per un Web globaleACL, se non ha la registrazione abilitata. | |
A1.2.1 | I fornitori di servizi multi-tenant facilitano la registrazione e la risposta agli incidenti per tutti i clienti. (- -v4.0) PCI DSS | Assicurati che i broker Amazon MQ abbiano abilitato la registrazione CloudWatch di audit di Amazon. La regola è NON _ COMPLIANT se un broker non ha abilitato la registrazione di controllo. | |
A1.2.1 | I fornitori di servizi multi-tenant facilitano la registrazione e la risposta agli incidenti per tutti i clienti. (- -v4.0) PCI DSS | Assicurati che un broker Amazon MQ abbia abilitato la registrazione di CloudWatch controllo. La regola è NON _ COMPLIANT se il broker non ha abilitato la registrazione di controllo. | |
A1.2.1 | I fornitori di servizi multi-tenant facilitano la registrazione e la risposta agli incidenti per tutti i clienti. (- -v4.0) PCI DSS | Assicurati che un cluster Amazon Elastic Kubernetes Service (EKSAmazon) sia configurato con la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione per EKS i cluster Amazon non è abilitata per tutti i tipi di log. | |
A1.2.1 | I fornitori di servizi multi-tenant facilitano la registrazione e la risposta agli incidenti per tutti i clienti. (- -v4.0) PCI DSS | Assicurati che gli ambienti AWS Elastic Beanstalk siano configurati per inviare log ad Amazon Logs. CloudWatch La regola è NON _ COMPLIANT se il valore di `` è falso. StreamLogs | |
A1.2.1 | I fornitori di servizi multi-tenant facilitano la registrazione e la risposta agli incidenti per tutti i clienti. (- -v4.0) PCI DSS | Assicurarsi che la macchina AWS Step Functions abbia la registrazione abilitata. La regola è NON _ COMPLIANT se una macchina a stati non ha la registrazione abilitata o la configurazione di registrazione non è al livello minimo fornito. | |
A1.2.1 | I fornitori di servizi multi-tenant facilitano la registrazione e la risposta agli incidenti per tutti i clienti. (- -v4.0) PCI DSS | Assicurati che i firewall AWS Network Firewall abbiano la registrazione abilitata. La regola è NON _ COMPLIANT se un tipo di registrazione non è configurato. Puoi specificare il tipo di registrazione di log che desideri venga verificato dalla regola. | |
A1.2.3 | I fornitori di servizi multi-tenant facilitano la registrazione e la risposta agli incidenti per tutti i clienti. (- -v4.0) PCI DSS | Assicurati di aver fornito le informazioni di contatto di sicurezza per i contatti del tuo AWS account. La regola è NON _ COMPLIANT se non vengono fornite le informazioni di contatto di sicurezza all'interno dell'account. | |
A3.2.5.1 | PCIDSSl'ambito è documentato e convalidato. (PCI- DSS -v4.0) | Assicurati che il rilevamento automatico dei dati sensibili sia abilitato per Amazon Macie. La regola è NON _ COMPLIANT se il rilevamento automatico dei dati sensibili è disabilitato. La regola è APPLICABLE per gli account amministratore e NOT _ APPLICABLE per gli account dei membri. | |
A3.2.5.1 | PCIDSSl'ambito è documentato e convalidato. (PCI- DSS -v4.0) | Assicurati che Amazon Macie sia abilitato nel tuo account per regione. La regola è NON _ COMPLIANT se l'attributo 'status' non è impostato su 'ENABLED'. | |
A3.2.5.2 | PCIDSSl'ambito è documentato e convalidato. (PCI- DSS -v4.0) | Assicurati che il rilevamento automatico dei dati sensibili sia abilitato per Amazon Macie. La regola è NON _ COMPLIANT se il rilevamento automatico dei dati sensibili è disabilitato. La regola è APPLICABLE per gli account amministratore e NOT _ APPLICABLE per gli account dei membri. | |
A3.2.5.2 | PCIDSSl'ambito è documentato e convalidato. (PCI- DSS -v4.0) | Assicurati che Amazon Macie sia abilitato nel tuo account per regione. La regola è NON _ COMPLIANT se l'attributo 'status' non è impostato su 'ENABLED'. | |
A3.3.1 | PCIDSSè incorporato nelle attività business-as-usual (BAU). (PCI- DSS -v4.0) | Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT | |
A3.3.1 | PCIDSSè incorporato nelle attività business-as-usual (BAU). (PCI- DSS -v4.0) | Assicurati che i tuoi CloudFormation stack inviino notifiche di eventi a un SNS argomento di Amazon. Facoltativamente, assicurati che vengano utilizzati SNS gli argomenti Amazon specificati. La regola è NON _ COMPLIANT se gli CloudFormation stack non inviano notifiche. | |
A3.3.1 | PCIDSSè incorporato nelle attività business-as-usual (BAU). (PCI- DSS -v4.0) | Assicurati che il monitoraggio dettagliato sia abilitato per le EC2 istanze. La regola è NON _ COMPLIANT se il monitoraggio dettagliato non è abilitato. | |
A3.3.1 | PCIDSSè incorporato nelle attività business-as-usual (BAU). (PCI- DSS -v4.0) | Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale. | |
A3.3.1 | PCIDSSè incorporato nelle attività business-as-usual (BAU). (PCI- DSS -v4.0) | Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale. | |
A3.3.1 | PCIDSSè incorporato nelle attività business-as-usual (BAU). (PCI- DSS -v4.0) | Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale. | |
A3.3.1 | PCIDSSè incorporato nelle attività business-as-usual (BAU). (PCI- DSS -v4.0) | Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale. | |
A3.3.1 | PCIDSSè incorporato nelle attività business-as-usual (BAU). (PCI- DSS -v4.0) | Assicurati che un tipo di risorsa abbia un CloudWatch allarme per la metrica indicata. Per il tipo di risorsa, puoi specificare EBS volumi, EC2 istanze, RDS cluster Amazon o bucket S3. La regola è COMPLIANT se la metrica indicata ha un ID di risorsa e un allarme. CloudWatch | |
A3.3.1 | PCIDSSè incorporato nelle attività business-as-usual (BAU). (PCI- DSS -v4.0) | Assicurati che gli CloudWatch allarmi con il nome della metrica specificato abbiano le impostazioni specificate. | |
A3.3.1 | PCIDSSè incorporato nelle attività business-as-usual (BAU). (PCI- DSS -v4.0) | Assicurati che la raccolta CloudWatch dei parametri di sicurezza di Amazon sui gruppi di AWS WAFv2 regole sia abilitata. La regola è NON _ COMPLIANT se '. VisibilityConfig CloudWatchMetricsEnabled'field è impostato su false. | |
A3.3.1 | PCIDSSè incorporato nelle attività business-as-usual (BAU). (PCI- DSS -v4.0) | Assicurati che la registrazione di Amazon Simple Notification Service (SNS) sia abilitata per lo stato di consegna dei messaggi di notifica inviati a un argomento per gli endpoint. La regola è NON _ COMPLIANT se la notifica dello stato di consegna dei messaggi non è abilitata. | |
A3.4.1 | L'accesso logico all'ambiente dei dati del titolare della carta è controllato e gestito. (PCI- DSS -v4.0) | Assicurati che uno snapshot manuale del cluster DB di Amazon Neptune non sia pubblico. La regola è NON _ COMPLIANT se qualsiasi istantanea del cluster Neptune esistente e nuova è pubblica. | |
A3.4.1 | L'accesso logico all'ambiente dei dati del titolare della carta è controllato e gestito. (PCI- DSS -v4.0) | Assicurati che le istantanee manuali dei cluster di Amazon DocumentDB non siano pubbliche. La regola è NON _ COMPLIANT se alcune istantanee manuali del cluster di Amazon DocumentDB sono pubbliche. | |
A3.4.1 | L'accesso logico all'ambiente dei dati del titolare della carta è controllato e gestito. (PCI- DSS -v4.0) | Assicurati che a un archivio di backup sia associata una politica basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. La regola è NON _ COMPLIANT se Backup Vault non dispone di policy basate sulle risorse o dispone di policy prive di un'istruzione 'Deny' appropriata (istruzione con autorizzazioni backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy | |
A3.4.1 | L'accesso logico all'ambiente dei dati del titolare della carta è controllato e gestito. (PCI- DSS -v4.0) | Assicurati che su un account Amazon EMR siano abilitate le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se BlockPublicSecurityGroupRules è falsa o, se è vera, sono elencate le porte diverse dalla porta 22 PermittedPublicSecurityGroupRuleRanges. | |
A3.4.1 | L'accesso logico all'ambiente dei dati del titolare della carta è controllato e gestito. (PCI- DSS -v4.0) | Assicurati che AWS sia stato effettuato l'accesso ai segreti di Secrets Manager entro un determinato numero di giorni. La regola è NON _ COMPLIANT se non si accede a un segreto da 'unusedForDays' un numero di giorni. Il valore predefinito è 90 giorni. | |
A3.4.1 | L'accesso logico all'ambiente dei dati del titolare della carta è controllato e gestito. (PCI- DSS -v4.0) | Assicurati che i punti di accesso Amazon S3 abbiano abilitato le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se le impostazioni di blocco dell'accesso pubblico non sono abilitate per i punti di accesso S3. | |
A3.4.1 | L'accesso logico all'ambiente dei dati del titolare della carta è controllato e gestito. (PCI- DSS -v4.0) | Assicurati che le impostazioni richieste per il blocco di accesso pubblico siano configurate a livello di account. La regola è NON _ solo COMPLIANT quando i campi impostati di seguito non corrispondono ai campi corrispondenti nell'elemento di configurazione. | |
A3.4.1 | L'accesso logico all'ambiente dei dati del titolare della carta è controllato e gestito. (PCI- DSS -v4.0) | Assicurati che MFA Delete sia abilitato nella configurazione del versionamento del bucket Amazon Simple Storage Service (Amazon S3). La regola è NON _ COMPLIANT se MFA Delete non è abilitato. | |
A3.5.1 | Gli eventi sospetti vengono identificati e risolti. (PCI- DSS -v4.0) | Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT | |
A3.5.1 | Gli eventi sospetti vengono identificati e risolti. (PCI- DSS -v4.0) | Assicurati che i tuoi CloudFormation stack inviino notifiche di eventi a un SNS argomento di Amazon. Facoltativamente, assicurati che vengano utilizzati SNS gli argomenti Amazon specificati. La regola è NON _ COMPLIANT se gli CloudFormation stack non inviano notifiche. | |
A3.5.1 | Gli eventi sospetti vengono identificati e risolti. (PCI- DSS -v4.0) | Assicurati che il monitoraggio dettagliato sia abilitato per le EC2 istanze. La regola è NON _ COMPLIANT se il monitoraggio dettagliato non è abilitato. | |
A3.5.1 | Gli eventi sospetti vengono identificati e risolti. (PCI- DSS -v4.0) | Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale. | |
A3.5.1 | Gli eventi sospetti vengono identificati e risolti. (PCI- DSS -v4.0) | Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale. | |
A3.5.1 | Gli eventi sospetti vengono identificati e risolti. (PCI- DSS -v4.0) | Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale. | |
A3.5.1 | Gli eventi sospetti vengono identificati e risolti. (PCI- DSS -v4.0) | Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale. | |
A3.5.1 | Gli eventi sospetti vengono identificati e risolti. (PCI- DSS -v4.0) | Assicurati che un tipo di risorsa abbia un CloudWatch allarme per la metrica indicata. Per il tipo di risorsa, puoi specificare EBS volumi, EC2 istanze, RDS cluster Amazon o bucket S3. La regola è COMPLIANT se la metrica indicata ha un ID di risorsa e un allarme. CloudWatch | |
A3.5.1 | Gli eventi sospetti vengono identificati e risolti. (PCI- DSS -v4.0) | Assicurati che gli CloudWatch allarmi con il nome della metrica specificato abbiano le impostazioni specificate. | |
A3.5.1 | Gli eventi sospetti vengono identificati e risolti. (PCI- DSS -v4.0) | Assicurati che la raccolta CloudWatch dei parametri di sicurezza di Amazon sui gruppi di AWS WAFv2 regole sia abilitata. La regola è NON _ COMPLIANT se '. VisibilityConfig CloudWatchMetricsEnabled'field è impostato su false. | |
A3.5.1 | Gli eventi sospetti vengono identificati e risolti. (PCI- DSS -v4.0) | Assicurati che la registrazione di Amazon Simple Notification Service (SNS) sia abilitata per lo stato di consegna dei messaggi di notifica inviati a un argomento per gli endpoint. La regola è NON _ COMPLIANT se la notifica dello stato di consegna dei messaggi non è abilitata. |
Modello
Il modello è disponibile su GitHub: Operational Best Practices for PCI DSS 4.0 (compresi i tipi di risorse globali)