Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Best practice operative per NYDFS 23
I Conformance Pack forniscono un framework di conformità generico progettato per consentire di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando regole gestite o personalizzate e azioni correttive. AWS Config AWS Config I pacchetti di conformità, in quanto modelli di esempio, non sono pensati per garantire la piena conformità a uno specifico standard di governance o conformità. È tua responsabilità valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.
Di seguito viene fornito un esempio di mappatura tra i requisiti di sicurezza informatica del Dipartimento dei Servizi Finanziari dello Stato di New York (NYDFS) per le società di servizi finanziari (23 NYCRR 500) e le regole di Config gestite. AWS Ogni AWS Config regola si applica a una AWS risorsa specifica e si riferisce a uno o più controlli del NYDFS degli Stati Uniti. Un controllo US NYDFS 23 NYCRR 500 può essere correlato a più regole Config. Consulta la tabella seguente per maggiori dettagli e indicazioni relativi a queste mappature.
| ID controllo | Descrizione del controllo | AWS Regola di Config | Linea guida |
|---|---|---|---|
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Garantisci la protezione dell'integrità della rete assicurando che i certificati X509 vengano emessi da ACM. AWS Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore per daysToExpiration (valore AWS Foundational Security Best Practices: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per la cache della fase Gateway API. Per proteggere i dati sensibili che possono essere acquisiti per il metodo API, è necessario attivare la crittografia a riposo. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CloudTrail percorsi. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi Amazon CloudWatch Log Groups. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch OpenSearch Service (Service). | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Per aiutare a proteggere i dati a riposo, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo nelle istanze Amazon RDS, abilita la crittografia a riposo per proteggere tali dati. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo endpoint. SageMaker Poiché nell' SageMaker endpoint possono esistere dati sensibili inattivi, abilita la crittografia a riposo per proteggere tali dati. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo SageMaker notebook. Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Per proteggere i dati archiviati, assicurati che gli argomenti di Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia AWS tramite Key Management Service AWS (KMS). Data la possibile presenza di dati sensibili a riposo nei messaggi pubblicati, abilita la crittografia a riposo per proteggere tali dati. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Assicurati che i tuoi Elastic Load Balancer (ELB) siano configurati per eliminare le intestazioni http. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i flussi di Amazon Kinesis. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei log. CloudTrail La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | La scalabilità automatica di Amazon DynamoDB utilizza il servizio Application AWS Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura e scrittura assegnata per gestire improvvisi aumenti di traffico, senza alcuna limitazione (della larghezza di banda della rete). | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Questa regola garantisce che per Elastic Load Balancing sia abilitata la protezione da eliminazione. Utilizza questa funzionalità per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Il supporto multi-AZ in Amazon Relational Database Service (Amazon RDS) offre disponibilità e durabilità avanzate per le istanze database. Quando esegui il provisioning di un'istanza database multi-AZ, Amazon RDS crea automaticamente un'istanza database primaria e replica in modo sincrono i dati in un'istanza standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completato. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Assicurati che il blocco sia abilitato, per impostazione predefinita, per il bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket S3, applica i blocchi degli oggetti a riposo per proteggere tali dati. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | È possibile implementare tunnel VPN sito-sito ridondanti per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso in cui una delle connessioni VPN sito-sito non sia disponibile. Per evitare la perdita di connettività nel caso in cui il gateway del cliente non sia più disponibile, puoi configurare una seconda connessione VPN sito-sito al tuo Amazon Virtual Private Cloud (Amazon VPC) e al gateway privato virtuale utilizzando un secondo dispositivo gateway del cliente. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Abilita il bilanciamento del carico tra zone per gli Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Assicurati che per le istanze di Amazon Relational Database Service (Amazon RDS) sia abilitata la protezione da eliminazione. Utilizza la protezione da eliminazione per evitare che le istanze Amazon RDS vengano eliminate accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Assicurati che le fasi REST API del Gateway Amazon API siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare la provenienza delle richieste dal Gateway API. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | I controlli dell'integrità Elastic Load Balancer (ELB) per i gruppi con dimensionamento automatico Amazon Elastic Compute Cloud (Amazon EC2) supportano il mantenimento di capacità e disponibilità adeguate. Periodicamente, il sistema di bilanciamento del carico invia ping, effettua tentativi di connessione o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo con dimensionamento automatico. Se un'istanza non risponde, il traffico viene inviato a una nuova istanza Amazon EC2. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò può consentire un accesso non intenzionale alle applicazioni o ai server. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Assicurati che la crittografia sia abilitata per i punti AWS di ripristino del Backup. Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | AWS La reportistica avanzata sullo stato di Elastic Beanstalk consente una risposta più rapida ai cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione. Il reporting avanzato sull'integrità di Elastic Beanstalk fornisce un descrittore dello stato per valutare la gravità dei problemi identificati e per individuare le possibili cause su cui indagare. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Data la possibile presenza di dati sensibili a riposo in queste tabelle, abilita la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con AWS una chiave master del cliente (CMK) di proprietà. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Abilita questa regola per migliorare il monitoraggio delle istanze Amazon Elastic Compute Cloud (Amazon EC2) sulla console Amazon EC2, che visualizza grafici di monitoraggio relativi all'istanza a intervalli di 1 minuto. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni su account, risorse e processi interni. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 500.02(a) | (a) Programma di cibersicurezza. Ogni entità coperta deve mantenere un programma di cibersicurezza concepito per proteggere la riservatezza, l'integrità e la disponibilità dei suoi sistemi informativi. | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CodeBuild artefatti. | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base ai permessi associati o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti indicati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | Abilita questa regola per limitare l'accesso alle risorse nel AWS cloud. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Riduci gli incidenti dovuti alla compromissione degli account richiedendo l'autenticazione a più fattori per gli utenti. | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che la MFA hardware sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | Gestisci l'accesso al AWS cloud abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 sia limitato dai AWS principali, dagli utenti federati, dai responsabili del servizio, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti. | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | Assicurati che il metodo del servizio di metadati di istanza versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, puoi implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) in un Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Questa configurazione non richiede un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni. | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | AWS WAF consente di configurare un insieme di regole (chiamate elenco di controllo degli accessi Web (Web ACL)) che consentono, bloccano o contano le richieste Web in base a regole e condizioni di sicurezza Web personalizzabili definite dall'utente. La fase Gateway Amazon API deve essere associata a un ACL web WAF per garantire la protezione da attacchi dannosi. | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | Assicurati che le tabelle di routing di Amazon EC2 non abbiano percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno degli Amazon VPC può ridurre gli accessi non intenzionali all'interno del tuo ambiente. | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni su account, risorse e processi interni. | |
| 500.02(b)(2) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (2) utilizzare un'infrastruttura difensiva e attuare policy e procedure per proteggere i sistemi informativi dell'entità coperta e le informazioni non pubbliche archiviate in tali sistemi da accessi e usi non autorizzati o altri atti dannosi. | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| 500.02(b)(3) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (3) rilevare gli eventi di cibersicurezza. | Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| 500.02(b)(3) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (3) rilevare gli eventi di cibersicurezza. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| 500.02(b)(3) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (3) rilevare gli eventi di cibersicurezza. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| 500.02(b)(3) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (3) rilevare gli eventi di cibersicurezza. | La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti. | |
| 500.02(b)(3) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (3) rilevare gli eventi di cibersicurezza. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| 500.02(b)(3) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (3) rilevare gli eventi di cibersicurezza. | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| 500.02(b)(3) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (3) rilevare gli eventi di cibersicurezza. | Per acquisire informazioni sulle connessioni e sulle attività degli utenti nel tuo cluster Amazon Redshift, assicurati che la registrazione di log di audit sia abilitata. | |
| 500.02(b)(3) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (3) rilevare gli eventi di cibersicurezza. | Abilita questa regola per migliorare il monitoraggio delle istanze Amazon Elastic Compute Cloud (Amazon EC2) sulla console Amazon EC2, che visualizza grafici di monitoraggio relativi all'istanza a intervalli di 1 minuto. | |
| 500.02(b)(3) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (3) rilevare gli eventi di cibersicurezza. | Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee di base dei livelli di patch del sistema operativo, delle installazioni software, delle configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
| 500.02(b)(3) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (3) rilevare gli eventi di cibersicurezza. | Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e per diagnosticare i problemi di disponibilità. | |
| 500.02(b)(3) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (3) rilevare gli eventi di cibersicurezza. | Abilita Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità di Amazon RDS. Ciò fornisce una visibilità dettagliata sullo stato delle istanze database Amazon RDS. Quando l'archiviazione di Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ogni dispositivo. Inoltre, quando l'istanza database Amazon RDS è in esecuzione in una implementazione multi-AZ, vengono raccolti i dati per ogni dispositivo sull'host secondario e le metriche dell'host secondario. | |
| 500.02(b)(3) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (3) rilevare gli eventi di cibersicurezza. | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono Account AWS le informazioni relative all'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| 500.02(b)(3) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (3) rilevare gli eventi di cibersicurezza. | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| 500.02(b)(3) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (3) rilevare gli eventi di cibersicurezza. | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| 500.02(b)(3) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (3) rilevare gli eventi di cibersicurezza. | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| 500.02(b)(3) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (3) rilevare gli eventi di cibersicurezza. | Assicurati che la registrazione di controllo sia abilitata sui tuoi domini Amazon OpenSearch Service. La registrazione di controllo ti consente di tenere traccia delle attività degli utenti sui tuoi OpenSearch domini, compresi i successi e gli errori di autenticazione, le richieste, le modifiche all'indicizzazione e le query di OpenSearch ricerca in arrivo. | |
| 500.02(b)(3) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (3) rilevare gli eventi di cibersicurezza. | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| 500.02(b)(3) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (3) rilevare gli eventi di cibersicurezza. | Assicurati che la registrazione AWS CodeBuild del progetto sia abilitata in modo che i log di output della build vengano inviati ad Amazon o CloudWatch Amazon Simple Storage Service (Amazon S3). I log di output della build forniscono informazioni dettagliate sul progetto di build. | |
| 500.02(b)(3) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (3) rilevare gli eventi di cibersicurezza. | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| 500.02(b)(3) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (3) rilevare gli eventi di cibersicurezza. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) su ACL Web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| 500.02(b)(3) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (3) rilevare gli eventi di cibersicurezza. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 500.02(b)(5) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (5) eseguire il ripristino in seguito a eventi di cibersicurezza e riprendere le operazioni e i servizi consueti. | La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot di archiviazione del volume dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| 500.02(b)(5) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (5) eseguire il ripristino in seguito a eventi di cibersicurezza e riprendere le operazioni e i servizi consueti. | Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Amazon Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per ogni nodo di modifica dei dati o per qualsiasi evento che si verifica per primo. | |
| 500.02(b)(5) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (5) eseguire il ripristino in seguito a eventi di cibersicurezza e riprendere le operazioni e i servizi consueti. | Abilita questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella degli ultimi 35 giorni. | |
| 500.02(b)(5) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (5) eseguire il ripristino in seguito a eventi di cibersicurezza e riprendere le operazioni e i servizi consueti. | Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) fornisce capacità dedicata aggiuntiva per le operazioni di I/O Amazon EBS. Tale ottimizzazione offre le prestazioni migliori in termini di efficienza per i volumi EBS, riducendo al minimo i conflitti tra le operazioni I/O Amazon EBS e altro traffico proveniente dall'istanza. | |
| 500.02(b)(5) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (5) eseguire il ripristino in seguito a eventi di cibersicurezza e riprendere le operazioni e i servizi consueti. | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere mantenuto per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
| 500.02(b)(5) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (5) eseguire il ripristino in seguito a eventi di cibersicurezza e riprendere le operazioni e i servizi consueti. | La replica tra regioni (CRR) di Amazon Simple Storage Service (Amazon S3) supporta il mantenimento di capacità e disponibilità adeguate. La replica tra regioni (CRR) consente la copia asincrona e automatica di oggetti tra bucket Amazon S3 per assicurare il mantenimento della disponibilità dei dati. | |
| 500.02(b)(5) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (5) eseguire il ripristino in seguito a eventi di cibersicurezza e riprendere le operazioni e i servizi consueti. | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti. | |
| 500.02(b)(5) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (5) eseguire il ripristino in seguito a eventi di cibersicurezza e riprendere le operazioni e i servizi consueti. | Per facilitare i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| 500.02(b)(5) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (5) eseguire il ripristino in seguito a eventi di cibersicurezza e riprendere le operazioni e i servizi consueti. | Per facilitare i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| 500.02(b)(5) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (5) eseguire il ripristino in seguito a eventi di cibersicurezza e riprendere le operazioni e i servizi consueti. | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| 500.02(b)(5) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (5) eseguire il ripristino in seguito a eventi di cibersicurezza e riprendere le operazioni e i servizi consueti. | Per facilitare i processi di backup dei dati, assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| 500.02(b)(5) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (5) eseguire il ripristino in seguito a eventi di cibersicurezza e riprendere le operazioni e i servizi consueti. | Per facilitare i processi di backup dei dati, assicurati che il piano di AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Questa regola consente di impostare i parametri requiredFrequencyValue (Config default: 1), ( requiredRetentionDays Config default: 35) e ( requiredFrequencyUnit Config default: days). Il valore effettivo deve essere conforme ai requisiti dell'organizzazione. | |
| 500.02(b)(5) | (b) Il programma di cibersicurezza deve essere basato sulla valutazione del rischio dell'entità coperta e concepito per svolgere le seguenti funzioni fondamentali di cibersicurezza: (5) eseguire il ripristino in seguito a eventi di cibersicurezza e riprendere le operazioni e i servizi consueti. | Assicurati che ai punti AWS di ripristino di Backup sia associata una policy basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. L'utilizzo di una policy basata sulle risorse che impedisca l'eliminazione dei punti di ripristino può aiutare a prevenire l'eliminazione accidentale o intenzionale. | |
| 500,05 | Il programma di cibersicurezza per ciascuna entità coperta deve includere monitoraggio e test sviluppati in conformità alla valutazione del rischio dell'entità coperta e concepiti per valutare l'efficacia del relativo programma di cibersicurezza. Il monitoraggio e i test devono includere il monitoraggio continuo o test di penetrazione e valutazioni delle vulnerabilità periodici. In assenza di un monitoraggio continuo efficace o di altri sistemi per rilevare, su base continuativa, le modifiche nei sistemi informativi che possono creare o indicare vulnerabilità, le entità coperte devono condurre: (a) test di penetrazione annuali dei sistemi informativi dell'entità coperta, stabiliti ogni anno sulla base dei rischi rilevanti identificati in conformità alla valutazione del rischio e (b) valutazioni biennali delle vulnerabilità, tra cui eventuali scansioni o revisioni sistematiche dei sistemi informativi ragionevolmente concepite per identificare vulnerabilità di cibersicurezza pubblicamente note nei sistemi informativi dell'entità coperta in base alla valutazione del rischio. | vuln-management-plan-exists (controllo del processo) | Assicurati che sia sviluppato e implementato un piano di gestione delle vulnerabilità in modo da disporre di processi formalmente definiti per affrontare le vulnerabilità nel tuo ambiente. |
| 500.06(a) | (a) Ciascuna entità coperta deve mantenere in sicurezza i sistemi che, nella misura applicabile e sulla base della valutazione del rischio: (1) sono concepiti per ricostruire le transazioni finanziarie rilevanti sufficienti a supportare le normali operazioni e gli obblighi dell'entità coperta e (2) includono audit trail pensati per rilevare e affrontare gli eventi di cibersicurezza che hanno una ragionevole probabilità di danneggiare materialmente qualsiasi parte materiale delle normali operazioni dell'entità coperta. | La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti. | |
| 500.06(a) | (a) Ciascuna entità coperta deve mantenere in sicurezza i sistemi che, nella misura applicabile e sulla base della valutazione del rischio: (1) sono concepiti per ricostruire le transazioni finanziarie rilevanti sufficienti a supportare le normali operazioni e gli obblighi dell'entità coperta e (2) includono audit trail pensati per rilevare e affrontare gli eventi di cibersicurezza che hanno una ragionevole probabilità di danneggiare materialmente qualsiasi parte materiale delle normali operazioni dell'entità coperta. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| 500.06(a) | (a) Ciascuna entità coperta deve mantenere in sicurezza i sistemi che, nella misura applicabile e sulla base della valutazione del rischio: (1) sono concepiti per ricostruire le transazioni finanziarie rilevanti sufficienti a supportare le normali operazioni e gli obblighi dell'entità coperta e (2) includono audit trail pensati per rilevare e affrontare gli eventi di cibersicurezza che hanno una ragionevole probabilità di danneggiare materialmente qualsiasi parte materiale delle normali operazioni dell'entità coperta. | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| 500.06(a) | (a) Ciascuna entità coperta deve mantenere in sicurezza i sistemi che, nella misura applicabile e sulla base della valutazione del rischio: (1) sono concepiti per ricostruire le transazioni finanziarie rilevanti sufficienti a supportare le normali operazioni e gli obblighi dell'entità coperta e (2) includono audit trail pensati per rilevare e affrontare gli eventi di cibersicurezza che hanno una ragionevole probabilità di danneggiare materialmente qualsiasi parte materiale delle normali operazioni dell'entità coperta. | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono Account AWS le informazioni relative all'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| 500.06(a) | (a) Ciascuna entità coperta deve mantenere in sicurezza i sistemi che, nella misura applicabile e sulla base della valutazione del rischio: (1) sono concepiti per ricostruire le transazioni finanziarie rilevanti sufficienti a supportare le normali operazioni e gli obblighi dell'entità coperta e (2) includono audit trail pensati per rilevare e affrontare gli eventi di cibersicurezza che hanno una ragionevole probabilità di danneggiare materialmente qualsiasi parte materiale delle normali operazioni dell'entità coperta. | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| 500.06(a) | (a) Ciascuna entità coperta deve mantenere in sicurezza i sistemi che, nella misura applicabile e sulla base della valutazione del rischio: (1) sono concepiti per ricostruire le transazioni finanziarie rilevanti sufficienti a supportare le normali operazioni e gli obblighi dell'entità coperta e (2) includono audit trail pensati per rilevare e affrontare gli eventi di cibersicurezza che hanno una ragionevole probabilità di danneggiare materialmente qualsiasi parte materiale delle normali operazioni dell'entità coperta. | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| 500.06(a) | (a) Ciascuna entità coperta deve mantenere in sicurezza i sistemi che, nella misura applicabile e sulla base della valutazione del rischio: (1) sono concepiti per ricostruire le transazioni finanziarie rilevanti sufficienti a supportare le normali operazioni e gli obblighi dell'entità coperta e (2) includono audit trail pensati per rilevare e affrontare gli eventi di cibersicurezza che hanno una ragionevole probabilità di danneggiare materialmente qualsiasi parte materiale delle normali operazioni dell'entità coperta. | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| 500.06(a) | (a) Ciascuna entità coperta deve mantenere in sicurezza i sistemi che, nella misura applicabile e sulla base della valutazione del rischio: (1) sono concepiti per ricostruire le transazioni finanziarie rilevanti sufficienti a supportare le normali operazioni e gli obblighi dell'entità coperta e (2) includono audit trail pensati per rilevare e affrontare gli eventi di cibersicurezza che hanno una ragionevole probabilità di danneggiare materialmente qualsiasi parte materiale delle normali operazioni dell'entità coperta. | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| 500.06(a) | (a) Ciascuna entità coperta deve mantenere in sicurezza i sistemi che, nella misura applicabile e sulla base della valutazione del rischio: (1) sono concepiti per ricostruire le transazioni finanziarie rilevanti sufficienti a supportare le normali operazioni e gli obblighi dell'entità coperta e (2) includono audit trail pensati per rilevare e affrontare gli eventi di cibersicurezza che hanno una ragionevole probabilità di danneggiare materialmente qualsiasi parte materiale delle normali operazioni dell'entità coperta. | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| 500.06(a) | (a) Ciascuna entità coperta deve mantenere in sicurezza i sistemi che, nella misura applicabile e sulla base della valutazione del rischio: (1) sono concepiti per ricostruire le transazioni finanziarie rilevanti sufficienti a supportare le normali operazioni e gli obblighi dell'entità coperta e (2) includono audit trail pensati per rilevare e affrontare gli eventi di cibersicurezza che hanno una ragionevole probabilità di danneggiare materialmente qualsiasi parte materiale delle normali operazioni dell'entità coperta. | Assicurati che la registrazione AWS CodeBuild del progetto sia abilitata in modo che i log di output della build vengano inviati ad Amazon o CloudWatch Amazon Simple Storage Service (Amazon S3). I log di output della build forniscono informazioni dettagliate sul progetto di build. | |
| 500.06(a) | (a) Ciascuna entità coperta deve mantenere in sicurezza i sistemi che, nella misura applicabile e sulla base della valutazione del rischio: (1) sono concepiti per ricostruire le transazioni finanziarie rilevanti sufficienti a supportare le normali operazioni e gli obblighi dell'entità coperta e (2) includono audit trail pensati per rilevare e affrontare gli eventi di cibersicurezza che hanno una ragionevole probabilità di danneggiare materialmente qualsiasi parte materiale delle normali operazioni dell'entità coperta. | Per acquisire informazioni sulle connessioni e sulle attività degli utenti nel tuo cluster Amazon Redshift, assicurati che la registrazione di log di audit sia abilitata. | |
| 500.06(a) | (a) Ciascuna entità coperta deve mantenere in sicurezza i sistemi che, nella misura applicabile e sulla base della valutazione del rischio: (1) sono concepiti per ricostruire le transazioni finanziarie rilevanti sufficienti a supportare le normali operazioni e gli obblighi dell'entità coperta e (2) includono audit trail pensati per rilevare e affrontare gli eventi di cibersicurezza che hanno una ragionevole probabilità di danneggiare materialmente qualsiasi parte materiale delle normali operazioni dell'entità coperta. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) su ACL Web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| 500.06(a) | (a) Ciascuna entità coperta deve mantenere in sicurezza i sistemi che, nella misura applicabile e sulla base della valutazione del rischio: (1) sono concepiti per ricostruire le transazioni finanziarie rilevanti sufficienti a supportare le normali operazioni e gli obblighi dell'entità coperta e (2) includono audit trail pensati per rilevare e affrontare gli eventi di cibersicurezza che hanno una ragionevole probabilità di danneggiare materialmente qualsiasi parte materiale delle normali operazioni dell'entità coperta. | Assicurati che la registrazione di controllo sia abilitata sui tuoi domini Amazon OpenSearch Service. La registrazione di controllo ti consente di tenere traccia delle attività degli utenti sui tuoi OpenSearch domini, compresi i successi e gli errori di autenticazione, le richieste, le modifiche all'indicizzazione e le query di OpenSearch ricerca in arrivo. | |
| 500.06(a) | (a) Ciascuna entità coperta deve mantenere in sicurezza i sistemi che, nella misura applicabile e sulla base della valutazione del rischio: (1) sono concepiti per ricostruire le transazioni finanziarie rilevanti sufficienti a supportare le normali operazioni e gli obblighi dell'entità coperta e (2) includono audit trail pensati per rilevare e affrontare gli eventi di cibersicurezza che hanno una ragionevole probabilità di danneggiare materialmente qualsiasi parte materiale delle normali operazioni dell'entità coperta. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 500.06(b) | (b) Ciascuna entità coperta deve conservare i record richiesti nella sezione 500.06(a)(1) della presente parte per almeno cinque anni e deve conservare i record richiesti nella sezione 500.06(a)(2) della presente parte per almeno tre anni. | Assicurati che i dati dei log degli eventi vengano mantenuti per una durata minima per i gruppi di log in modo da agevolare la risoluzione dei problemi e le indagini forensi. La mancata disponibilità dei dati dei log degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. | |
| 500.06(a) | (a) Ciascuna entità coperta deve mantenere in sicurezza i sistemi che, nella misura applicabile e sulla base della valutazione del rischio: (1) sono concepiti per ricostruire le transazioni finanziarie rilevanti sufficienti a supportare le normali operazioni e gli obblighi dell'entità coperta e (2) includono audit trail pensati per rilevare e affrontare gli eventi di cibersicurezza che hanno una ragionevole probabilità di danneggiare materialmente qualsiasi parte materiale delle normali operazioni dell'entità coperta. | Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e per diagnosticare i problemi di disponibilità. | |
| 500.06(a) | (a) Ciascuna entità coperta deve mantenere in sicurezza i sistemi che, nella misura applicabile e sulla base della valutazione del rischio: (1) sono concepiti per ricostruire le transazioni finanziarie rilevanti sufficienti a supportare le normali operazioni e gli obblighi dell'entità coperta e (2) includono audit trail pensati per rilevare e affrontare gli eventi di cibersicurezza che hanno una ragionevole probabilità di danneggiare materialmente qualsiasi parte materiale delle normali operazioni dell'entità coperta. | Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| 500,07 | Nell'ambito del suo programma di cibersicurezza, sulla base della valutazione del rischio dell'entità coperta, ogni entità coperta limiterà i privilegi di accesso degli utenti ai sistemi informativi che forniscono accesso a informazioni non pubbliche e rivedrà periodicamente tali privilegi. | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| 500,07 | Nell'ambito del suo programma di cibersicurezza, sulla base della valutazione del rischio dell'entità coperta, ogni entità coperta limiterà i privilegi di accesso degli utenti ai sistemi informativi che forniscono accesso a informazioni non pubbliche e rivedrà periodicamente tali privilegi. | Le credenziali vengono verificate per i dispositivi, gli utenti e i processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate come specificato dalla politica organizzativa. La modifica delle chiavi di accesso a intervalli regolari è una best practice di sicurezza. Riduce il periodo di attività di una chiave di accesso e l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione delle chiavi di accesso (valore di configurazione predefinito: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| 500,07 | Nell'ambito del suo programma di cibersicurezza, sulla base della valutazione del rischio dell'entità coperta, ogni entità coperta limiterà i privilegi di accesso degli utenti ai sistemi informativi che forniscono accesso a informazioni non pubbliche e rivedrà periodicamente tali privilegi. | Se una definizione di attività ha privilegi elevati, significa che il cliente ha scelto specificamente di accedere a tali configurazioni. Questo controllo verifica l'aumento imprevisto dei privilegi quando la rete host prevede una definizione di attività ma il cliente non ha scelto privilegi elevati. | |
| 500,07 | Nell'ambito del suo programma di cibersicurezza, sulla base della valutazione del rischio dell'entità coperta, ogni entità coperta limiterà i privilegi di accesso degli utenti ai sistemi informativi che forniscono accesso a informazioni non pubbliche e rivedrà periodicamente tali privilegi. | Assicurati che le tabelle di routing di Amazon EC2 non abbiano percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno degli Amazon VPC può ridurre gli accessi non intenzionali all'interno del tuo ambiente. | |
| 500,07 | Nell'ambito del suo programma di cibersicurezza, sulla base della valutazione del rischio dell'entità coperta, ogni entità coperta limiterà i privilegi di accesso degli utenti ai sistemi informativi che forniscono accesso a informazioni non pubbliche e rivedrà periodicamente tali privilegi. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 500,07 | Nell'ambito del suo programma di cibersicurezza, sulla base della valutazione del rischio dell'entità coperta, ogni entità coperta limiterà i privilegi di accesso degli utenti ai sistemi informativi che forniscono accesso a informazioni non pubbliche e rivedrà periodicamente tali privilegi. | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni su account, risorse e processi interni. | |
| 500,07 | Nell'ambito del suo programma di cibersicurezza, sulla base della valutazione del rischio dell'entità coperta, ogni entità coperta limiterà i privilegi di accesso degli utenti ai sistemi informativi che forniscono accesso a informazioni non pubbliche e rivedrà periodicamente tali privilegi. | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| 500,07 | Nell'ambito del suo programma di cibersicurezza, sulla base della valutazione del rischio dell'entità coperta, ogni entità coperta limiterà i privilegi di accesso degli utenti ai sistemi informativi che forniscono accesso a informazioni non pubbliche e rivedrà periodicamente tali privilegi. | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| 500,07 | Nell'ambito del suo programma di cibersicurezza, sulla base della valutazione del rischio dell'entità coperta, ogni entità coperta limiterà i privilegi di accesso degli utenti ai sistemi informativi che forniscono accesso a informazioni non pubbliche e rivedrà periodicamente tali privilegi. | Questa regola garantisce che AWS i segreti di Secrets Manager abbiano la rotazione abilitata. La rotazione dei segreti secondo una pianificazione regolare può abbreviare il periodo di attività di un segreto e ridurre potenzialmente l'impatto aziendale in caso di compromissione del segreto. | |
| 500,07 | Nell'ambito del suo programma di cibersicurezza, sulla base della valutazione del rischio dell'entità coperta, ogni entità coperta limiterà i privilegi di accesso degli utenti ai sistemi informativi che forniscono accesso a informazioni non pubbliche e rivedrà periodicamente tali privilegi. | Questa regola garantisce che AWS i segreti di Secrets Manager siano ruotati correttamente in base alla pianificazione di rotazione. La rotazione dei segreti secondo una pianificazione regolare può abbreviare il periodo di attività di un segreto e ridurre potenzialmente l'impatto aziendale in caso di compromissione. | |
| 500,07 | Nell'ambito del suo programma di cibersicurezza, sulla base della valutazione del rischio dell'entità coperta, ogni entità coperta limiterà i privilegi di accesso degli utenti ai sistemi informativi che forniscono accesso a informazioni non pubbliche e rivedrà periodicamente tali privilegi. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| 500,07 | Nell'ambito del suo programma di cibersicurezza, sulla base della valutazione del rischio dell'entità coperta, ogni entità coperta limiterà i privilegi di accesso degli utenti ai sistemi informativi che forniscono accesso a informazioni non pubbliche e rivedrà periodicamente tali privilegi. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base ai permessi associati o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| 500,07 | Nell'ambito del suo programma di cibersicurezza, sulla base della valutazione del rischio dell'entità coperta, ogni entità coperta limiterà i privilegi di accesso degli utenti ai sistemi informativi che forniscono accesso a informazioni non pubbliche e rivedrà periodicamente tali privilegi. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti dichiarati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 500,07 | Nell'ambito del suo programma di cibersicurezza, sulla base della valutazione del rischio dell'entità coperta, ogni entità coperta limiterà i privilegi di accesso degli utenti ai sistemi informativi che forniscono accesso a informazioni non pubbliche e rivedrà periodicamente tali privilegi. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo che le policy contengano «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 500,07 | Nell'ambito del suo programma di cibersicurezza, sulla base della valutazione del rischio dell'entità coperta, ogni entità coperta limiterà i privilegi di accesso degli utenti ai sistemi informativi che forniscono accesso a informazioni non pubbliche e rivedrà periodicamente tali privilegi. | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| 500,07 | Nell'ambito del suo programma di cibersicurezza, sulla base della valutazione del rischio dell'entità coperta, ogni entità coperta limiterà i privilegi di accesso degli utenti ai sistemi informativi che forniscono accesso a informazioni non pubbliche e rivedrà periodicamente tali privilegi. | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 500,07 | Nell'ambito del suo programma di cibersicurezza, sulla base della valutazione del rischio dell'entità coperta, ogni entità coperta limiterà i privilegi di accesso degli utenti ai sistemi informativi che forniscono accesso a informazioni non pubbliche e rivedrà periodicamente tali privilegi. | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| 500,07 | Nell'ambito del suo programma di cibersicurezza, sulla base della valutazione del rischio dell'entità coperta, ogni entità coperta limiterà i privilegi di accesso degli utenti ai sistemi informativi che forniscono accesso a informazioni non pubbliche e rivedrà periodicamente tali privilegi. | Gestisci l'accesso al AWS cloud abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 sia limitato dai AWS principali, dagli utenti federati, dai responsabili del servizio, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti. | |
| 500,07 | Nell'ambito del suo programma di cibersicurezza, sulla base della valutazione del rischio dell'entità coperta, ogni entità coperta limiterà i privilegi di accesso degli utenti ai sistemi informativi che forniscono accesso a informazioni non pubbliche e rivedrà periodicamente tali privilegi. | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| 500,07 | Nell'ambito del suo programma di cibersicurezza, sulla base della valutazione del rischio dell'entità coperta, ogni entità coperta limiterà i privilegi di accesso degli utenti ai sistemi informativi che forniscono accesso a informazioni non pubbliche e rivedrà periodicamente tali privilegi. | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 500,07 | Nell'ambito del suo programma di cibersicurezza, sulla base della valutazione del rischio dell'entità coperta, ogni entità coperta limiterà i privilegi di accesso degli utenti ai sistemi informativi che forniscono accesso a informazioni non pubbliche e rivedrà periodicamente tali privilegi. | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 500,07 | Nell'ambito del suo programma di cibersicurezza, sulla base della valutazione del rischio dell'entità coperta, ogni entità coperta limiterà i privilegi di accesso degli utenti ai sistemi informativi che forniscono accesso a informazioni non pubbliche e rivedrà periodicamente tali privilegi. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 500,07 | Nell'ambito del suo programma di cibersicurezza, sulla base della valutazione del rischio dell'entità coperta, ogni entità coperta limiterà i privilegi di accesso degli utenti ai sistemi informativi che forniscono accesso a informazioni non pubbliche e rivedrà periodicamente tali privilegi. | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| 500,07 | Nell'ambito del suo programma di cibersicurezza, sulla base della valutazione del rischio dell'entità coperta, ogni entità coperta limiterà i privilegi di accesso degli utenti ai sistemi informativi che forniscono accesso a informazioni non pubbliche e rivedrà periodicamente tali privilegi. | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 500,07 | Nell'ambito del suo programma di cibersicurezza, sulla base della valutazione del rischio dell'entità coperta, ogni entità coperta limiterà i privilegi di accesso degli utenti ai sistemi informativi che forniscono accesso a informazioni non pubbliche e rivedrà periodicamente tali privilegi. | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) in un Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del Cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| 500,07 | Nell'ambito del suo programma di cibersicurezza, sulla base della valutazione del rischio dell'entità coperta, ogni entità coperta limiterà i privilegi di accesso degli utenti ai sistemi informativi che forniscono accesso a informazioni non pubbliche e rivedrà periodicamente tali privilegi. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| 500,07 | Nell'ambito del suo programma di cibersicurezza, sulla base della valutazione del rischio dell'entità coperta, ogni entità coperta limiterà i privilegi di accesso degli utenti ai sistemi informativi che forniscono accesso a informazioni non pubbliche e rivedrà periodicamente tali privilegi. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| 500,07 | Nell'ambito del suo programma di cibersicurezza, sulla base della valutazione del rischio dell'entità coperta, ogni entità coperta limiterà i privilegi di accesso degli utenti ai sistemi informativi che forniscono accesso a informazioni non pubbliche e rivedrà periodicamente tali privilegi. | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Questa configurazione non richiede un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| 500,07 | Nell'ambito del suo programma di cibersicurezza, sulla base della valutazione del rischio dell'entità coperta, ogni entità coperta limiterà i privilegi di accesso degli utenti ai sistemi informativi che forniscono accesso a informazioni non pubbliche e rivedrà periodicamente tali privilegi. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 500,07 | Nell'ambito del suo programma di cibersicurezza, sulla base della valutazione del rischio dell'entità coperta, ogni entità coperta limiterà i privilegi di accesso degli utenti ai sistemi informativi che forniscono accesso a informazioni non pubbliche e rivedrà periodicamente tali privilegi. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 500,07 | Nell'ambito del suo programma di cibersicurezza, sulla base della valutazione del rischio dell'entità coperta, ogni entità coperta limiterà i privilegi di accesso degli utenti ai sistemi informativi che forniscono accesso a informazioni non pubbliche e rivedrà periodicamente tali privilegi. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 500,07 | Nell'ambito del suo programma di cibersicurezza, sulla base della valutazione del rischio dell'entità coperta, ogni entità coperta limiterà i privilegi di accesso degli utenti ai sistemi informativi che forniscono accesso a informazioni non pubbliche e rivedrà periodicamente tali privilegi. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 500,07 | Nell'ambito del suo programma di cibersicurezza, sulla base della valutazione del rischio dell'entità coperta, ogni entità coperta limiterà i privilegi di accesso degli utenti ai sistemi informativi che forniscono accesso a informazioni non pubbliche e rivedrà periodicamente tali privilegi. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 500,07 | Nell'ambito del suo programma di cibersicurezza, sulla base della valutazione del rischio dell'entità coperta, ogni entità coperta limiterà i privilegi di accesso degli utenti ai sistemi informativi che forniscono accesso a informazioni non pubbliche e rivedrà periodicamente tali privilegi. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| 500.8(a) | (a) Il programma di cibersicurezza di ciascuna entità coperta deve includere procedure, linee guida e standard scritti concepiti per garantire l'uso di pratiche di sviluppo sicure per le applicazioni sviluppate internamente e utilizzate dall'entità coperta e procedure per valutare o testare la sicurezza delle applicazioni sviluppate esternamente e utilizzate dall'entità coperta nel contesto del suo ambiente tecnologico. | Assicurati che le credenziali di autenticazione AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY non esistano negli ambienti del progetto Codebuild. AWS Non archiviare queste variabili con testo in chiaro. L'archiviazione di queste variabili con testo in chiaro porta all'esposizione involontaria dei dati e all'accesso non autorizzato. | |
| 500.8(a) | (a) Il programma di cibersicurezza di ciascuna entità coperta deve includere procedure, linee guida e standard scritti concepiti per garantire l'uso di pratiche di sviluppo sicure per le applicazioni sviluppate internamente e utilizzate dall'entità coperta e procedure per valutare o testare la sicurezza delle applicazioni sviluppate esternamente e utilizzate dall'entità coperta nel contesto del suo ambiente tecnologico. | Assicurati che l'URL del repository di origine GitHub o Bitbucket non contenga token di accesso personali e credenziali di accesso all'interno degli ambienti del progetto Codebuild. AWS Utilizza OAuth anziché i token di accesso personali o le credenziali di accesso per concedere l'autorizzazione all'accesso ai repository Bitbucket. GitHub | |
| 500,09 | (a) Ciascuna entità coperta deve condurre una valutazione periodica del rischio dei suoi sistemi informativi sufficiente a orientare la progettazione del programma di cibersicurezza, come richiesto nella presente parte. Tale valutazione del rischio deve essere aggiornata se ragionevolmente necessario per affrontare le modifiche ai sistemi informativi, alle informazioni non pubbliche o alle operazioni commerciali dell'entità coperta. La valutazione del rischio dell'entità coperta deve fare in modo che la revisione dei controlli risponda agli sviluppi tecnologici e alle minacce in evoluzione e tenere conto dei rischi particolari delle operazioni commerciali dell'entità coperta relativi alla cibersicurezza, alle informazioni non pubbliche raccolte o archiviate, ai sistemi informativi utilizzati e alla disponibilità e all'efficacia dei controlli per proteggere le informazioni non pubbliche e i sistemi informativi. | annual-risk-assessment-performed (controllo del processo) > | Esegui una valutazione annuale del rischio sulla tua organizzazione. Le valutazioni del rischio possono aiutare a determinare la probabilità e l'impatto dei rischi e/o delle vulnerabilità identificati che interessano un'organizzazione. |
| 500,12 | (a) Autenticazione a più fattori. Sulla base della valutazione del rischio, ogni entità coperta deve utilizzare controlli efficaci, che possono includere l'autenticazione a più fattori o l'autenticazione basata sul rischio, per proteggersi dall'accesso non autorizzato a informazioni non pubbliche o sistemi informativi. (b) L'autenticazione a più fattori deve essere utilizzata per qualsiasi persona che accede alle reti interne dell'entità coperta da una rete esterna, a meno che il CISO dell'entità coperta non abbia approvato per iscritto l'uso di controlli di accesso ragionevolmente equivalenti o più sicuri. | Abilita questa regola per limitare l'accesso alle risorse nel AWS Cloud. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Riduci gli incidenti dovuti alla compromissione degli account richiedendo l'autenticazione a più fattori per gli utenti. | |
| 500.12 | (a) Autenticazione a più fattori. Sulla base della valutazione del rischio, ogni entità coperta deve utilizzare controlli efficaci, che possono includere l'autenticazione a più fattori o l'autenticazione basata sul rischio, per proteggersi dall'accesso non autorizzato a informazioni non pubbliche o sistemi informativi. (b) L'autenticazione a più fattori deve essere utilizzata per qualsiasi persona che accede alle reti interne dell'entità coperta da una rete esterna, a meno che il CISO dell'entità coperta non abbia approvato per iscritto l'uso di controlli di accesso ragionevolmente equivalenti o più sicuri. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| 500,12 | (a) Autenticazione a più fattori. Sulla base della valutazione del rischio, ogni entità coperta deve utilizzare controlli efficaci, che possono includere l'autenticazione a più fattori o l'autenticazione basata sul rischio, per proteggersi dall'accesso non autorizzato a informazioni non pubbliche o sistemi informativi. (b) L'autenticazione a più fattori deve essere utilizzata per qualsiasi persona che accede alle reti interne dell'entità coperta da una rete esterna, a meno che il CISO dell'entità coperta non abbia approvato per iscritto l'uso di controlli di accesso ragionevolmente equivalenti o più sicuri. | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| 500,12 | (a) Autenticazione a più fattori. Sulla base della valutazione del rischio, ogni entità coperta deve utilizzare controlli efficaci, che possono includere l'autenticazione a più fattori o l'autenticazione basata sul rischio, per proteggersi dall'accesso non autorizzato a informazioni non pubbliche o sistemi informativi. (b) L'autenticazione a più fattori deve essere utilizzata per qualsiasi persona che accede alle reti interne dell'entità coperta da una rete esterna, a meno che il CISO dell'entità coperta non abbia approvato per iscritto l'uso di controlli di accesso ragionevolmente equivalenti o più sicuri. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che la MFA hardware sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| 500,12 | (a) Autenticazione a più fattori. Sulla base della valutazione del rischio, ogni entità coperta deve utilizzare controlli efficaci, che possono includere l'autenticazione a più fattori o l'autenticazione basata sul rischio, per proteggersi dall'accesso non autorizzato a informazioni non pubbliche o sistemi informativi. (b) L'autenticazione a più fattori deve essere utilizzata per qualsiasi persona che accede alle reti interne dell'entità coperta da una rete esterna, a meno che il CISO dell'entità coperta non abbia approvato per iscritto l'uso di controlli di accesso ragionevolmente equivalenti o più sicuri. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| 500.14(a) | (a) implementa policy, procedure e controlli basati sul rischio concepiti per monitorare l'attività degli utenti autorizzati e rilevare l'accesso o l'uso non autorizzato o la manomissione di informazioni non pubbliche da parte di questi utenti autorizzati. | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| 500.14(a) | (a) implementa policy, procedure e controlli basati sul rischio concepiti per monitorare l'attività degli utenti autorizzati e rilevare l'accesso o l'uso non autorizzato o la manomissione di informazioni non pubbliche da parte di questi utenti autorizzati. | La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti. | |
| 500.14(a) | (a) implementa policy, procedure e controlli basati sul rischio concepiti per monitorare l'attività degli utenti autorizzati e rilevare l'accesso o l'uso non autorizzato o la manomissione di informazioni non pubbliche da parte di questi utenti autorizzati. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| 500.14(a) | (a) implementa policy, procedure e controlli basati sul rischio concepiti per monitorare l'attività degli utenti autorizzati e rilevare l'accesso o l'uso non autorizzato o la manomissione di informazioni non pubbliche da parte di questi utenti autorizzati. | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di AWS gestione e le chiamate API. È possibile identificare gli utenti e gli utenti Account AWS che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| 500.14(a) | (a) implementa policy, procedure e controlli basati sul rischio concepiti per monitorare l'attività degli utenti autorizzati e rilevare l'accesso o l'uso non autorizzato o la manomissione di informazioni non pubbliche da parte di questi utenti autorizzati. | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono Account AWS le informazioni relative all'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| 500.14(a) | (a) implementa policy, procedure e controlli basati sul rischio concepiti per monitorare l'attività degli utenti autorizzati e rilevare l'accesso o l'uso non autorizzato o la manomissione di informazioni non pubbliche da parte di questi utenti autorizzati. | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| 500.14(a) | (a) implementa policy, procedure e controlli basati sul rischio concepiti per monitorare l'attività degli utenti autorizzati e rilevare l'accesso o l'uso non autorizzato o la manomissione di informazioni non pubbliche da parte di questi utenti autorizzati. | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| 500.14(a) | (a) implementa policy, procedure e controlli basati sul rischio concepiti per monitorare l'attività degli utenti autorizzati e rilevare l'accesso o l'uso non autorizzato o la manomissione di informazioni non pubbliche da parte di questi utenti autorizzati. | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| 500.14(a) | (a) implementa policy, procedure e controlli basati sul rischio concepiti per monitorare l'attività degli utenti autorizzati e rilevare l'accesso o l'uso non autorizzato o la manomissione di informazioni non pubbliche da parte di questi utenti autorizzati. | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| 500.14(a) | (a) implementa policy, procedure e controlli basati sul rischio concepiti per monitorare l'attività degli utenti autorizzati e rilevare l'accesso o l'uso non autorizzato o la manomissione di informazioni non pubbliche da parte di questi utenti autorizzati. | Assicurati che i dati dei log degli eventi vengano mantenuti per una durata minima per i gruppi di log in modo da agevolare la risoluzione dei problemi e le indagini forensi. La mancata disponibilità dei dati dei log degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. | |
| 500.14(a) | (a) implementa policy, procedure e controlli basati sul rischio concepiti per monitorare l'attività degli utenti autorizzati e rilevare l'accesso o l'uso non autorizzato o la manomissione di informazioni non pubbliche da parte di questi utenti autorizzati. | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| 500.14(a) | (a) implementa policy, procedure e controlli basati sul rischio concepiti per monitorare l'attività degli utenti autorizzati e rilevare l'accesso o l'uso non autorizzato o la manomissione di informazioni non pubbliche da parte di questi utenti autorizzati. | Assicurati che la registrazione AWS CodeBuild del progetto sia abilitata in modo che i log di output della build vengano inviati ad Amazon o CloudWatch Amazon Simple Storage Service (Amazon S3). I log di output della build forniscono informazioni dettagliate sul progetto di build. | |
| 500.14(a) | (a) implementa policy, procedure e controlli basati sul rischio concepiti per monitorare l'attività degli utenti autorizzati e rilevare l'accesso o l'uso non autorizzato o la manomissione di informazioni non pubbliche da parte di questi utenti autorizzati. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) su ACL Web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| 500.14(a) | (a) implementa policy, procedure e controlli basati sul rischio concepiti per monitorare l'attività degli utenti autorizzati e rilevare l'accesso o l'uso non autorizzato o la manomissione di informazioni non pubbliche da parte di questi utenti autorizzati. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| 500.14(a) | (a) implementa policy, procedure e controlli basati sul rischio concepiti per monitorare l'attività degli utenti autorizzati e rilevare l'accesso o l'uso non autorizzato o la manomissione di informazioni non pubbliche da parte di questi utenti autorizzati. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| 500.14(a) | (a) implementa policy, procedure e controlli basati sul rischio concepiti per monitorare l'attività degli utenti autorizzati e rilevare l'accesso o l'uso non autorizzato o la manomissione di informazioni non pubbliche da parte di questi utenti autorizzati. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 500.14(a) | (a) implementa policy, procedure e controlli basati sul rischio concepiti per monitorare l'attività degli utenti autorizzati e rilevare l'accesso o l'uso non autorizzato o la manomissione di informazioni non pubbliche da parte di questi utenti autorizzati. | Assicurati che la registrazione di controllo sia abilitata sui tuoi domini Amazon OpenSearch Service. La registrazione di controllo ti consente di tenere traccia delle attività degli utenti sui tuoi OpenSearch domini, compresi i successi e gli errori di autenticazione, le richieste, le modifiche all'indicizzazione e le query di OpenSearch ricerca in arrivo. | |
| 500.14(a) | (a) implementa policy, procedure e controlli basati sul rischio concepiti per monitorare l'attività degli utenti autorizzati e rilevare l'accesso o l'uso non autorizzato o la manomissione di informazioni non pubbliche da parte di questi utenti autorizzati. | Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e per diagnosticare i problemi di disponibilità. | |
| 500.14(a) | (a) implementa policy, procedure e controlli basati sul rischio concepiti per monitorare l'attività degli utenti autorizzati e rilevare l'accesso o l'uso non autorizzato o la manomissione di informazioni non pubbliche da parte di questi utenti autorizzati. | Per acquisire informazioni sulle connessioni e sulle attività degli utenti nel tuo cluster Amazon Redshift, assicurati che la registrazione di log di audit sia abilitata. | |
| 500.14(a) | (a) implementa policy, procedure e controlli basati sul rischio concepiti per monitorare l'attività degli utenti autorizzati e rilevare l'accesso o l'uso non autorizzato o la manomissione di informazioni non pubbliche da parte di questi utenti autorizzati. | Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| 500.14(b) | Nell'ambito del programma di cibersicurezza, ogni entità coperta deve: (b) fornire a tutto il personale una formazione periodica di sensibilizzazione alla cibersicurezza, aggiornata in base ai rischi identificati dall'entità coperta nella valutazione del rischio. | security-awareness-program-exists (controllo del processo) | Definizione e mantenimento di un programma di sensibilizzazione alla sicurezza per l'organizzazione. I programmi di sensibilizzazione alla sicurezza insegnano ai dipendenti come proteggere l'organizzazione da eventuali violazioni della sicurezza o incidenti. |
| 500.15(a) | (a) Nell'ambito del programma di cibersicurezza, sulla base della valutazione del rischio, ciascuna entità coperta deve implementare controlli, inclusa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'entità coperta sia in transito su reti esterne sia a riposo. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service. | |
| 500.15(a) | (a) Nell'ambito del programma di cibersicurezza, sulla base della valutazione del rischio, ciascuna entità coperta deve implementare controlli, inclusa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'entità coperta sia in transito su reti esterne sia a riposo. | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 500.15(a) | (a) Nell'ambito del programma di cibersicurezza, sulla base della valutazione del rischio, ciascuna entità coperta deve implementare controlli, inclusa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'entità coperta sia in transito su reti esterne sia a riposo. | Garantisci la protezione dell'integrità della rete assicurando che i certificati X509 vengano emessi da ACM. AWS Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore per daysToExpiration (valore AWS Foundational Security Best Practices: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| 500.15(a) | (a) Nell'ambito del programma di cibersicurezza, sulla base della valutazione del rischio, ciascuna entità coperta deve implementare controlli, inclusa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'entità coperta sia in transito su reti esterne sia a riposo. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 500.15(a) | (a) Nell'ambito del programma di cibersicurezza, sulla base della valutazione del rischio, ciascuna entità coperta deve implementare controlli, inclusa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'entità coperta sia in transito su reti esterne sia a riposo. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per la cache della fase Gateway API. Per proteggere i dati sensibili che possono essere acquisiti per il metodo API, è necessario attivare la crittografia a riposo. | |
| 500.15(a) | (a) Nell'ambito del programma di cibersicurezza, sulla base della valutazione del rischio, ciascuna entità coperta deve implementare controlli, inclusa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'entità coperta sia in transito su reti esterne sia a riposo. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CloudTrail percorsi. | |
| 500.15(a) | (a) Nell'ambito del programma di cibersicurezza, sulla base della valutazione del rischio, ciascuna entità coperta deve implementare controlli, inclusa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'entità coperta sia in transito su reti esterne sia a riposo. | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi Amazon CloudWatch Log Groups. | |
| 500.15(a) | (a) Nell'ambito del programma di cibersicurezza, sulla base della valutazione del rischio, ciascuna entità coperta deve implementare controlli, inclusa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'entità coperta sia in transito su reti esterne sia a riposo. | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| 500.15(a) | (a) Nell'ambito del programma di cibersicurezza, sulla base della valutazione del rischio, ciascuna entità coperta deve implementare controlli, inclusa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'entità coperta sia in transito su reti esterne sia a riposo. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch OpenSearch Service (Service). | |
| 500.15(a) | (a) Nell'ambito del programma di cibersicurezza, sulla base della valutazione del rischio, ciascuna entità coperta deve implementare controlli, inclusa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'entità coperta sia in transito su reti esterne sia a riposo. | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| 500.15(a) | (a) Nell'ambito del programma di cibersicurezza, sulla base della valutazione del rischio, ciascuna entità coperta deve implementare controlli, inclusa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'entità coperta sia in transito su reti esterne sia a riposo. | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). | |
| 500.15(a) | (a) Nell'ambito del programma di cibersicurezza, sulla base della valutazione del rischio, ciascuna entità coperta deve implementare controlli, inclusa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'entità coperta sia in transito su reti esterne sia a riposo. | Per aiutare a proteggere i dati a riposo, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo nelle istanze Amazon RDS, abilita la crittografia a riposo per proteggere tali dati. | |
| 500.15(a) | (a) Nell'ambito del programma di cibersicurezza, sulla base della valutazione del rischio, ciascuna entità coperta deve implementare controlli, inclusa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'entità coperta sia in transito su reti esterne sia a riposo. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 500.15(a) | (a) Nell'ambito del programma di cibersicurezza, sulla base della valutazione del rischio, ciascuna entità coperta deve implementare controlli, inclusa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'entità coperta sia in transito su reti esterne sia a riposo. | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 500.15(a) | (a) Nell'ambito del programma di cibersicurezza, sulla base della valutazione del rischio, ciascuna entità coperta deve implementare controlli, inclusa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'entità coperta sia in transito su reti esterne sia a riposo. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| 500.15(a) | (a) Nell'ambito del programma di cibersicurezza, sulla base della valutazione del rischio, ciascuna entità coperta deve implementare controlli, inclusa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'entità coperta sia in transito su reti esterne sia a riposo. | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 500.15(a) | (a) Nell'ambito del programma di cibersicurezza, sulla base della valutazione del rischio, ciascuna entità coperta deve implementare controlli, inclusa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'entità coperta sia in transito su reti esterne sia a riposo. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia a riposo per proteggere tali dati. | |
| 500.15(a) | (a) Nell'ambito del programma di cibersicurezza, sulla base della valutazione del rischio, ciascuna entità coperta deve implementare controlli, inclusa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'entità coperta sia in transito su reti esterne sia a riposo. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo SageMaker notebook. Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| 500.15(a) | (a) Nell'ambito del programma di cibersicurezza, sulla base della valutazione del rischio, ciascuna entità coperta deve implementare controlli, inclusa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'entità coperta sia in transito su reti esterne sia a riposo. | Per proteggere i dati archiviati, assicurati che gli argomenti di Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia AWS tramite Key Management Service AWS (KMS). Data la possibile presenza di dati sensibili a riposo nei messaggi pubblicati, abilita la crittografia a riposo per proteggere tali dati. | |
| 500.15(a) | (a) Nell'ambito del programma di cibersicurezza, sulla base della valutazione del rischio, ciascuna entità coperta deve implementare controlli, inclusa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'entità coperta sia in transito su reti esterne sia a riposo. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| 500.15(a) | (a) Nell'ambito del programma di cibersicurezza, sulla base della valutazione del rischio, ciascuna entità coperta deve implementare controlli, inclusa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'entità coperta sia in transito su reti esterne sia a riposo. | Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| 500.15(a) | (a) Nell'ambito del programma di cibersicurezza, sulla base della valutazione del rischio, ciascuna entità coperta deve implementare controlli, inclusa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'entità coperta sia in transito su reti esterne sia a riposo. | Assicurati che i tuoi Elastic Load Balancer (ELB) siano configurati per eliminare le intestazioni http. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 500.15(a) | (a) Nell'ambito del programma di cibersicurezza, sulla base della valutazione del rischio, ciascuna entità coperta deve implementare controlli, inclusa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'entità coperta sia in transito su reti esterne sia a riposo. | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 500.15(a) | (a) Nell'ambito del programma di cibersicurezza, sulla base della valutazione del rischio, ciascuna entità coperta deve implementare controlli, inclusa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'entità coperta sia in transito su reti esterne sia a riposo. | Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 500.15(a) | (a) Nell'ambito del programma di cibersicurezza, sulla base della valutazione del rischio, ciascuna entità coperta deve implementare controlli, inclusa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'entità coperta sia in transito su reti esterne sia a riposo. | Assicurati che le fasi REST API del Gateway Amazon API siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare la provenienza delle richieste dal Gateway API. | |
| 500.15(a) | (a) Nell'ambito del programma di cibersicurezza, sulla base della valutazione del rischio, ciascuna entità coperta deve implementare controlli, inclusa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'entità coperta sia in transito su reti esterne sia a riposo. | Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Data la possibile presenza di dati sensibili a riposo in queste tabelle, abilita la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con AWS una chiave master del cliente (CMK) di proprietà. | |
| 500.15(a) | (a) Nell'ambito del programma di cibersicurezza, sulla base della valutazione del rischio, ciascuna entità coperta deve implementare controlli, inclusa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'entità coperta sia in transito su reti esterne sia a riposo. | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| 500.15(a) | (a) Nell'ambito del programma di cibersicurezza, sulla base della valutazione del rischio, ciascuna entità coperta deve implementare controlli, inclusa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'entità coperta sia in transito su reti esterne sia a riposo. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo cluster Amazon Redshift. Data la possibile presenza di dati sensibili a riposo nei cluster Redshift, abilita la crittografia a riposo per proteggere tali dati. | |
| 500.15(a) | (a) Nell'ambito del programma di cibersicurezza, sulla base della valutazione del rischio, ciascuna entità coperta deve implementare controlli, inclusa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'entità coperta sia in transito su reti esterne sia a riposo. | Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati. | |
| 500.15(a) | (a) Nell'ambito del programma di cibersicurezza, sulla base della valutazione del rischio, ciascuna entità coperta deve implementare controlli, inclusa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'entità coperta sia in transito su reti esterne sia a riposo. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per AWS i segreti di Secrets Manager. Data la possibile presenza di dati sensibili a riposo nei segreti di Secrets Manager, abilita la crittografia a riposo per proteggere tali dati. | |
| 500.15(a) | (a) Nell'ambito del programma di cibersicurezza, sulla base della valutazione del rischio, ciascuna entità coperta deve implementare controlli, inclusa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'entità coperta sia in transito su reti esterne sia a riposo. | Assicurati che la crittografia sia abilitata per i punti AWS di ripristino del Backup. Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| 500.15(a) | (a) Nell'ambito del programma di cibersicurezza, sulla base della valutazione del rischio, ciascuna entità coperta deve implementare controlli, inclusa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'entità coperta sia in transito su reti esterne sia a riposo. | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CodeBuild artefatti. | |
| 500.15(a) | (a) Nell'ambito del programma di cibersicurezza, sulla base della valutazione del rischio, ciascuna entità coperta deve implementare controlli, inclusa la crittografia, per proteggere le informazioni non pubbliche detenute o trasmesse dall'entità coperta sia in transito su reti esterne sia a riposo. | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i flussi di Amazon Kinesis. | |
| 500,16 | (a) Nell'ambito del programma di cibersicurezza, ciascuna entità coperta deve stabilire un piano scritto di risposta agli incidenti concepito per affrontare tempestivamente ed eseguire il ripristino da qualsiasi evento di cibersicurezza che influisca materialmente sulla riservatezza, sull'integrità o sulla disponibilità dei sistemi informativi dell'entità coperta o sulla continua funzionalità di qualsiasi aspetto dell'attività o delle operazioni dell'entità coperta. | response-plan-exists-maintained (controllo del processo) | Garanzia della definizione, del mantenimento e della distribuzione al personale responsabile di piani di risposta agli incidenti. |
Modello
Il modello è disponibile su GitHub: Operational Best Practices for NYDFS 23
