Controlli Security Hub per AWS Backup - AWS Security Hub
[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo[Backup.2] i punti di AWS Backup ripristino devono essere etichettatiI AWS Backup vault [Backup.3] devono essere etichettati[Backup.4] i piani di AWS Backup report devono essere etichettati[Backup.5] i piani di AWS Backup backup devono essere etichettati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlli Security Hub per AWS Backup

Questi controlli del Security Hub valutano il AWS Backup servizio e le risorse.

Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.

[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo

Requisiti correlati: NIST.800-53.r5 CP-9 (8), NIST.800-53.r5 SI-12

Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest

Gravità: media

Tipo di risorsa: AWS::Backup::RecoveryPoint

Regola AWS Config : backup-recovery-point-encrypted

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un punto di AWS Backup ripristino è crittografato quando è inattivo. Il controllo fallisce se il punto di ripristino non è crittografato a riposo.

Un punto di AWS Backup ripristino si riferisce a una copia o istantanea specifica dei dati creata come parte di un processo di backup. Rappresenta un momento particolare in cui è stato eseguito il backup dei dati e funge da punto di ripristino nel caso in cui i dati originali vengano persi, danneggiati o inaccessibili. La crittografia dei punti di ripristino del backup aggiunge un ulteriore livello di protezione contro l'accesso non autorizzato. La crittografia è una procedura ottimale per proteggere la riservatezza, l'integrità e la sicurezza dei dati di backup.

Correzione

Per crittografare un punto di AWS Backup ripristino, consulta Encryption for backup AWS Backup nella AWS Backup Developer Guide.

[Backup.2] i punti di AWS Backup ripristino devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::Backup::RecoveryPoint

AWS Config regola: tagged-backup-recoverypoint (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Descrizione Tipo Valori personalizzati consentiti Valore predefinito di Security Hub
requiredTagKeys Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. StringList Elenco di tag che soddisfano i requisiti AWS Nessun valore predefinito

Questo controllo verifica se un punto di AWS Backup ripristino dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il punto di ripristino non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il punto di ripristino non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Nota

Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS

Correzione

Per aggiungere tag a un punto di ripristino AWS Backup

  1. Apri la AWS Backup console in https://console.aws.amazon.com/backup.

  2. Nel riquadro di navigazione scegliere Backup plans (Piani di backup).

  3. Seleziona un piano di backup dall'elenco.

  4. Nella sezione Tag del piano di Backup, scegli Gestisci tag.

  5. Immettere una chiave e un valore per il tag. Scegli Aggiungi nuovo tag per ulteriori coppie chiave-valore.

  6. Una volta completata l'aggiunta di tag, scegliere Save (Salva).

I AWS Backup vault [Backup.3] devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::Backup::BackupVault

AWS Config regola: tagged-backup-backupvault (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Descrizione Tipo Valori personalizzati consentiti Valore predefinito di Security Hub
requiredTagKeys Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. StringList Elenco di tag che soddisfano i requisiti AWS Nessun valore predefinito

Questo controllo verifica se un AWS Backup vault ha tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il punto di ripristino non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il punto di ripristino non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Nota

Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS

Correzione

Per aggiungere tag a un archivio AWS Backup

  1. Apri la AWS Backup console in https://console.aws.amazon.com/backup.

  2. Nel riquadro di navigazione scegliere Backup vaults (Vault di backup).

  3. Seleziona un archivio di backup dall'elenco.

  4. Nella sezione Backup vault tags, scegli Gestisci tag.

  5. Immettere una chiave e un valore per il tag. Scegli Aggiungi nuovo tag per ulteriori coppie chiave-valore.

  6. Una volta completata l'aggiunta di tag, scegliere Save (Salva).

[Backup.4] i piani di AWS Backup report devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::Backup::ReportPlan

AWS Config regola: tagged-backup-reportplan (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Descrizione Tipo Valori personalizzati consentiti Valore predefinito di Security Hub
requiredTagKeys Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. StringList Elenco di tag che soddisfano i requisiti AWS Nessun valore predefinito

Questo controllo verifica se un piano di AWS Backup report contiene tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il piano di report non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se al piano di report non è associata alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Nota

Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS

Correzione

Per aggiungere tag a un piano di report AWS Backup

  1. Apri la AWS Backup console in https://console.aws.amazon.com/backup.

  2. Nel riquadro di navigazione scegliere Backup vaults (Vault di backup).

  3. Seleziona un archivio di backup dall'elenco.

  4. Nella sezione Backup vault tags, scegli Gestisci tag.

  5. Scegli Aggiungi nuovo tag. Immettere una chiave e un valore per il tag. Ripetere l'operazione per ulteriori coppie chiave-valore.

  6. Una volta completata l'aggiunta di tag, scegliere Save (Salva).

[Backup.5] i piani di AWS Backup backup devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::Backup::BackupPlan

AWS Config regola: tagged-backup-backupplan (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Descrizione Tipo Valori personalizzati consentiti Valore predefinito di Security Hub
requiredTagKeys Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. StringList Elenco di tag che soddisfano i requisiti AWS Nessun valore predefinito

Questo controllo verifica se un piano di AWS Backup backup dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il piano di backup non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il piano di backup non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Nota

Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS

Correzione

Per aggiungere tag a un piano di backup AWS Backup

  1. Apri la AWS Backup console in https://console.aws.amazon.com/backup.

  2. Nel riquadro di navigazione scegliere Backup vaults (Vault di backup).

  3. Seleziona un archivio di backup dall'elenco.

  4. Nella sezione Backup vault tags, scegli Gestisci tag.

  5. Scegli Aggiungi nuovo tag. Immettere una chiave e un valore per il tag. Ripetere l'operazione per ulteriori coppie chiave-valore.

  6. Una volta completata l'aggiunta di tag, scegliere Save (Salva).